Ms
Но обычно это скрытая колонка
Size: a a a
2020 March 22
Ms
Ее пользователь видеть не должен
PD
Ну, у меня это был отдельный сервис со своей базой.
IB
В общем, еще раз, лучше не пытаться проектировать от буквы закона, она мутна и противоречива местами. Лучше - от опыта экспертов и аттестаторов, принимая на не-технические средства защиты компании часть рисков.
PD
А для пользователя - это отдельная история.
Ms
Как и данные в таблице pdnInfo должны быть зашифрованы
IB
Шифрования для любых ПДн никакая нормативка вроде не требует.
PD
Ну, по законам РФ данные в таблице могут быть и в открытом виде, если сама база на зашифрованном диске с ограниченным доступом. Обычно так и делают.
IB
Шифрования диска - тоже не требуется повального.
PD
Igor Bespalchuk
Шифрования диска - тоже не требуется повального.
Смотря какие данные и сколько их.
Ms
Ну если от этого зависит получит твой бизнес 100 миллионов евро штрафа или нет — выбор очевиден
PD
Но вообще стоит шифровать, что бы не утекло нечаяно на рынок. Не по закону, а по реальному ИБ )
IB
Именно. Я и говорю - повального, во всех случаях - не требуется. Надо делать модель угроз, определять уровни защищенности и т.п.
PD
Я как раз данные шифровал, но не сертифицированным способом.
А диски - да, сертифицированное хранилище, увы.
А диски - да, сертифицированное хранилище, увы.
IB
It depends опять-таки.
PD
Но это дешевле, чем Postgres с сертификацией )
PD
Шифрованные диски у нас аудит требовал.
PD
И, разумеется, не ГОСТ не канает )
PD
Или диски или СУБД, диски были дешевле.
IB
Кстати, да, если кто озаботился в принципе соблюдением требований 152-ФЗ, то основные потери - это затраты на сертифицированные СЗИ, сертифицированные ОС, СУБД, и сложности использования облачных ресурсов и контейнеров - необходимость выделения изолированного физического контура. + стоимость аттестаций и переатестаций, аудитов, и т.п..