Una piccola azienda di installazione elettrica ha una grande lista di clienti. L'elenco contiene informazioni personali come nomi, numeri di telefono, indirizzi, informazioni (ad esempio quale prodotto / installazione) e alcune piccole note. I dati dei clienti sono archiviati nei computer dell'ufficio dell'azienda. L'azienda non utilizza alcun servizio cloud per nulla. I backup vengono creati e salvati manualmente in una posizione diversa. Un amministratore di computer dispone questo. Ora il proprietario dell'azienda vuole poter accedere ai dati dei clienti sul suo telefono. Quando un cliente lo chiama, vuole cercare i dettagli del cliente tramite qualcosa di simile a un'app per quando non è in ufficio.
Il piano è il seguente: I dati dei clienti verranno inseriti in Google Drive. Ogni volta che i dati cambiano, questo verrà aggiornato anche sul servizio cloud. L'app utilizza l'API di Google Drive per recuperare le informazioni sul cliente. L'amministratore del computer ha indicato che può facilmente creare un'app in grado di farlo.
Le seguenti opzioni sono discusse per renderlo sicuro:
- L'elenco dei clienti nel cloud è un grande file crittografato che utilizza AES. L'app ha la chiave. Quando i dati vengono richiesti dal cloud, il file crittografato può essere caricato e decrittografato nell'app. Quando i dati vengono aggiornati (dall'ufficio), la nuova versione del file verrà creata, crittografata e inviata al cloud.
- Il file nel cloud non è crittografato in totale, ma ogni singola 'riga' contenente i dati del cliente (in quello stesso file) è crittografata. Il vantaggio è che puoi separare le 'righe' e assegnare ad ogni riga un identificatore non criptato (come un numero cliente unico).
- Il file stesso non è affatto crittografato e l'app utilizza solo la crittografia SSL dell'API. Lo svantaggio è che quando qualcuno accede al servizio cloud, può vedere il file normale.
La situazione sembra un po 'poco professionale. In realtà vogliono nascondere i dati anche per il servizio cloud. Penso che se questo è parte dell'obiettivo, è effettivamente ok.
Le due grandi domande sono: Se un file (ad esempio 400 Mb) è crittografato con AES, ed è decrittografato su un pnone, quanto tempo richiede l'elaborazione in generale. Alcuni dicono che può richiedere 2 minuti, altri 2 secondi. Se impiega troppo tempo, non è più possibile.
E la cosa più importante: È abbastanza sicuro gestire le informazioni in questo modo? Oppure è meglio non scherzare e solo archiviare il file in testo normale nel cloud e caricarlo utilizzando l'SSL standard dell'API.