pii – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

جولای 22, 2018

pci dss – داده های حساس شناسایی، محتویات و ریشه کن کردن – زنجیره نگهداری

برای ایجاد یک دیدگاه از اطلاعات حساس در سازمان، یک فعالیت کشف بسیج شده است. علاوه بر ایجاد یک دیدگاه، هدف ابتکار این است که همچنین سیاست ها، فرآیندها و روش های مربوط به حاوی و ریشه کن کردن اطلاعات حساس در صورت لزوم را اطلاع دهد.

علاوه بر این، همچنین باید به حداقل رساندن خطرات و تاثیرات نقض کمک کند یک رخ می دهد.

در طول مرحله کشف اطلاعات حساس در مکان های مختلف شناسایی شد. این شامل اطلاعات قابل شناسایی شخصی، اطلاعات کارت شناسان، هویت های اجتماعی و غیره

قبل از ریشه کن کردن داده ها، ما گزینه هایی را برای پشتیبانی از توانایی تجزیه و تحلیل داده ها بررسی می کنیم. به همین ترتیب، اگر تجزیه و تحلیل بیانگر اکستروژن داده باشد، ما می خواهیم در فعالیت های قانونی فعالیت داشته باشیم.

در بررسی تنظیمات سیستم، ما دریافتیم که سیاهههای مربوط به ناکافی بودن سیستم به لحاظ تاریخی نادرست پیکربندی شده است. به عنوان مثال، در یک سناریو، سیاهههای مربوط بومی ویندوز تنها برای چند روز ادامه می یابد.

با توجه به فقدان logs قابل اطمینان و اطمینان از زنجیره نگهداری، شیوه های توصیه شده چیست؟ آیا موارد مربوط به انطباق وجود دارد مانند PCI-DSS؟

جولای 5, 2018

حریم خصوصی – نام / کلید سطل S3 / Azure / GCS اطلاعات شخصی قابل شناسایی را نشان می دهد

ما یک سیستم رویدادی داریم که از فروشگاه رویداد قابل تغییر تنها استفاده می کند.

اگر ما اطلاعات شخصی قابل ذخیره در این فروشگاه را ذخیره کنیم، ما در مورد GDPR با مشکل مواجه خواهیم شد؛ زیرا حذف رویدادها یک گزینه نیست.

ما داده ها را در این حوادث ارزیابی کرده ایم و ثابت کردیم که تنها اطلاعاتی که ممکن است به کاربر مربوط شوند، نام و کلید سطل ذخیره سازی هستند.

همانطور که ما هنوز در تولید نیستیم، این امر می تواند مسئله PII را در فروشگاه های داده ذخیره سازی غیر قابل تغییر از قبل مورد بررسی قرار دهد و در صورت لزوم، احتمالا کلید رمزگذاری متقارن برای هر کاربر را انتخاب می کنیم (ذخیره شده در یک datastore قابل تغییر) برای رمزگذاری این اطلاعات حساس که می تواند با کاربر فراموش شود، به این ترتیب رویدادهای آنها غیر قابل خواندن است.

این چیزی است که ما ترجیح می دهیم انجام دهیم. بنابراین، نام های ذخیره سازی و کلید های ذخیره سازی به دنبال صاحب خود می گردند؟

جولای 3, 2018

حریم خصوصی – آیا شماره تلفن مستقل یک PII است؟

اطلاعات شناسایی شخصی (PII) تعریف شده است (مثال زیر از NIST) به عنوان (معدن تاکید)

اطلاعاتی است که می تواند مورد استفاده برای تشخیص یا ردیابی یک فرد
  هویت ، مانند نام، شماره امنیت اجتماعی، پرونده های بیومتریک،
  و غیره به تنهایی، و یا هنگامی که با دیگر شخصی و یا شناسایی ترکیب شده است
  اطلاعاتی که مربوط به یک فرد خاص است، مانند
  به عنوان تاریخ و محل تولد، نام و نام خانوادگی مادر، و غیره

چگونه باید در مورد یک شماره تلفن تنها، به نام نامشخص تفسیر شده است؟

به عبارت دیگر، اگر یک برنامه ارسال تلفن بی صدا اعداد به یک سرور (من به دنبال شما برنامه است) بدون نام صاحب شماره ، هنوز PII است؟

می 22, 2018

پایگاههای داده – Tokenization – آیا استفاده از نشانه ها مجاز است؟

اگر یک سیستم رمزگذاری برای PII را در یک پایگاه داده پیاده سازی کنم، آیا رفتار ضعیف و یا خطرناکتری برای استفاده مجدد از نشانه ها در نظر گرفته شده است؟

به عنوان مثال، اگر من چندین بار نام "ریچارد" را ذخیره کنم، همه با برچسب "Fxyw3Qq5yzXqDoiKqx" جایگزین شده است، آیا پس از آن هر گونه خطر اضافی را معرفی، از جمله اگر من برای استفاده از یک شناسه منحصر به فرد برای هر "ریچارد"