Хабр Курсы для бэкендеров
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Бэкенд доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 2
PCI-DSS v.4.0.1 предписывает так же реализовать механизм регулярной и внеплановой ротации ключей, как шифрования, так и хэширования.
А еще есть хэш-функции с солью и перцем, например BLAKE2 - так можно сделать многофакторный секрет.
Привет!
Да, там есть непростые нюансы, особенно, если какой-нибудь Event Sourcing используется:
Operational Stage: Secure Storage, Use, and Rotation During its active life, a key must be stored and used securely. Key Hierarchy: A common practice is to use Data-Encrypting Keys (DEKs) to encrypt cardholder data and protect those DEKs with stronger Key-Encrypting Keys (KEKs). Key Segregation: DEKs must be stored separately (physically or logically) from the data they protect, and KEKs must be stored separately from DEKs. Key Rotation: PCI DSS mandates that keys be replaced at the end of their defined cryptoperiod. This schedule should be based on risk, data sensitivity, and industry best practices. Simply rotating KEKs without rotating DEKs offers no real security benefit.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Хранение классифицированных данных