Vorrei farti una domanda che è sorta in questi giorni con le nuove regole GDPR. Quello che ho è un servizio di pagamento che usa BrainTree per effettuare i pagamenti. Nella mia parte memorizzo alcune informazioni incluso l'ID dell'utente. Il problema è che non dovrei inviare direttamente l'ID utente originale a Braintree e invece ho bisogno di un alias ID. Cosa pensi che sia il modo migliore per farlo? Crittografare è in qualche modo o generare un secondo ID nel mio database?
Basta generare un secondo ID, idealmente basato su un approccio esistente come UUID. La crittografia o l'hashing non sono adatti se gli ID originali hanno una struttura, come piccoli numeri sequenziali.
Si noti che la generazione di un secondo ID potrebbe essere irrilevante per qualsiasi sforzo di conformità GDPR. Questo ID è pur sempre un dato personale purché possa essere collegato a un individuo, ad es. perché è abbinato a numeri di carta di credito o indirizzi e-mail. Tuttavia, la pseudonimizzazione tramite ID aggiuntivi potrebbe far parte di una strategia di conformità (confrontare l'articolo 25 (1)). In ogni caso, è più importante firmare un accordo di elaborazione in cui il responsabile del trattamento accetti di non utilizzare i dati forniti in alcun modo, salvo diversamente specificato (confronta Art. 28 (3) (a) e Art. 29).
Leggi altre domande sui tag database encryption third-party-libraries