¿Existe una manera de lograr el cifrado de datos compatible con PCI en el nivel de disco / carpeta en Windows de manera transparente para las aplicaciones (deben poder escribir / leer en carpetas / discos encriptados como si no estuvieran encriptados)? ?
¿Cómo deben gestionarse las claves (por ejemplo, en relación con la rotación de claves)?
Puede activar EFS para una estructura de directorios y luego indicar a todas las aplicaciones que escriban en subdirectorios dentro de ese árbol. Windows maneja todo el cifrado de archivos entre bastidores para que las aplicaciones no lo conozcan.
No debería necesitar rotar las claves de cifrado a menudo si las claves eran fuertes (por ejemplo, lo suficientemente largas) para comenzar. Por lo general, debe cambiarlos solo después de que un empleado con acceso a ellos se haya ido, o si cree que estaban potencialmente comprometidos. De lo contrario, realmente no debería necesitar cambiar las claves más que cada unos cuantos años.
EFS funciona de forma un poco diferente porque cada archivo está cifrado con su propia clave y luego esas claves se administran mediante cifrado asimétrico. Con EFS tiene certificados asociados con pares de claves públicas / privadas que debe agregar o eliminar de las políticas de EFS si desea realizar cambios en quién puede descifrar los datos.
Lea otras preguntas en las etiquetas encryption windows pci-dss