我正在开发个人理财客户应用程序,需要一些有关安全存储数据的建议。我担心的是数据泄露,黑客可以访问数据库服务器并下载整个数据库或员工将数据提取到excel等。
我曾经处理过许多企业电子商务,ERP,CRM应用程序和银行应用程序。我已经直接访问数据库并与之合作。所有数据库都将名称,地址,预算,订单值,销售数字,产品等存储为文本和数字值。我见过的唯一加密方法是用户名/密码。
我知道您不可能对数据的每个字段进行加密,因为您将失去有效查询数据的能力。
对于该项目,默认情况下,我将使用明显的密码和帐号进行加密。我还将添加2因子设备身份验证。
要解决此问题,我想对联系人详细信息(姓名,电话,地址,电子邮件等)进行加密。
对于这种类型的应用程序,我相信我可以避免,因为我不会运行需要客户联系方式的批量报告。如果确实需要该信息,则必须通过应用程序提取数据以进行解密。
我在这里的想法是,如果有人要在没有应用程序解密密钥的情况下下载整个数据库,则所有数据都不是个人可识别的。小偷只会看到预算金额,交易等,却不知道与谁关联。
我的计划有什么陷阱吗?想法或建议会有所帮助。
谢谢