Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
Reply to this topicStart new topic
> Szyfrowanie danych wrażliwych w bazie.
LowiczakPL
post 21.03.2019, 10:54:20
Post #1





Grupa: Zarejestrowani
Postów: 531
Pomógł: 55
Dołączył: 3.01.2016
Skąd: Łowicz

Ostrzeżenie: (0%)
-----


Zastanawiam się nad taką kwestią, chcę zaszyfrować kilka danych wrażliwych aby nie były jawnie dostępne w bazie danych.

Do szyfrowania i deszyfrowania zastosuję 2 klucze, klucz licencji oraz hasło użytkownika, klucz licencji przechowywany jest w storage na komputerze użytkownika, klucze pobieram podczas logowania i trzymam w sesji.

Co sądzicie o takim zabezpieczeniu wrażliwych danych czy będzie w miarę bezpieczne?


--------------------
Szukam zleceń Symfony, Laravel, Back-End, Front-End, PHP, MySQL ...
Go to the top of the page
+Quote Post
Pyton_000
post 21.03.2019, 14:52:36
Post #2





Grupa: Zarejestrowani
Postów: 8 068
Pomógł: 1414
Dołączył: 26.10.2005

Ostrzeżenie: (0%)
-----


A po co ?
Go to the top of the page
+Quote Post
LowiczakPL
post 21.03.2019, 16:24:13
Post #3





Grupa: Zarejestrowani
Postów: 531
Pomógł: 55
Dołączył: 3.01.2016
Skąd: Łowicz

Ostrzeżenie: (0%)
-----


RODO wymaga aby dane osobowe pacjentów, dane choroby nie były w jawny sposób dostępne w bazie danych dlatego wymyśliłem sobie szyfrowanie.

A dokładnie chodzi o wyłączenie dostępu do jawnych danych Administratorowi serwera.

Ten post edytował LowiczakPL 21.03.2019, 16:32:05


--------------------
Szukam zleceń Symfony, Laravel, Back-End, Front-End, PHP, MySQL ...
Go to the top of the page
+Quote Post
Pyton_000
post 21.03.2019, 18:22:24
Post #4





Grupa: Zarejestrowani
Postów: 8 068
Pomógł: 1414
Dołączył: 26.10.2005

Ostrzeżenie: (0%)
-----


A możesz jakąś podstawę prawną tego sanu przytoczyć? Bo pierwszy raz słyszę.
Go to the top of the page
+Quote Post
LowiczakPL
post 21.03.2019, 19:31:01
Post #5





Grupa: Zarejestrowani
Postów: 531
Pomógł: 55
Dołączył: 3.01.2016
Skąd: Łowicz

Ostrzeżenie: (0%)
-----


https://lexdigital.pl/ochrona-danych-osobow...owe-zasady-rodo mowa w artykule o szyfrowaniu danych wrażliwych
kolejny artykuł mówiący o szyfrowaniu baz danych https://www.pcworld.pl/news/RODO-czyli-rewo...ych,409928.html

Ten post edytował LowiczakPL 21.03.2019, 19:32:29


--------------------
Szukam zleceń Symfony, Laravel, Back-End, Front-End, PHP, MySQL ...
Go to the top of the page
+Quote Post
Tomplus
post 21.03.2019, 20:30:18
Post #6





Grupa: Zarejestrowani
Postów: 1 828
Pomógł: 225
Dołączył: 20.03.2005
Skąd: Będzin

Ostrzeżenie: (0%)
-----


Szyfrowanie powinno być, ale nie jest wymogiem że powinno być w bazie danych. To dostęp do bazy danych, przesyłanie informacji powinno być w kanale szyfrowanym, aby żadna osoba trzecia nie mogła ich odczytać, oraz aby aplikacja która umożliwia odczytywanie informacji z bazy nie może w sposób prosty uzyskać dostępu do danych innych osób.

