Estoy tomando esta pregunta desde un ángulo de seguridad general. La seguridad es una compensación, no una característica. No hay nada 100% seguro, por lo que cada vez que ves a alguien diciendo tales tonterías, sabes que están tratando de manipularte o simplemente inocentemente no entiendes la seguridad. (Mire sus motivaciones para determinar cuál)
Si los datos existen, alguien puede acceder a ellos, en algún momento, ya sea por cable, excavando a través de una pared o haciéndose pasar por la persona con la clave. También es importante no confundir las certificaciones, como PCI, con la seguridad. Puede implementar fácilmente un sistema compatible con PCI que sea altamente inseguro.
Sin embargo, más fundamentalmente toda la línea de pensamiento de la pregunta señala que es errónea. Es decir, un patrón de pensamiento como el siguiente: Oh, no podemos implementar X porque no es lo suficientemente seguro.
- ¿La versión gratuita de Amazon EC2 admitirá una aplicación web construida en la pila MEAN?
- ¿Qué campo / tecnología es bueno para mí, el desarrollo web, la nube de AWS o DevOps?
- ¿Es posible alojar un sitio web con tráfico normal en el nivel gratuito de AWS durante un año?
- Big Data: ¿Cuáles son algunas startups interesantes de big data y análisis?
- ¿Qué define un servicio en la nube?
La forma correcta de abordar la pregunta es determinar cuánto se necesita para asegurar la opción A, B, C, etc. y luego comparar los beneficios de A, B, C como negocio y elegir el que tenga sentido.
En la nube específicamente, necesitaría comparar el costo de desarrollar una aplicación segura con los beneficios de operar en la nube. Luego lo compararía con un centro de datos privado o arrendado. (Tenga en cuenta que no estoy argumentando que la nube es más / menos segura, pero esta es la forma correcta de abordar el problema)
Otra cosa a tener en cuenta es que si está gastando todo su esfuerzo de seguridad y atención tratando de vencer amenazas conocidas o entendidas, está en problemas. Esta es la razón por la cual TSA es totalmente ineficaz, solo reaccionan a la última trama. En cambio, debe evaluar sus vulnerabilidades y fortalecerlas o hacer que la empresa sea resistente a los ataques que las explotan.