Proteção de dados em repouso
Dados em repouso representam todos os dados mantidos no armazenamento não volátil por qualquer período na carga de trabalho. Isso inclui armazenamento em bloco, armazenamento de objetos, bancos de dados, arquivos, dispositivos IoT e qualquer outro meio de armazenamento no qual os dados persistam. Proteger seus dados em repouso reduz o risco de acesso não autorizado quando a criptografia e os controles de acesso adequados são implementados.
Criptografia e tokenização são dois esquemas importantes mas distintos de proteção de dados.
Tokenização é um processo que permite definir um token para representar uma informação confidencial (por exemplo, o número do cartão de crédito de um cliente). Um token não deve ter um significado por si só nem deve ser derivado dos dados que ele tokeniza. Portanto, um resumo criptográfico não pode ser utilizado como um token. Ao definir cuidadosamente a abordagem de tokenização, você pode fornecer proteção adicional ao seu conteúdo e garantir o cumprimento dos requisitos de conformidade. Por exemplo, você pode reduzir o escopo de conformidade de um sistema de processamento de cartão de crédito se utilizar um token em vez de um número de cartão de crédito.
Criptografia é uma maneira de transformar o conteúdo de forma a torná-lo ilegível sem uma chave secreta para descriptografar o conteúdo novamente em texto sem formatação. Tanto a tokenização quanto a criptografia podem ser usadas para guardar e proteger as informações conforme apropriado. Além disso, o mascaramento é uma técnica que permite que parte dos dados seja editada até um ponto em que os dados restantes não são considerados confidenciais. Por exemplo, o PCI-DSS permite que os últimos quatro dígitos de um número de cartão sejam retidos fora do limite de escopo de conformidade para indexação.
Auditoria do uso de chaves de criptografia: entenda e faça a auditoria do uso de chaves de criptografia para confirmar se os mecanismos de controle de acesso nas chaves foram implementados adequadamente. Por exemplo, qualquer serviço da AWS que use uma chave do AWS KMS registra cada uso no AWS CloudTrail. Em seguida, você pode consultar o AWS CloudTrail usando uma ferramenta como o Amazon CloudWatch Insights para garantir que todos os usos de suas chaves sejam válidos.
Práticas recomendadas
