ano, hash čísla občanky je shodný pro zákon jako kdybyste měli uloženo samotné číslo.
Velice důležité v tomhle případě je, jestli text, který hashujete je možné získat dopředu. Mohu si nagenerovat všechna možná čísla občanek, udělat hashe a poté vlastně mám čísla vašich občanek a vy máte problém, došlo k jednoznačné identifikaci z vašich údajů a o tom to celé je.
Stejný problém nastává pokud takhle hashujete, jména, adresy, emaily atd. atd. Pokud vám jde o bezpečnost (chválím to) a nechce ukládat samotná čísla, přidejte k textů před hashováním unikátní seed pro každý takový záznam, stejně tak přidejte tajný dlouhý text, který máte někde bezpečně zašifrovaný. Pokud někdo nezvoře implementaci, je to dostatečné, abyste mohli být v klidu.
Pořád ale platí, že tím nevyhnete legislativě a bude na vás pohlíženo jako na zpracovatele osobních údajů, budete muset podstoupit všechny potřebné kroky, s GDPR těch kroků bude hodně.
Mluvím ze zkušeností z finančních a bankovního sektoru, kde podobné triky jsme se mnohokrát snažili použít, nelíbí se to soudům, úřadům, interním právníkům. Neprochází ani varianta s poměrně složitou strukturou takových údajů, kde je pro útočníka složité to dopředu složit (jméno, adresa, datum, číslo občanky atd.).
V německé pobočce jedné pojišťovny se používá zajímavé řešení. Na pobočce si skontrolují a ověří doklady (občanku, čísla atd.), podepíší smlouvu, kterou nechají podepsat před notářem (asi naše obdoba ověřeného podpisu na poště) a poté pojištěnci vydají ID kartičku s jeho unikátním číslem, zvolí si pin, sváží s telefonním číslem a to je vše. Ve svém systému nemají žádné osobní informace evidované o daném klientovi a až v případě pojistné události takové informace zjišťují a ověřují. Moc podrobnosti neznám, mám tohle jen z doslechu a berte to jako tip, kde by mohl být prostor se vyhnout ukládání údajů.
32 Odpovědí
8118 Zhlédnutí