Алгоритмы шифрования для хранения UII и PII с использованием технологий Java

Я не юрист, но я думаю, что это зависит.

Я не думаю, что есть специальные библиотеки, которые вы можете добавить в свой проект и быть совместимыми с GDPR.

Большая часть соблюдения GDPR находится на организационной стороне: получите согласие пользователя на обработку данных для данной цели, ограничьте сбор данных тем, что вам абсолютно необходимо (например, не просите ничего, кроме адреса электронной почты, когда кто-то подписывается на ваш запрос). информационный бюллетень), позволяет людям видеть, какие данные вы сохранили на них, позволяет людям удалять или исправлять их данные. Заключайте контракты с людьми и компаниями, которые обрабатывают данные для вас. Документируйте сбор и хранение данных. Иметь офицера по защите данных и план работы с данными людей.

Если вы хотите псевдонимы пользовательских данных, AES - плохой выбор, поскольку он обратим. Хэш-функция была бы лучше. Таким образом, вы можете, например, хэшировать все IP-адреса в журналах вашего сервера и по-прежнему видеть, что x% вашего трафика пришло только с одного IP-адреса. Если вы хотите анонимизировать данные пользователя, просто удалите их, например, полностью удалите IP-адрес из журналов вашего сервера.

Шифрование данных перед их сохранением в базе данных, вероятно, также является спорным вопросом, поскольку у вас все еще есть ключ для дешифрования (может быть, даже где-то в той же системе), на самом деле он не очень хорошо защищает.

GDPR действительно призывает защищать данные пользователей, и это касается как технического (т. Е. Использования последней версии TLS для сетевых подключений, шифрования жестких дисков и хранения ключа в банковском хранилище), так и физической безопасности (серверы в безопасное место со злой собакой и злым охранником у двери).