GDPR:静态加密而不是数据查找表
GDPR: encyption at-rest instead of data lookup tables
静态加密 - 以加密格式将数据存储在您的 storage/database 中。在处理过程中,您每次都需要解密数据,计算一些东西,然后再加密所有内容(加密由存储管理)。
静态加密是否解决了 "right to be forgotten" 问题?当您不能使用静态加密并且应该选择 data lookup tables 和伪匿名化时?
与data lookup tables不同,静态加密更容易实现。不过,它可能会影响您的表现,也可能会影响计费。
据我所知,根据 GDPR,您不应停止处理或删除匿名数据。另一方面,ETL 作业必须具有解密数据的权限。意味着每个有权 运行 工作的人(即开发人员、数据科学家或 QA)仍然能够使用加密密钥解密(去匿名化)数据。
如果加密发生在存储层,那么它无助于被遗忘的权利。如果您想使用加密来解决被遗忘权的挑战,那么我建议为每个数据主体使用唯一的加密密钥。如果需要忘记数据主体,您可以删除您的加密密钥副本,并且您实际上拥有 "crypto-shredded" 受该密钥保护的所有数据。为了使其发挥最佳效果,您需要仔细设计架构(例如,您能否将密钥与数据分开,以便不对其进行备份,并找到另一种方法来确保当前密钥在 DR 场景中的可用性等) .
数据查找 table 相当于令牌化服务,您可以在其中用令牌替换数据主体的名称或其他详细信息。通过删除(或更改)数据查找中的令牌 table,您已经删除了将令牌解析回实际数据主体的能力。这将对已达到的 "forgotten-ness" 级别提供较低程度的保证,因为您可能仍然能够通过有关数据主体的其他信息间接识别数据主体。查看 https://en.wikipedia.org/wiki/K-anonymity 以深入了解此概念。
静态加密 - 以加密格式将数据存储在您的 storage/database 中。在处理过程中,您每次都需要解密数据,计算一些东西,然后再加密所有内容(加密由存储管理)。
静态加密是否解决了 "right to be forgotten" 问题?当您不能使用静态加密并且应该选择 data lookup tables 和伪匿名化时?
与data lookup tables不同,静态加密更容易实现。不过,它可能会影响您的表现,也可能会影响计费。
据我所知,根据 GDPR,您不应停止处理或删除匿名数据。另一方面,ETL 作业必须具有解密数据的权限。意味着每个有权 运行 工作的人(即开发人员、数据科学家或 QA)仍然能够使用加密密钥解密(去匿名化)数据。
如果加密发生在存储层,那么它无助于被遗忘的权利。如果您想使用加密来解决被遗忘权的挑战,那么我建议为每个数据主体使用唯一的加密密钥。如果需要忘记数据主体,您可以删除您的加密密钥副本,并且您实际上拥有 "crypto-shredded" 受该密钥保护的所有数据。为了使其发挥最佳效果,您需要仔细设计架构(例如,您能否将密钥与数据分开,以便不对其进行备份,并找到另一种方法来确保当前密钥在 DR 场景中的可用性等) .
数据查找 table 相当于令牌化服务,您可以在其中用令牌替换数据主体的名称或其他详细信息。通过删除(或更改)数据查找中的令牌 table,您已经删除了将令牌解析回实际数据主体的能力。这将对已达到的 "forgotten-ness" 级别提供较低程度的保证,因为您可能仍然能够通过有关数据主体的其他信息间接识别数据主体。查看 https://en.wikipedia.org/wiki/K-anonymity 以深入了解此概念。