День добрый, подскажите куда вообще смотреть.
Допустим есть сервис предоставляющий инструмент для работы определенного класса специалистов, эти специалисты работают через него как "фрилансеры" и являются клиентами, через сервис они делают свои бизнес операции, и их бизнес операции нужно как-то защищать(чтобы условно ни компания предоставляющая этот сервис, ни клиенты не имели доступа к данным о том что делают через этот сервис другие клиенты).
И если бы эти клиенты были сотрудниками(разница лишь в монетизации), то можно было бы ориентироваться скажем на ISO 27001, потому что сервис в каком-то смысле аутсорсит им непрерывность их бизнеса. Но ISO 27001 рассчитан на то что у вас сотрудники в офисе сидят, и что они ваши сотрудники. Куда вообще в плане безопасности смотреть, что применять, есть ли какие-то гайды в технологическом плане и в плане того как считать KPI этого дела?

Есть один топовый менеджер паролей с открытым исходным кодом, использующий облачное хранилище с нулевым знанием, называется encryptr

https://github.com/SpiderOak/Encryptr этот?

Да он самый-с

хм, он конечно не поддерживается, но сделать ZKP заюзав cryptoAPI браузера + KV-хранилище это норм тема

Фрилансер с заказчиком обмениваются ключами и вся их переписка шифруется e2e вашим spa приложением

Только зачем фрилансеру и заказчику ваш сервис в таком случае

я наверное зря назвал это "фрилансер", это просто менеджер работающий со своими данными допустим в гугл таблицах только с наворотами, он загружает свои данные или фетчит из какого-то хранилища, редактирует их, и отправляет апдейты применяющиеся на это хранилище

так наверное понятнее

т.е. это как ms sql management studio только без sql и без ms

и 1 бд на клиента

(ну это если аналогии проводить, звучит дико конечно)

но этот менеджер платит не за то чтобы использовать приложуху, а за проведение транзакций к данным, т.е. вообщем то чтобы использовать приложение сервер не нужен, но он нужен для планировки транзакций и прочей автоматизации

и если бы не этот пунктик ZKP был бы норм, и данные можно было бы хоть в гугл драйв класть и тогда и ZKP был бы в каком-то смысле не нужен, че там залогинился в свое хранилище подключил его как источник и работай себе

И вот как сделать так чтобы с одной стороны клиент мог запланировать изменить свои данные в случае события X которое зависит от этих данных и это не было "сохраняем все данные всех клиентов и вотчим их" это вопрос)

т.е. даже если сделать ZKP и зашифровать и данные и запланированные апдейты, то как без расшифровки применить эти апдейты, можно конечно применить зашифровать откатить и заменить зашифрованное на зашифрованное но это сколько же надо этих зашифрованных апдейтов хранить)

можно конечно смотреть в сторону гомоморфных шифров, но это звучит как бред

Они сырые еще

FHEW преобразует несжатый шифротекст в гибкий за порядка 1/2 секунды на один бит

ну да, это и есть бред