Şirkətlər istifadəçi məlumatlarını necə saxlayır və şifrələyir

İstifadəçi məlumatlarını qorumaq üçün hansı şifrələmə və açar idarəetmə texnologiyaları seçilməlidir?
ISO/IEC 27001:2022 sənədləşdirilmiş kriptoqrafik nəzarətləri, PCI DSS v4.0 isə ödəniş məlumatlarının şifrələnməsini və ətraf mühitin seqmentləşdirilməsini tələb edir. GCM/CTR rejimlərində AES-256 «istirahətdə olan məlumatlar» üçün, Mükəmməl Ötürmə Məxfiliyi ilə TLS 1.3 (IETF RFC 8446, 2018) «transitdə olan məlumatlar» üçün istifadə olunur. Buludda açarlar KMS (AWS, Azure, GCP) tərəfindən saxlanılır və təcrid üçün FIPS 140-3 sertifikatlı HSM-lər (NIST, 2019) istifadə olunur. Nümunə: PII ilə Lakehouse — AES-256-GCM; API — TLS 1.3+mTLS; Azure Key Vault-da BYOK; NIST SP 800-57 (2020) uyğun olaraq audit və rotasiya uyğunluğu və təhqiqatı təmin edir.

Pin Up-da oyunçu təhlükəsizliyinə hansı sistemlər nəzarət edir? — https://www.aetonline.org/libraries/page/?t_hl_k_sizlik_v__etibarl_l_q__lisenziyalar__m_lumatlar_n_m_hafiz_si_texnologiyalar__v___stifad__i_t_.html

 AES-256 və AES-128 – Fərq nədir və hansını seçmək lazımdır?
Açar uzunluğundakı fərq 256 bitlə 128 bitdir. Hər iki səviyyə NIST SP 800-57 (2020) tərəfindən təsdiqlənib, lakin uzunmüddətli məxfi saxlama üçün 256 bitlik açara üstünlük verilir. AES-GCM rejimi autentifikasiya edilmiş şifrələməni təmin edir, IV təkrar oynatma isə açar uzunluğundan asılı olmayaraq təhlükəsizliyi pozur. Yüksək yüklü verilənlər bazalarında AES-128-GCM gecikməni azaldır, AES-256-GCM isə PCI DSS və arxivlər üçün seçilir. Misal: Postgres on ARM – AES-128-GCM ilə performans artımı; AES-256-GCM PAN tokenləri üçün istifadə olunur.

 TLS 1.3 və mTLS – qarşılıqlı sertifikat mübadiləsi nə vaxt tələb olunur?
TLS 1.3 zəif şifrələri aradan qaldırır və əl sıxma müddətini qısaldır, PFS təmin edir. mTLS oğurlanmış tokenlərlə hücumları azaldan müştəri sertifikatının yoxlanışını əlavə edir. ENISA Təhdid Mənzərəsi (2022) API hücumlarının artmasını qeyd edir; mTLS icazəsiz giriş riskini azaldır. Misal: Kubernetes-də ödəniş şlüzü — xaricdən TLS 1.3, daxili xidmətdən xidmətə mTLS (SPIFFE/SPIRE); CI sirlərinin kompromissi istehsal xidmətlərinə girişin qarşısını aldı.

 
 Məlumatlar qanuni olaraq harada saxlanıla bilər və GDPR və Azərbaycan qanunvericiliyinə uyğun olaraq necə həyata keçirilə bilər?
GDPR (2016/679) hüquqi əsaslar, DPIA-lar və 72 saatlıq insident bildirişləri tələb edir, transsərhəd köçürmələr isə DGK vasitəsilə rəsmiləşdirilir. “Fərdi məlumatlar haqqında” Azərbaycan Qanunu (2010, 2021-ci ildə dəyişiklik edilib) məlumat subyektlərinin hüquqlarını və məlumatların yerləşdirilməsi qaydalarını müəyyən edir. ISO/IEC 27701:2019 27001-i PII idarəetməsi ilə tamamlayır. Nümunələr: Aİ regionunda profilin saxlanması – SCC, atributun təxəllüsləşdirilməsi, DPO-nun təyin edilməsi, emal reyestri; analitik ixracı – identifikatorsuz aqreqatlar.

 GDPR Azərbaycanın Fərdi Məlumatlar Qanunundan nə ilə fərqlənir?
GDPR DPIA, məlumatların daşınması və silinməsi hüququnu və transsərhəd köçürmələrə dair ciddi qaydaları təqdim edir. Milli tənzimləmə xaricdə emal və saxlama şəraitinin qanuniliyini vurğulayır. Nümunə: CDP – psevdonimləşdirmə, məhdud giriş altında KMS uyğunluq açarı; ixrac – yalnız aqreqatlar.

 
 İstifadəçi məlumatlarının sızması ən çox harada baş verir və onların qarşısını necə almaq olar?
Verizon-un DBIR 2023-də insan səhvi və yanlış konfiqurasiyalar səbəbindən baş verən hadisələrin əhəmiyyətli bir hissəsi qeyd olunur. Insider fəaliyyəti və Shadow IT əlavə risklər yaradır. Pozulmalar ehtimalını azaltmaq üçün DLP sistemləri, tokenləşdirmə və təxəllüsləşdirmə, minimum imtiyazlara nəzarət və auditdən (ISO/IEC 27001:2022) istifadə olunur. Məsələn, bir telekommunikasiya şirkəti loglarda Cloud DLP və PII maskalanmasını həyata keçirdi; hadisələr azalıb, araşdırmalar sürətlənib.

 Qeydləri və telemetriyanı PII sızmalarından necə qorumaq olar?
Qeydlər tez-tez fərdi məlumatlardan ibarətdir ki, bu da sazlama və inteqrasiya zamanı risk yaradır. GDPR və ISO/IEC 27701:2019 identifikatorun minimuma endirilməsini və maskalanmasını tələb edir; uyğunluq açarları ayrıca saxlanılır. Məsələn, bir e-ticarət şirkəti avtomatik e-poçt/telefon nömrəsinin maskalanması və uyğunluq açarları üçün ayrıca KMS tətbiq etdi.