Добрый день!

Появилась тут задачка по сокрытию данных от посторонних глаз. Обусловлена таким документом, как PCI DSS. Кто знает - тот поймет, кто не знает - для начала не особо и важно.
Так вот, была мысль отъехать на Data Redaction, но, судя по всему, не получится. И прямая путя лежит к Transparent Data Encryption.
Отсель вопрос: кто пользовался? Какие грабли? Как решали вопрос поиска по индексированному и зашифрованному столбцу? Мб еще чего вспомните.
Мб есть другие варианты?
Пока задача на стадии анализа.
Oracle v.12c.

Avector,
Я и есть один из "компании с красным слоном".
Понятно, что там не только TDE, стандарт большой, требований много. У меня свои задачи.

oragraf,
ну вот и первые потенциальные грабли, на которые надо обратить внимание. За это спасибо.
---------------------------
И да, похоже, что нужны и DR и TDE.
Ну так как, кто работал с этими глюкалами, какие печали? Я ж знаю, у Оракла без этого никак. А то в доках очень как-то всё гладко.

конечно Вася,

Спасибо, конечно, за расширение кругозора, но не вижу, как оно применимо к данной ситуации.

Это есть
И это есть
Гложут сомнения. Без TDE (или чего-то подобного) унесенный файл БД или просто диск содержит открытые данные. Это недопустимо.

Поделитесь знанием, как маскировать выводимые данные при выполнении запроса вида select * from table, выполняемого от владельца таблицы table?
И да, я знаю, что DR дырявый, как дуршлаг. Но хотя бы видимость приличий он соблюдает.

Например, п. 3.3.а стандарта не согласен с этой позицией.

Разумеется. Можно зашифровать весь раздел СХД, но в целом для системы есть разница, шифровать 10Тб или 100Мб.
--------------------------------------------

Впрочем, отвлеклись. Что еще плохого можно сказать про готовые ораклячьи решения?

Да, именно поиск пока видится самым неприятным задокументированным моментом.

123йй,
Вот тут: для всех ролей, которым явным образом не разрешено видеть полный PAN, должен быть виден только маскированный PAN.

123йй,
в каком документе и в каком разделе я могу об этом прочитать?