我们即将发布国内经济网站的内测版。
该网站当然会从用户(仅通过电子邮件识别)的私人财务状况中收集信息:工资、租金、账单、抵押贷款等。所有这些都是非常敏感的信息,任何人都不应该访问 - 即使是我们,技术人。
以非可读方式存储数据的最佳实践是什么?当然,成员密码已经在数据库中进行了哈希处理。
我正在考虑的是使用某种密钥加密所有数据。但话又说回来,应用程序需要访问该密钥。而且我不想将它存储在数据库中。如果由用户提供,我想我可以将其保留在会话中,以便解密每个检索到的数据库结果。但是开销呢?
请问,有人有指导吗?
具有管理员级别访问权限的任何人(例如您的技术人员)都可以访问存储在机器上的任何解密密钥。关于会话,任何管理员级别的人都可以进行内存转储以将密钥拉出会话。
关键是,唯一的“解决方案”是出色的机器外访问日志记录以及承认他们正在被监视并且您将起诉的强有力的法律文件。此外,您应该对您的技术人员进行年度背景调查。其次,具有这种访问权限的人数应该非常有限。作为积极参与我们开发过程的 CEO,即使我也无法访问我们的生产系统。
无论如何,您仍应加密数据库,尤其是 PII 数据。根据您所在的行业,如果您不这样做,您可能会被起诉,如果有人确实提取了数据转储,请不要介意负面新闻。
首先,将个人身份信息与统计数据分开。这使您可以在不将敏感数据置于危险之中的情况下执行计算。接下来,对个人身份信息进行强加密,并将密钥存储在访问受限的强化系统中。不要对所有数据使用相同的密钥,但您使用的密钥数量取决于您的设计决策。更多的密钥会更安全,但更难处理。
可能有适用于您的数据的现有标准,具体取决于您在世界的哪个位置以及您正在使用的行业。找出这些并跟随他们。
由用户关键字保护的第二个关键字呢?当他登录时,他的第二个将被解密和存储。