Memorizzazione dei numeri di conto bancario

0

Ho bisogno di memorizzare i dettagli bancari degli utenti nel nostro database di sistema.

Sto pensando di crittografare il numero di account nel caso in cui qualcuno acceda al nostro database o ai suoi backup.

Usiamo Heroku e il nostro database è in esecuzione su un server separato per il server web. La mia idea è di memorizzare la chiave di crittografia sul server web come variabile ambientale in modo che almeno non sia memorizzata sulla stessa macchina del DB.

È un buon approccio da seguire? Qualche altro suggerimento?

    
posta Johan 27.07.2017 - 14:49
fonte

1 risposta

4

Una risposta completa sarebbe molto al di là di un post su questo sito, quindi fornirò solo suggerimenti qui.

Hai problemi con una vera domanda di sicurezza. La risposta non sarà (solo) tecnica, ma prima dovresti chiederti dei tuoi reali requisiti di sicurezza. In sicurezza, Voglio una soluzione sicura significa solo nulla, una soluzione può essere sicura solo in base a un sistema di requisiti di sicurezza.

Quindi dovresti porci le seguenti domande: I non so il tuo caso d'uso, quindi non posso rispondere

  • quali sono i punti deboli noti (vulnerabilità note nelle librerie o nei framework usati, rapporti sui test delle penne ...)
  • quali sono le minacce da considerare (furto di informazioni, modifiche indesiderate, rifiuto di servizio, attacco fisico ...)
  • quali sono i possibili attaccanti a cui vuoi essere protetto (script kiddies, NSA, mafia russa ...)
  • quali potrebbero essere le possibili conseguenze della compromissione dei dati

Finirai con una serie di rischi. Dovrai quindi dire come puoi mitigare il rischio stesso o le sue conseguenze e se il rischio residuo è accettabile o meno.

Quello che proponi è una semplice offuscazione dei dati che richiedono prima un attacco del server web e quindi l'accesso al database. Puoi dire se è accettabile per i tuoi requisiti di sicurezza dopo aver effettuato l'analisi dei rischi, non posso.

    
risposta data 27.07.2017 - 15:55
fonte

Leggi altre domande sui tag