Jako ADO masz do tego dostęp, bo nawet mają klucze, masz do nich dostęp, więc na jedno wychodzi. Jako specjalista IT, te dane Cię nie obchodzą jako wartość merytoryczna.
Go to the top of the page
+Quote Post
Pyton_000
post 21.03.2019, 20:43:41
Post #7





Grupa: Zarejestrowani
Postów: 8 068
Pomógł: 1414
Dołączył: 26.10.2005

Ostrzeżenie: (0%)
-----


Hehe widzisz, podałeś 2 artykuły które nijak się mają do tego co chcesz osiągnąć smile.gif

Podsawową zasadą jest ograniczenie dostępu do danych oraz prowadzenie rejestru udostępnienia danych. Czyli jako ADO jesteś odpowiedzialny komu i co udostępniasz. Czyli np. dostę do bazy danych jest jedynie poprzez login oraz hasło. Środki bezpieczeństwa typu firewall czy szyfrowanie ruchu (a nie samych danych) powinno być standardem bezpieczeństwa.

Nikt nigdzie w żadnym miejscu ani RODO ani GIODO nie narzuca obowiązku przechowywania danych w postaci zaszyfrowanej pod groźbą kary. Są to jedynie zalecenia które w zanczący sposób podnoszą bezpieczeństwo danych i minimalizują ryzyko wycieku.
Go to the top of the page
+Quote Post
LowiczakPL
post 22.03.2019, 07:46:31
Post #8





Grupa: Zarejestrowani
Postów: 531
Pomógł: 55
Dołączył: 3.01.2016
Skąd: Łowicz

Ostrzeżenie: (0%)
-----


Faktycznie chodzi mi o podniesienie bezpieczeństwa wycieku danych wrażliwych, jak sądzicie czy to co wymyśliłem podniesie bezpieczeństwo wycieku danych.


--------------------
Szukam zleceń Symfony, Laravel, Back-End, Front-End, PHP, MySQL ...
Go to the top of the page
+Quote Post
markonix
post 22.03.2019, 09:20:59
Post #9





Grupa: Zarejestrowani
Postów: 2 707
Pomógł: 290
Dołączył: 16.12.2008
Skąd: Śląsk

Ostrzeżenie: (0%)
-----


Ja stosuje czasem szyfrowanie po stronie aplikacji, np. masz kolumnę w której przechowuje jakieś hasło użytkownika do innego serwisu, do API (muszę, bo nie mam innej opcji poza wpisywaniem za każdym razem przez użytkownika).
No i po ludzku nie chce tych haseł widzieć, ale oczywiście nie mogę ich zmienić w hasha więc je koduje, żeby było łatwo i przyjemnie napisałem mniej więcej coś takiego, jak ktoś tutaj:
https://stackoverflow.com/questions/4878593...elds-in-laravel

Czy daje to jakieś bezpieczeństwo? Wg mnie tak, np. dump bazy nie pozwoli Ci na odkodowanie, przeglądając bazę wzrokowo nie widzisz tych haseł, musisz znać klucz aplikacji, czyli mieć dostęp do plików z zmiennymi środowiskowymi, dopiero hash z bazy z połączeniu z ftp/ssh pozwoli Ci te hasło ujawnić no, ale jak ktoś ma nieuprawniony dostęp do tego i tego to już możesz się pakować.

Ten post edytował markonix 22.03.2019, 09:24:55


--------------------
Go to the top of the page
+Quote Post
sabat24
post 22.03.2019, 20:22:32
Post #10





Grupa: Zarejestrowani
Postów: 175
Pomógł: 26
Dołączył: 13.09.2007
Skąd: Gdańsk

Ostrzeżenie: (0%)
-----


Ja stosuję podejście Crypto Erase. To też rozwiązuje problem z wszelkimi kopiami baz danych, jakie trzymamy.

Ten post edytował sabat24 22.03.2019, 20:23:32
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 28.03.2024 - 14:34