Me concentraré en las áreas relacionadas con la criptografía de su pregunta, ya que esta es mi especialidad y hay muchas personas que saben más sobre las otras áreas que yo.
Datos de usuario / cliente:
- Almacene solo lo que absolutamente necesita
- Almacene lo que necesita cifrado / hash y salado, particularmente contraseñas y datos de tarjetas de crédito. Dependiendo de su país, puede estar sujeto a las normas PCI-DSS que llaman “tokenización” de hash. Básicamente, en lugar de almacenar el número o la contraseña de la tarjeta de crédito de texto sin formato, almacena el hash + sal criptográfico en su base de datos. No utilice funciones de hashing que se hayan roto, como MD5, o que se consideren dañadas con suficiente tiempo de cálculo, como SHA1. Si es posible, evite el SHA2 / 3 también, ya que estas funciones se han optimizado para la velocidad y no para la protección contra ataques de fuerza bruta. Una sal es una cadena de número o letra que se adjunta a la contraseña o al número CC antes de que se divida en hash. Se puede almacenar en texto sin formato. Hace que sea imposible para un atacante descifrar los hash utilizando las tablas de texto sin formato hash precomputado.
Datos del sitio web:
- ¿Cuál es la mejor manera de evitar que su sistema informático contraiga un virus?
- Después de Shellshock, ¿qué es un shell más seguro?
- ¿Cómo se descubren los autores de los virus?
- ¿Qué certificado SSL necesito si todos mis dominios y subdominios están ocultos / redirigiendo a un dominio?
- ¿Por qué es importante mantener actualizado su software de seguridad?
- Realice copias de seguridad con regularidad, almacénelas encriptadas en un disco o dispositivo que esté físicamente separado de la máquina en la que se ejecuta el sitio. (La parte encriptada es opcional aquí, pero en caso de infección por virus o troyanos, ver más abajo, puede confundir el malware que generalmente está programado para encriptar solo ciertos tipos de archivos)
- Antes de hacer una copia de seguridad, asegúrese de no haber detectado un troyano criptográfico: se sabe que algunos de estos esperan hasta que se conecten unidades externas para cifrar los datos en ellos también para asegurarse de que se ve obligado a pagar el rescate.
- Obtenga un certificado SSL / TLS para su sitio para ofrecer una conexión https que esté encriptada y, por lo tanto, sea inmune incluso a la inspección profunda de paquetes. Esto protegerá a sus usuarios contra algunas formas de censuras e inyecciones de anuncios. Sin mencionar que también aumentará la confianza de su cliente en su sitio.
Comunicación con tus clientes:
- Es posible que desee obtener una clave PGP para la comunicación por correo electrónico con sus clientes y publicarla en su sitio web y en algunos servidores clave. Muchos probablemente insistirán en que es excesivo y que nadie usa el cifrado de correo electrónico de todos modos (y son parcialmente correctos), pero tampoco hace daño, no le cuesta nada y podría mostrarles a los clientes más técnicos que toman en serio su privacidad. También con las brechas de datos semanales y el debate público entre Apple y el FBI, la opinión del público en general podría volverse hacia el cifrado de correo electrónico.
- Alternativamente, es posible que desee obtener un certificado S / MIME, aunque no son tan cómodos como usar PGP para el cifrado de correo electrónico.