Imagina una aplicación de correo electrónico basada en la web, como GMail. El correo electrónico solo debe ser legible por el remitente y los destinatarios. Nadie más, incluido el desarrollador que tiene acceso al servidor de base de datos o al servidor de aplicaciones, debe poder leerlo.
¿Hay una manera de hacer esto? Si no es posible, ¿qué es lo mejor que podemos hacer?
Si entiendo que tu pregunta es correcta, puedes cifrar el correo electrónico antes de que salga de tu computadora y solo permitir que el destinatario lo descifre. Eche un vistazo a un producto llamado Virtru ( enlace ). No estoy afiliado a la compañía pero soy un usuario feliz. El destinatario no tiene que ser un usuario de Virtru para poder leer su correo electrónico de forma segura (solo debe probar que tiene acceso a la cuenta de correo electrónico). Todo lo que se almacena en el servidor de la base de datos es el mensaje cifrado (usando algo llamado Trusted Data Format (TDF)).
La aplicación (del lado del servidor) podría cifrar el contenido del correo antes de almacenarlo, utilizando una clave de cifrado derivada de la contraseña de inicio de sesión (que, por supuesto, el desarrollador no conoce).
(si le preocupa que el desarrollador cambie el software del servidor para omitir el cifrado o guardar una copia de la clave de cifrado, también puede hacerlo con el cifrado basado en el cliente. Tiene que confiar en el desarrollador hasta cierto punto, sin importar qué .)
Lea otras preguntas en las etiquetas web-application privacy encryption databases