Сторонние сервисы для хранения PII
У клиента есть требование для хранения некоторой Лично идентифицируемой информации (PII). Я хочу попытаться избежать проблем хранения этого в их базе данных. Я ищу какой-то сервис, который мог бы безопасно хранить эти данные, к которым я мог бы затем получить доступ через API.
1 ответ
Нет хорошего способа уклониться от управления PII. Если вы можете, я бы посоветовал получить от клиента обоснование для хранения информации, чтобы убедиться, что она действительно требуется. Я видел требования к частям PII, которые после небольшого обсуждения оказались ненужными.
Предполагая, что PII необходим... Храните данные дома - если вы обращаетесь к удаленной службе, то вы открываете совершенно новую банку червей - вполне вероятно, что вы все равно будете нести ответственность за любые нарушения данных.
Когда вы действительно сохраните необходимый PII, сохраните его как можно более изолированным с высокой степенью безопасности и зашифруйте его. Когда вам нужно прочитать информацию, расшифровать ее, работать с ней и немедленно избавиться от нее. При удалении данных в памяти установите значения для некоторого текста мусора, а затем освободите память после того, как это будет завершено.
Удачи!