IS TDE PCI準拠？

ここでは、Microsoft SQL Serverが提供する「TDE」機能について話していると想定しています。

[〜＃〜] tde [〜＃〜] は透過的データ暗号化を意味し、「透過的」に重点を置いています。これは、保存時にデータに適用される暗号化レイヤーです。 SQL Serverが管理するすべてのバイトは、ディスクに書き込まれる前に暗号化され、読み取られるときに復号化されます。 SQL Serverを使用するアプリケーションは、そのプロセスを認識する必要はありません。これは、SQL Serverとそのストレージファイルの間の対話にのみ存在する問題です。したがって、透明性。その良い点は、適用が簡単で、非常に良好に機能することです（CPUオーバーヘッドが小さいから無視できる程度、余分なI/O、余分なスペースがありません...）。悪い面は、アプリケーションではなくSQL Server自体がゲートキーパーであるということです。SQLServerによってアクセスを許可されたユーザーは、明確なデータを見ることができます。

PCIコンプライアンスについては、この段落を含む このドキュメント を参照してください（最後に）：

一部の暗号化ソリューションは、データベースに格納されている情報の特定のフィールドを暗号化します。他のものは、単一のファイル、またはデータが保存されているディスク全体を暗号化します。フルディスク暗号化を使用する場合、論理アクセスは、ネイティブのオペレーティングシステムのアクセス制御メカニズムとは別に管理する必要があります。復号化キーをユーザーアカウントに関連付けないでください。カード会員データの暗号化に使用される暗号化キーは、開示と誤用の両方から保護する必要があります。カード会員データの暗号化に使用される鍵のすべての鍵管理プロセスと手順は、完全に文書化され実装されている必要があります。詳細については、PCI DSS要件3を参照してください。

「フルディスク暗号化」はTDEに適用されるものです（TDEは名目上ファイルに適用されますが、すべてのファイルに適用されます）。 TDEでは、実際の暗号化キーはSQL Serverによって管理されます。SQLServerは、その構成に基づいてユーザーに論理アクセスを許可するかどうかを決定します。これは、ユーザーアカウントにマップする場合としない場合があります。したがって、TDEがPCIコンプライアンスを許可するかどうかは、それがどのように使用されるかに依存すると言えます。

TDEを使​​用してPCIコンプライアンスを実現する方法について明確な回答をする資格はありませんが、 Wikipediaページ には励みになる抜粋が含まれています。「企業は通常、PCIなどのコンプライアンス問題を解決するためにTDEを採用DSS。」したがって、TDEでPCI要件を満たすことは可能である、または少なくとも多くの人がそれが可能であると確信しているように思われ、これはほぼ同じです。 。

Microsoftは、SQL Serverをどのように構成し、コンプライアンスのコンテキストで使用するかについて ドキュメント を持っています。彼らは Webcast も持っています。これには多くの有用な情報が含まれている可能性があります（私はそれを表示していません）。