Lưu dữ liệu quan trọng trong cơ sở dữ liệu (bên thứ ba)

Làm thế nào để bạn lưu dữ liệu người dùng quan trọng (bảo mật) như SSN, Số thẻ tín dụng và Địa chỉ trong cơ sở dữ liệu?

Kịch bản:
Chỉ lưu dữ liệu cần có sẵn. Ví dụ: SSN được lưu vì ứng dụng sử dụng SSN để xác định một bản ghi cụ thể. hoặc chi tiết thẻ tín dụng được lưu để thực hiện giao dịch 1 lần nhấp. Một số dữ liệu đó có thể được mã hóa và lưu, nhưng một số dữ liệu cần phải có sẵn ở dạng văn bản thuần túy (ví dụ: để tìm kiếm toàn văn). Ứng dụng sử dụng lưu trữ của bên thứ ba.

Câu hỏi:
Làm thế nào an toàn là dữ liệu đó trong văn bản thuần túy (hoặc nói cách khác) trên các máy chủ bên thứ ba như HostGator hoặc App Engine?

Bạn có lưu dữ liệu đó trên máy chủ của bên thứ ba (và cách này có được khuyến nghị không)?

Bạn có lưu trữ nó trong văn bản đơn giản hoặc bạn mã hóa dữ liệu đó?

Chỉ nên những công ty có tài nguyên để có máy chủ của riêng họ tiến hành xây dựng những ứng dụng như vậy?

encryption privacy

— bỏ
nguồn

Về bảo mật tôi sẽ giả sử trường hợp xấu nhất: dữ liệu được lưu trữ của bạn có sẵn cho bất kỳ ai. "Chúng tôi an toàn" những lời hứa không đáng bao nhiêu, một khi thảm họa đã xảy ra.

— LennyProgrammer

@ Lenny222 Tôi đồng ý. Có thể mã hóa dữ liệu có thể tìm kiếm, mặc dù vậy nó sẽ đạt hiệu suất.

— hủy bỏ

Câu trả lời:

Bạn cần điều tra trách nhiệm pháp lý của mình trước - khác với quốc gia này. Ví dụ: dữ liệu tài chính ở Vương quốc Anh không thể được lưu trữ trong một máy chủ ở một quốc gia không thuộc Vương quốc Anh (hoặc không thuộc EU tùy thuộc vào dữ liệu đó là gì).
Dữ liệu không bao giờ an toàn 100% khi không được mã hóa, thậm chí không an toàn 100% khi được mã hóa, nhưng thuật toán mã hóa tốt và giữ khóa tốt và an toàn làm cho nó khá an toàn.
Có, tôi có thể khuyên bạn nên lưu trữ trên các bên thứ 3, đặc biệt nếu bạn không đủ khả năng để tạo và duy trì cơ sở hạ tầng kho dữ liệu đó. Một lần nữa nó phụ thuộc vào dữ liệu và kinh doanh của bạn.
Luôn luôn mã hóa bất kỳ dữ liệu nào là riêng tư hoặc kinh doanh quan trọng. Không bao giờ tin tưởng một bên thứ ba :).
Hàng tấn doanh nghiệp sử dụng lưu trữ dữ liệu của bên thứ 3, bạn không cần phải điều hành trang trại của riêng mình. Tất nhiên mọi người như twitter, Google và Facebook coi trọng dữ liệu của họ đến mức họ không bao giờ mơ ước được lưu trữ dữ liệu của họ trên máy chủ của bên thứ 3.

Mong rằng sẽ giúp!

— Martijn Verburg
nguồn

Yup, điều đó giúp.

— hủy bỏ

Tôi chưa từng làm việc với tiền mã hóa. bất kỳ con trỏ để giúp tôi bắt đầu?

— hủy bỏ

Bạn đang làm việc với ngôn ngữ nào với DB?

— Martijn Verburg

PHP / MySQL và Python trên GAE

— hủy bỏ

OK, đó là ngoài liên minh của tôi - Tôi sẽ mã hóa dữ liệu Google Python và sau đó đi kiểm tra với các chuyên gia về SO hoặc nhóm người dùng Python cục bộ của bạn

— Martijn Verburg

Vì bạn đang bao gồm số thẻ tín dụng, bạn có thể muốn xem xét các tiêu chuẩn bảo mật dữ liệu PCI đang sử dụng. Mặc dù bài viết Wikipedia dường như không đề cập đến máy chủ của bên thứ ba, nhưng các yêu cầu để theo dõi truy cập khiến điều này dường như không được chấp nhận. Đây là mức tối thiểu cần thiết để tự chấp nhận thẻ tín dụng (ít nhất là ở Hoa Kỳ).

Có đủ nhiều vấn đề pháp lý và tuân thủ tiềm năng mà tôi nghĩ rằng việc lưu trữ máy chủ của chính mình sẽ không phải trả thêm chi phí.

— David Thornley
nguồn

Cổng thanh toán sẽ giúp tôi tránh những điều này?

— hủy bỏ

@ dán: vâng. Đối với thanh toán một lần, bạn sẽ chuyển chi tiết thẻ tín dụng đến cổng và không bao giờ tự lưu trữ chúng. Nếu bạn cần thanh toán định kỳ, cổng thông tin cung cấp các dịch vụ khác nhau. ví dụ: một công ty Úc mà tôi đang làm việc hiện đang cho phép bạn gửi chi tiết thẻ tín dụng và nhận lại "mã thông báo"; bạn lưu trữ mã thông báo này, cho phép bạn kích hoạt thanh toán trong tương lai. Bạn không lưu trữ các chi tiết CC và ngay cả khi mã thông báo bị xâm phạm, nó cũng vô dụng với bất kỳ ai khác vì tất cả những gì có thể làm là thanh toán cho bạn.

— Carson63000

@Carson hữu ích.

— hủy bỏ