Potresti chiedere al tuo avvocato aziendale di aiutarti a definire cosa significa in determinate circostanze.
Come per la solita definizione del termine "dati a riposo": significa "dati memorizzati che non sono attualmente accessibili". Quindi, ad esempio, i dati a riposo potrebbero essere dati seduti sui dischi rigidi di un server mentre il server è spento, oppure dati su nastri di backup, o dati seduti in un file che non è aperto da nessuno dei processi in esecuzione su un sistema e così via.
Quindi direi che ciò che devi fare è crittografare tutti i dati che rientrano nel requisito di essere protetti quando è a riposo. A seconda dei dati, potrebbe essere sufficiente crittografare semplicemente i contenuti di un database prima di memorizzarli nel database, oppure potrebbe essere necessario crittografare il file system su cui si trova il database.
Modifica : se hai appena crittografato il file system, ma non i dati dell'applicazione stessa, devi anche assicurarti che i backup dei dati delle applicazioni, che costituiscono anche dati a riposo, siano crittografato e così via.
Ad esempio, se si codificano solo i campi di testo in un database relazionale, ciò potrebbe non essere sufficiente, in quanto le relazioni tra i record sarebbero ancora accessibili. Se hai crittografato solo il tuo filesystem e poi hai eseguito il backup dei dati mentre il filesystem è stato montato e i dati in chiaro sono accessibili, devi anche crittografare il backup.
Come ho detto, è necessario che il consulente legale lo definisca; le tue circostanze potrebbero variare e security.stackexchange.com non è law.stackexchange.com.