Обезлвание дных — это не просто рандомизация

Все блоги / Про интернет 3 марта 2020 255

В банке есть проблема: нужно давать доступ к базе данных разработчикам и тестировщикам. Есть куча клиентских данных, которые по PCI DSS требованиям Центробанка и законам о персональных данных вообще нельзя использовать для раскрытия на отделы разработки и тестирования.

Казалось бы, достаточно просто поменять всё на какие-нибудь несимметричные хеши, и всё будет хорошо.

Так вот, не будет.

Дело в том, что база данных банка — это множество связанных между собой таблиц. Где-то они связаны по ФИО и номеру счёта клиента. Где-то по его уникальному идентификатору. Где-то (тут начинается боль) через хранимую процедуру, которая вычисляет сквозной идентификатор на основе этой и соседней таблицы. И так далее.

Обычная ситуация, что разработчик первой версии системы уже десять лет как умер или уехал, а системы ядра, запущенные в старом гипервизоре внутри нового гипервизора (чтобы обеспечить совместимость) ещё в проде.

То есть прежде чем всё это обезличить, сначала надо разобраться в базе данных. Читать дальше →

Источник: Хабрахабр

Оцените публикацию

предыдущая статья

следующая статья

Похожие публикации

Как устроен ABAP Secure Storage в SAP

Этой записью в блог мы начинаем цикл постов о паролях в SAP-системах: о том, как различные пароли хранятся в системе, как защищаются и передаются. На первый взгляд все просто — хранить пароли нужно в базе данных. Конечно, в случае обычных пользователей так и есть: пароли хранятся в виде хешей в БД.

подробнее »

11 февраля 2015

Тринити повысил отказоустойчивость и производительность системы хранения данных Московского кредитного банка

Системный интегратор «Тринити» завершил проект по построению виртуальной распределенной системы хранения данных в Московском кредитном банке. Новое решение удовлетворяет растущие потребности банка по объему хранения данных, а также минимизирует затраты на обслуживание системы.

подробнее »

28 июля 2015

Россияне смогут зарабатывать на продаже своих персональных данных до 60 тысяч ₽ в год

Давать бизнесу доступ к информации о себе за вознаграждение — как вам такое? Да это просто «Датамания». За год проект планирует привлечь 1 млн пользователей.

подробнее »

30 января 2020

Как не нужно составлять согласие на обработку персональных данных

И какие согласия не стоит подписывать. Доброго времени суток, Хабр! Эта статья родилась совершенно спонтанно из такой вот истории. Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы

подробнее »

1 ноября 2019

Обработка персональных данных на сайте - Готовим сайт к 152-ФЗ

С 1 июля 2017 года штрафы за нарушение закона о Персональных данных увеличиваются до 75 000 рублей. Важно и то, что процесс проверки теперь значительно упрощается. Чтоб выписать вам штраф, инспектору Роскомнадзора (РКН) достаточно просто зайти на сайт и зафиксировать нарушение. Касается ли этот

подробнее »

27 июня 2017

[Перевод] Обработка сетевых данных на лету

Перевод статьи подготовлен в преддверии старта курса «Пентест. Практика тестирования на проникновение». Аннотация Разнообразные виды оценки безопасности, начиная от регулярного тестирования на проникновение и операций Red Team до взлома IoT/ICS-устройств и SCADA, подразумевают под собой работу с

подробнее »

15 апреля 2020