Almacenamiento de la información de la cuenta bancaria: cifrado AWS RDS

1

Actualmente tengo el requisito de almacenar la información de la cuenta bancaria (números de tránsito / números de cuenta / números de enrutamiento) y necesito saber cuál es la mejor manera de almacenarlos y recuperarlos de la base de datos.

Actualmente estoy usando el RDS de Amazon para almacenar los datos, y he activado la función de cifrado AES-256 en reposo. Creo que esto cifra los datos en el volumen, pero no sé si es suficiente para proteger las cuentas bancarias.

Mi línea de pensamiento actual es que debo mantener un secreto en el servidor y cada vez que escriba la cuenta bancaria debería AES-256 cifrarlo con el secreto y guardar ese cifrado en la entidad. Siempre que recupere esa entidad, tendré que descifrarla manualmente usando el secreto (al lado del servidor).

Mi opinión es que si la base de datos está alguna vez comprometida (incluso con el cifrado RDS) no obtendrán información de la cuenta bancaria. También debo tener en cuenta que la base de datos debe estar bloqueada solo para permitir conexiones provenientes del servidor donde se ejecuta el código. Tal vez en mi caso, esto es una exageración?

Mis preguntas principales son:

  • ¿Es este un buen método para usar las cuentas bancarias de la tienda?
  • ¿Es esto necesario si estoy usando la función de cifrado de AWS RDS o es excesivo?
pregunta Michael Clark 15.12.2017 - 12:36
fuente

1 respuesta

0

No. Si su secreto está en el mismo servidor en el que está cifrando los datos, está cometiendo un error. Debe estar separado y físicamente seguro, preferiblemente en una unidad USB encriptada. Si necesita cifrar los datos mientras no está cerca, le sugiero que los cifre con una clave pública y luego los descifre más tarde, por separado. Sin embargo, si ninguno de estos es una opción, supongo que la seguridad por oscuridad es todavía una opción (por muy escasa que sea) ....

    
respondido por el DeepS1X 15.12.2017 - 22:49
fuente

Lea otras preguntas en las etiquetas