Hi

On Thu, 29 Jun 2023, 16:11 Volodymyr Sharun, <atz@ukr.net> wrote:

Привіт,

PI не може зберігатися unencrypted.

Це major flaw у дизайні апплікухи з точки зору PII/GDPR.

Там ще може бути фокус з тим де саме зберігається snapshot 
І для користувачів під GDPR потрібно зберігати дані під європейською юрисдикцією.
Але не GDPR не єдина регіональна вимога для зберігання PII Data 


On 22/06/23 9:12, Oleh Hrynchuk wrote:
Панове, добргго дня.

Є таке питання...

Кантора, яка нам робить ІТ sec аудит, висловила в report'i зауваження щодо PI data (Personal Information - first/last name, email, phone numbers, address, enrolled courses etc).

Суть зауваження - тримати PI data в EC2 snapshots неприпустимо (я ще не розбирався яким нормативним актом USA це обумовлено. Може підкажете, хто знає?).
Але справа в тому, що ці дані знаходяться в PostgreSQL DB.

То як досвідчені люди виходять з цього положення?

AWS EC2/RDS/etc snapshots не передбачають жодних excludes.
А створювати проміжний copy-інстанс, викушувати з його PostgreSQL'a ці PI data і аж потім робити snapshot - то якийсь маразм.

Та й взагалі ця вимога здається трохи якоюсь параноїдальною.. адже втрачається зміст самого snapshot'a.
Як тоді з нього швидко відновити інстанс при потребі?

Є ще один варіант (ще не знаю, чи він підходящий для аудиторів) - прямо в PostgreSQL тримати всі PI data encrypted. Відповідно, вони будуть encrypted і в снепшотах.
Хтось таке використовує?


Буду вдячний за поради.

--
Regards,
/oleh hrynchuk

_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
https://mailman.uanog.kiev.ua/mailman/listinfo/uanog
_______________________________________________
uanog mailing list
uanog@uanog.kiev.ua
https://mailman.uanog.kiev.ua/mailman/listinfo/uanog