Abbiamo il compito di creare un database Postgres per una soluzione correlata alla salute e uno dei requisiti consiste nel tenere separati i dati identificativi personali dagli altri dati. La preoccupazione principale è che, se si verifica un dump di dati non autorizzato, ridurre la probabilità che entrambi i set di dati si trovino nello stesso dump.
L'idea corrente è di eseguire due server di database (due istanze di Postgres), con un server responsabile per i dati identificabili e il secondo per i dati "anonimi".
Il server con identificativo identificabile avrebbe quindi tabelle come:
Patient
- id
- uuid
- first_name
- last_name
- ssn
Doctor
- id
- uuid
- first_name
- last_name
Il secondo server avrebbe quindi versioni "proxy" di queste tabelle, come ad esempio:
Patient
- id
- external_id
- date_of_birth
Doctor
- id
- external_id
- start_date
Doctor_Patient_Relationship
- doctorId
- patientId
Spetterebbe all'applicazione autorizzata riunire i due set di dati.
Questo suona come un approccio ragionevole? Vedresti altri modi per proteggere questi dati? Ho provato a cercare articoli che suggerissero un approccio ragionevole, ma non sono riuscito a trovarne uno.
BTW Accettiamo che anche i dati "anonimizzati" possono avere limitazioni .