将关键数据保存在(第三方)数据库中


12

如何在数据库中保存重要的(隐私方面)用户数据,例如SSN,信用卡号和地址?

方案:
仅保存需要可用的数据。例如,保存了SSN,因为该应用使用SSN来标识特定记录。或信用卡详细信息将被保存,以使一键式交易成为可能。某些此类数据可以加密和保存,但某些数据需要以纯文本格式提供(例如,用于全文搜索)。该应用程序使用第三方托管。

问题:
在HostGator或App Engine等第三方主机上,以纯文本格式(或其他格式)的此类数据的安全性如何?

您是否将此类数据保存在第三方主机上(推荐这种做法)?

您将其存储为纯文本格式还是对此类数据进行加密?

只有那些有资源拥有自己的服务器的公司才能继续构建此类应用程序吗?


关于安全性,我假设最坏的情况是:任何人都可以使用您托管的数据。一旦灾难发生,“我们很安全”的承诺就不值钱了。
LennyProgrammers 2011年

@ Lenny222我同意。可以对可搜索的数据进行加密,但这会影响性能。
阿贝尔

Answers:


5
  • 您需要首先调查您的法律责任-各国不同。例如,英国的财务数据不能存储在非英国(或非欧盟国家/地区,取决于该数据是什么)的服务器中。

  • 未加密的数据永远不会100%安全,加密后的数据甚至也不是100%安全,但是良好的加密算法以及良好而安全的密钥使它相当安全。

  • 是的,我建议在第三方上托管,尤其是在您无力创建和维护该数据仓库基础结构的情况下。再次取决于您的数据和业务。

  • 始终对任何私人或业务关键的数据进行加密。永远不要信任第三方:)。

  • 大量业务使用第三方数据托管,您无需运行自己的服务器场。当然,像Twitter,Google和Facebook这样的人非常重视自己的数据,以至于他们从未梦想过将数据存储在第三方主机上。

希望有帮助!


是的,有帮助。
阿贝尔

我以前没有使用过加密。有什么提示让我开始吗?
亚伯

1
您在哪种数据库中使用哪种语言?
Martijn Verburg

GAE上的PHP / MySQL和Python
Abel

1
好的,那超出了我的能力-我使用Google Python数据加密,然后去检查SO或您当地的Python用户组中的专家
Martijn Verburg

3

由于其中包含信用卡号,因此您可能需要查看正在使用的PCI数据安全标准。尽管Wikipedia文章似乎没有提到第三方主机,但是跟踪访问的要求使这似乎无法接受。这是您自己接受信用卡的最低要求(至少在美国是这样)。

有很多潜在的法律和合规性问题,我认为托管自己的服务器不会带来太多额外费用。


支付网关会帮助我避免这些情况吗?
阿贝尔

2
@abel:是的。对于一次性付款,您会将信用卡详细信息传递给网关,而永远不要自己存储它们。如果您需要定期付款,则网关可以提供各种服务。例如,与我合作的澳大利亚人目前允许您发送信用卡详细信息并获得“令牌”作为回报;您存储此令牌,从而可以在以后触发付款。您无需存储CC的详细信息,即使令牌被盗用,它对其他任何人也无济于事,因为它所能做的就是向您付款。
Carson63000

@Carson很有帮助。
阿贝尔
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.