22.06.2023 9:12, Oleh Hrynchuk пише:
Панове, добргго дня.
Є таке питання...
Може трошки не в тему, але якщо ви використовуєте AWS services, то для реєстрації і зберігання інформації про користувачів можна використовувати Cognito (https://aws.amazon.com/cognito/). Гадаю при цьому не виникатиме питання відповідності GDPR.
Кантора, яка нам робить ІТ sec аудит, висловила в report'i зауваження щодо PI data (Personal Information - first/last name, email, phone numbers, address, enrolled courses etc).
Суть зауваження - тримати PI data в EC2 snapshots неприпустимо (я ще не розбирався яким нормативним актом USA це обумовлено. Може підкажете, хто знає?). Але справа в тому, що ці дані знаходяться в PostgreSQL DB.
То як досвідчені люди виходять з цього положення?
AWS EC2/RDS/etc snapshots не передбачають жодних excludes. А створювати проміжний copy-інстанс, викушувати з його PostgreSQL'a ці PI data і аж потім робити snapshot - то якийсь маразм.
Та й взагалі ця вимога здається трохи якоюсь параноїдальною.. адже втрачається зміст самого snapshot'a. Як тоді з нього швидко відновити інстанс при потребі?
Є ще один варіант (ще не знаю, чи він підходящий для аудиторів) - прямо в PostgreSQL тримати всі PI data encrypted. Відповідно, вони будуть encrypted і в снепшотах. Хтось таке використовує?
Буду вдячний за поради.
-- Regards, /oleh hrynchuk
_______________________________________________ uanog mailing list uanog@uanog.kiev.ua https://mailman.uanog.kiev.ua/mailman/listinfo/uanog