Cómo implementar correctamente la seudonimización

1

En mi empresa queremos implementar la seudonimización para cumplir con algunos requisitos de GDPR . Por lo que entiendo, el propósito de la pseudonimización es prohibir el acceso fácil a toda la información sobre una persona. Le da a esta persona un seudónimo y luego almacena sus datos divididos en diferentes lugares. De esta manera, alguien que usa el sistema A, no tiene fácil acceso a los datos almacenados en el sistema B. Pero, ¿qué pasa con los administradores de sistemas que pueden acceder a las bases de datos de todos los sistemas y conectar fácilmente los datos particionados?

  • ¿Está bien que los administradores del sistema tengan dicha opción?

  • ¿Cómo proteger los datos del acceso de los administradores del sistema?

  • ¿Es posible tener datos seudonimizados cuando hay personas con acceso a todas las bases de datos?

pregunta Maciek 13.09.2017 - 14:39
fuente

1 respuesta

1

El hecho de que un administrador del sistema tenga acceso a la base de datos no significa necesariamente que el administrador deba tener acceso a todos los datos. Puede cifrar los datos para evitar que el administrador del sistema tenga acceso a los datos. Si el cifrado se produce en el lado del cliente y solo los usuarios tienen acceso a las claves de cifrado, puede diseñarlo para que el administrador del sistema no pueda descifrar los datos. Al usar la criptografía de clave pública, puede permitir que los datos ingresados por un usuario sean leídos por un usuario diferente, sin que el primer usuario tenga que compartir su propia clave de cifrado con el segundo usuario.

Por supuesto, la mayoría de las aplicaciones reales necesitan que el servidor realice algún trabajo con partes de los datos, por lo general, para permitir la búsqueda en la base de datos, deberá repensar estos aspectos de la aplicación. Tal vez, puede almacenar un segundo campo de hashombre para que pueda buscar según el nombre del usuario sin revelar el nombre real. Quizás pueda almacenar una ubicación general de direcciones en texto sin formato y tener la dirección completa encriptada.

También deberá considerar si hay datos que puedan correlacionarse con otros datos para filtrar información incluso después del cifrado / hash. Por ejemplo, puede marcar el nombre de una enfermedad para poder usar el campo de búsqueda de pacientes con esa enfermedad, pero al correlacionar la frecuencia de aparición de los nombres de hash se puede correlacionar con los datos disponibles públicamente sobre la prevalencia de enfermedades para reducir el número de posibilidades. que cada nombre de hash puede ser. Es posible que desee considerar si tales escenarios de ataques avanzados estarían dentro del alcance o aceptar el riesgo de árbol y limitar la seudonimización solo a los atacantes oportunistas.

También puede imponer la partición física para que los sistemas A y B se administren de forma independiente por equipos independientes, ejecutándose en hardware y recursos separados (no compartir nada). De esta manera, se asegura de que ningún sistema único retenga todos los datos y la filtración de datos requerirá al menos dos personas de diferentes equipos para conspirar.

    
respondido por el Lie Ryan 13.09.2017 - 16:29
fuente

Lea otras preguntas en las etiquetas