Говорить про защиту данных имеет смысл, если в вашем приложении (независимо от стека) обрабатываются ценные данные или данные, подпадающие под регуляции.

Ценные данные это такие, без которых ваш бизнес будет терпеть убытки – например, базы пользователей сольют конкуренты. Или вы показываете релевантную рекламу / рекомендации юзерам, поэтому классифицируете их интересы. Интересы – ценные для вас данные.

Регуляции есть разные, в зависимости от индустрии и страны. Закон о защите персоданных, GDPR, HIPAA, PCI DSS, DBP, и тд.

В регуляциях легко запутаться, мы с коллегами готовили cheat sheet о том, какие данные требуется защищать/шифровать для каких регуляций.
medium.com/@cossacklabs/t…

Юристы и менеджеры часто помнят про данные юзеров ("мы начали собирать имейлы, надо добавить галочку про privacy policy"). Потеря/утечка данных юзеров ведет к потерям денег: устранить инцидент, переписать кусок системы, заплатить пострадавшим и регуляторам, отмыться от прессы

При этом часто забывают про технические данные – пароли, токены, доступы, логи, бекапы – утечка которых тоже может вести к перечисленному выше. Ну и плюс кто-то может начать майнить биткоины у вас на серверах.

Секурити инциденты это всегда про потери денег. Вот подборка, что произошло с компаниями после инцидентов (tldr: потеря денег, пользователей, репутации, банкротство).

medium.com/@cossacklabs/t…

Я слежу за утечками в британском блоге (itgovernance.co.uk/blog/category/…), этот график обновляла в феврале.

Каждый месяц происходят утечки 700-1200 млн записей.

Есть телеграм-канал про утечки в Ru сегменте
t.me/dataleak

Кого не касаются утечки / защита данных? Тех, у кого нету ценных данных.

Но инциденты могут касаться кого угодно – вот сайт для продажи матрасов хакнули, и владелец платил хакерам за доступ назад :)

globalnews.ca/news/4298279/h…