Supongo que está hablando de la característica "TDE" proporcionada por Microsoft SQL Server.
TDE significa Transparent Data Encryption , énfasis en "transparente ". Esta es una capa de cifrado aplicada a los datos cuando se almacena; cada byte que administra SQL Server se cifra antes de escribirse en el disco y se descifra cuando se lee. Las aplicaciones que utilizan SQL Server no necesitan conocer ese proceso; es un asunto que reside únicamente en el diálogo entre SQL Server y sus archivos de almacenamiento. De ahí la transparencia. El lado bueno de esto es que es fácil de aplicar y funciona muy bien (sobrecarga de CPU pequeña a despreciable, sin E / S extra, sin espacio adicional ...). El lado oscuro es que SQL Server en sí mismo, no la aplicación, es el controlador de acceso: quien tenga acceso por SQL Server podrá ver los datos claros.
Para el cumplimiento de PCI, consulte este documento que incluye este párrafo (al final):
Algunas soluciones de criptografía cifran campos específicos de información
n almacenado en una base de datos; otros
cifrar un archivo singular o incluso todo el disco donde se almacenan los datos. Si se utiliza el cifrado de disco completo,
el acceso lógico debe administrarse independientemente del control de acceso del sistema operativo nativo
mecanismos Las claves de descifrado no deben estar vinculadas a las cuentas de usuario. Claves de cifrado utilizadas para
el cifrado de los datos del titular de la tarjeta debe estar protegido contra la divulgación y el uso indebido. Toda clave
Los procesos y procedimientos de gestión de las claves utilizadas para el cifrado de los datos del titular de la tarjeta deben ser
Completamente documentado e implementado. Para obtener más detalles, consulte el requisito 3 de PCI DSS.
"Cifrado de disco completo" es lo que se aplica a TDE (TDE se aplica nominalmente en archivos , pero todos ellos). En TDE, la clave de cifrado real es administrada por SQL Server, que otorgará o no otorgará acceso lógico a los usuarios según su configuración, que puede o no asignarse a las cuentas de los usuarios. Por lo tanto, diría que si TDE otorga o no el cumplimiento de PCI depende de cómo se utiliza .
No tengo derecho a dar una respuesta definitiva sobre cómo se puede lograr el cumplimiento de PCI con TDE, pero observo que la página de Wikipedia incluye un extracto alentador: "Las empresas suelen emplear TDE para resolver problemas de cumplimiento, como PCI DSS". Por lo tanto, se puede suponer que cumplir con los requisitos de PCI con TDE es posible , o al menos muchas personas parecen firmemente convencidas de que es posible, lo cual es casi tan bueno.
Microsoft tiene documentación sobre cómo se debe configurar y usar SQL Server en Un contexto de cumplimiento. También tienen un Webcast que puede incluir un lote de información útil (no la he visto).