Kritik verilerin (üçüncü taraf) veritabanlarına kaydedilmesi


12

SSN, Kredi Kartı Numaraları ve Adresler gibi önemli (gizlilik açısından) kullanıcı verilerini veritabanlarına nasıl kaydedersiniz?

Senaryo:
Yalnızca kullanılabilir olması gereken veriler kaydedilir. Örneğin, uygulama belirli bir kaydı tanımlamak için SSN'yi kullandığından SSN kaydedilir. veya kredi kartı bilgileri, 1 tıklama işlemlerini mümkün kılmak için kaydedilir. Uygulama üçüncü taraf barındırma kullanır.

Sorular:
HostGator veya App Engine gibi üçüncü taraf ana bilgisayarlarda bu tür veriler düz metin (veya başka bir şekilde) ne kadar güvenlidir?

Bu tür verileri üçüncü taraf ana bilgisayarlara kaydediyor musunuz (ve bu uygulama önerilir mi)?

Düz metin olarak mı saklıyorsunuz yoksa bu tür verileri mi şifreliyorsunuz?

Yalnızca kendi sunucularına sahip olacak kaynakları olan şirketler bu tür uygulamaları geliştirmeye devam etmeli mi?


Güvenlikle ilgili olarak en kötü durum senaryosunu kabul ediyorum: barındırılan verileriniz herkes tarafından kullanılabilir. "Biz güvendeyiz" sözleri felaketten sonra değer vermez.
LennyProgrammers

@ Lenny222 Kabul ediyorum. Aranabilir verileri şifrelemek mümkün olabilir, ancak performansı vuracaktır.
abel

Yanıtlar:


5
  • İlk olarak ülkeden ülkeye değişen yasal sorumluluğunuzu araştırmanız gerekir. Örneğin, İngiltere'deki finansal veriler İngiltere dışındaki bir ülkede (veya bu verilerin ne olduğuna bağlı olarak AB üyesi olmayan bir ülkede) depolanamaz.

  • Veri şifrelenmediğinde asla% 100 güvenli değildir, şifrelenirken bile% 100 güvenli değildir, ancak iyi bir şifreleme algoritması ve anahtarları iyi ve güvenli tutmak, onu oldukça güvenli kılar.

  • Evet, özellikle bu veri ambarı altyapısını oluşturmayı ve sürdürmeyi göze alamıyorsanız, 3. taraflara barındırma önerebilirim. Yine verilerinize ve işinize bağlıdır.

  • Her zaman özel veya iş açısından kritik olan verileri şifreleyin. Asla üçüncü bir tarafa güvenmeyin :).

  • Çok sayıda işletme 3. taraf veri barındırma kullanıyor, kendi çiftliğinizi çalıştırmanıza gerek yok. Elbette twitter, Google ve Facebook gibi insanlar verilerine o kadar çok değer veriyorlar ki, verilerini üçüncü taraf bir ana bilgisayarda depolamayı asla hayal etmeyecekler.

Umarım yardımcı olur!


Evet, bu yardımcı olur.
abel

Daha önce şifreleme ile çalışmadım. beni başlatmak için herhangi bir işaretçi?
abel

1
Hangi DB ile hangi dilde çalışıyorsunuz?
Martijn Verburg

GAE üzerinde PHP / MySQL ve Python
abel

1
Tamam, bu benim ligimin dışında - Google Python Veri şifrelemesini alırdım ve daha sonra SO veya yerel Python kullanıcı grubunuzdaki
gurularla

3

Kredi kartı numaralarını eklediğiniz için, kullanılan PCI veri güvenliği standartlarına bakmak isteyebilirsiniz . Wikipedia makalesi üçüncü taraf ana bilgisayarlardan bahsetmese de, erişimi izleme gereksinimleri bunu kabul edilemez hale getiriyor. Bu, kredi kartlarını kendiniz (en azından ABD'de) kabul etmek için gereken minimumdur.

Birinin kendi sunucularını barındırmanın ek bir masraf olmayacağını düşündüğüm yeterince potansiyel yasal ve uyumluluk sorunu var.


Ödeme ağ geçitleri bunlardan kaçınmama yardımcı olacak mı?
abel

2
@abel: evet. Bir kerelik ödemeler için kredi kartı bilgilerini ağ geçidine geçirir ve asla kendiniz saklamazsınız. Yinelenen ödemelere ihtiyacınız varsa, ağ geçitleri çeşitli hizmetler sunar. Örneğin şu anda birlikte çalıştığım Avustralyalı bir kişi kredi kartı bilgilerini göndermenize ve karşılığında "jeton" almanıza olanak tanır; ileride bir ödemeyi tetiklemenizi sağlayan bu belirteci saklarsınız. CC ayrıntılarını saklamıyorsunuz ve jeton tehlikeye düşmüş olsa bile, başkası için işe yaramaz çünkü tek yapabileceği size bir ödeme yapmak.
Carson63000

@Carson yardımcı oldu.
abel
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.