Esiste un modo per ottenere la crittografia dei dati conforme allo standard PCI a livello di disco / cartella in Windows in modo trasparente alle applicazioni (devono essere in grado di scrivere / leggere su cartelle / dischi crittografati come se non fossero crittografati) ?
Come devono essere gestite le chiavi (ad esempio per quanto riguarda la rotazione delle chiavi)?
Il Crittografia file system (EFS) di Windows soddisferà i tuoi requisiti di usabilità e probabilmente la maggioranza , se non tutti, dei requisiti PCI DSS. Tuttavia, non l'ho valutato rispetto al DSS, quindi non posso dirlo con certezza.
È possibile attivare EFS per una struttura di directory e quindi indirizzare tutte le applicazioni a scrivere in sottodirectory all'interno di tale albero. Windows gestisce tutta la crittografia dei file dietro le quinte, quindi le applicazioni non ne sono a conoscenza.
Non dovresti aver bisogno di ruotare spesso le chiavi di crittografia se le chiavi erano forti (ad esempio abbastanza a lungo) per cominciare. In genere dovresti cambiarli solo dopo che un dipendente ha avuto accesso a loro o se ritieni che siano potenzialmente compromessi. Altrimenti non dovresti davvero cambiare le chiavi più di qualche anno.
EFS funziona in modo un po 'diverso perché ogni file è crittografato con la propria chiave e quindi quelle chiavi sono gestite utilizzando la crittografia asimmetrica. Con EFS ci sono certificati associati a coppie di chiavi pubbliche / private che devi aggiungere o rimuovere dai criteri EFS se vuoi apportare modifiche a chi può decrittografare i dati.
Leggi altre domande sui tag windows encryption pci-dss