LINUX.ORG.RU

Проблема в секьюрности персональных данных

 , ,


0

2

Проблема такова, что даже не ясно в какую сторону копать.

Суть проблемы: вот через нас проходят некоторые данные, которые по хорошему нельзя палить никому. Проблема усложняется тем, что эти данные необходимо некоторые время хранить на нашей стороне перед отправкой клиенту.

Как оно работает сейчас: сервис, получающий данные шифрует их и сохраняет в БД. Другой сервис перед отправкой расшифровывает данные используя секретный ключ и шлёт данные клиенту.

Что плохо: нашим сисопсам дали полный доступ ко всему что только можно на свете и они без труда могут выковырять секретный ключ с сервака, пойти в бд и расшифровать эти данные.

Вот с этой проблемой архитектор пришёл и спрашивает как быть. Говорил ему много раз отобрать права у сисопс, но это политический вопрос, который никто не хочет решать.

Другое решение, которое я ему предлагал - зашифровать у нас паблик ключом и дать приватный клиенту. Но это не соответствует тому, что просил клиент и + будут другие клиенты, которые могут захотеть ещё более кастомную логику.

Так вот вопрос: есть ли какие-то хитрые решения подобных проблем? Может быть, есть какие-то особые хранилища ключей, доступ к которым реально запретить любому прохожему?

★★

данные нельзя палить никому
политический вопрос, который никто не хочет решать
не соответствует тому, что просил клиент

вы уж определитесь, или безопасность или трусы наденьте. По теме - у оракла есть шифрование данных базы, так что ДБА их не может прочитать, так что покупайте оракл. Что мешает вашим любопытным сисопсам послушать трафик до шифрования и после шифрования?

anonymous ()

а что значит нельзя палить никому? кому-то же можно? вот внесите сисопа какого-нибудь в список тех, кому можно и баста ))
ну или управляйте базой сами, в гальванически изолированной сети.
третьего не дано.
хотелки клиента тут по-моему вообще побоку - если данные на каком-то этапе на вашей стороне доступны для просмотра (сисопы взяли ключ и расшифровали данные), всё уже может быть скомпрометировано.

ну и как мы все тут понимаем, самый подконтрольный компьютер - выключенный.

mos ★★☆☆☆ ()

пусть шифрует клиент у себя на клиенте, какие проблемы

anonymous ()

Завести отдельного админа безопасника, поставить SafeNet коробку и шифровать.

robot12 ★★★★★ ()

Можешь прочитать про защиту перс данных 0-3 класса, там тебе предложат полную обвязку с дистрибутивом типа Rosa Linux, DrWEB'ом и доступом в качестве администратора или оператора только с определенным лицензируемым VPN клиентом.

Роскомнадзор политику «полного доступа сисопов» очень неплохо отрезвляет.

BaBL ★★★★★ ()
Ответ на: комментарий от anonymous

Что мешает вашим любопытным сисопсам послушать трафик до шифрования и после шифрования?

Ни что. Я уже поднимал этот аргумент.

Hater ★★ ()
Ответ на: комментарий от mos

а что значит нельзя палить никому?

Очень хороший вопрос, на который я не получил ответа. Точнее, ответ вида «очень сильно ограничить».

Hater ★★ ()
Ответ на: комментарий от BaBL

Можешь прочитать про защиту перс данных 0-3 класса, там тебе предложат полную обвязку с дистрибутивом типа Rosa Linux, DrWEB'ом и доступом в качестве администратора или оператора только с определенным лицензируемым VPN клиентом.

Это всё уходит далеко за пределы моей ответственности. Но про защиту персональных данных гляну, спасибо.

Роскомнадзор

В наших краях его нет.

Hater ★★ ()

Так вот вопрос: есть ли какие-то хитрые решения подобных проблем? Может быть, есть какие-то особые хранилища ключей, доступ к которым реально запретить любому прохожему?

никак, если есть физический доступ к ящику на котором выполняется дешифрование то все. потому единственно верный вариант - шифровать у клиента, или закрывать доступ к ящику (в последнем случае естественно канал передачи тоже)

Deleted ()

они без труда могут выковырять секретный ключ с сервака, пойти в бд и расшифровать эти данные.

Если не подходит шифрование на клиенте, то в качестве одного из вариантов можно производить операции шифрования/расшифрования на внешнем устройстве (микроконтроллере с включенной защитой от считывания).

Deleted ()

что такое «сисопс»?

Sahas ★★★★★ ()

Другой сервис перед отправкой расшифровывает данные используя секретный ключ и шлёт данные клиенту.


Ну вот - даже если у сисопов забрать ключ - что мешает сисопам поставить сниффер между тем, когда данные уже расшифрованы, но еще не высланы?
Короче «тут всю систему менять надо».

Bers666 ★★★★★ ()
Ответ на: комментарий от Hater

Тогда забей, в таких условиях задача не решаема технически.

Пусть ваши «сисопы» подпишут бумажку о неразглашении - самое простое решение, при той же эффективности.

ya-betmen ★★★★★ ()
Последнее исправление: ya-betmen (всего исправлений: 1)

который никто не хочет решать

Сколько вы потеряете от утечки? Сколько средний сисопс заработает на оной? Сколько вы готовы тратить на предотвращение? Пока это не определено, нет смысла ничего решать, ибо любое решение нецелесообразно. А буде оно определено, гладишь, и порешать захотят. Или забить.

DonkeyHot ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.