我正在寻找有关GDPR和Firebase的建议,我在网上查看过,显然Firebase符合GDPR,因为它在传输过程中安全地存储数据,并且Firebase服务器本身是加密的。因此,如果是这种情况,我甚至需要在将个人数据发送到Firebase之前在本地加密个人数据吗?
目前,我正在加密所有个人数据,但问题是我希望有一个自动完成功能,可以在用户键入时搜索客户。现在这目前不起作用,因为搜索"sha"找不到"shaun",因为 shaun 目前是加密的。所以我想知道我是否需要加密客户详细信息,因为 firebase 本身是加密的。唯一的问题是我作为数据库管理员可以看到数据库中每个人的详细信息,但大多数应用程序中的所有数据库管理员肯定都是这种情况,因为您可以随心所欲地查询其中的数据并查看有关每个人的一切?
只要您不出于应用程序条款和条件之外的任何目的共享此数据,这应该没问题,不是吗?
所以首先要做几件事,当你在数据库级别加密数据时,该数据在应用层的任何使用都必须经过一定级别的解密。
因此,在您概述的示例中,自动完成功能理想情况下将由 API 提供,后端的 API 将通过解密过程获取加密数据,以将其保存在内存中并适当地返回到客户端。
此外,假设管理员不能去胭脂也是不行的,大多数数据泄露和韭菜都发生在内部来源。因此,最好在数据库中将 PII 保持加密状态。