【发布时间】:2018-01-21 12:01:04
【问题描述】:
出于诊断和使用目的,我想在遥测中记录以下内容:
- Azure 订阅 ID
- AAD 租户 ID
- AAD 应用客户端 ID
我应该将它们视为机密/PII 并对它们进行哈希/加密吗?
(不用说,我不会以任何形式或形式保留客户机密)
【问题讨论】:
标签: azure logging azure-active-directory telemetry pii
【发布时间】:2018-01-21 12:01:04
【问题描述】:
最终,您应该从合规/隐私/安全的角度,根据公司内部或第三方的官方和合规/隐私/安全审查和认证,确定要记录的内容和方式。
除了免责声明:
-
租户 ID 和应用客户端 ID 通常不被视为 PII 或机密。
- 不是 PII,因为它们本身不会告诉您用户是谁。
- 不是秘密,因为它们很容易获得。任何尝试登录您的应用程序的人都将接触到这些,因为它们包含在授权请求中。
-
Azure 订阅 ID 通常不被视为 PII,但根据您的敏感度,可能会被视为机密
- 不是 PII,因为它本身并不能告诉您用户是谁。
- 可能是一个秘密,因为它不容易公开给所有人。可以认为不是秘密,因为如果没有来自授权用户或应用程序的令牌,则无法使用它。
请注意,一些公司和隐私审查经常将这 3 个数据点视为组织可识别信息 (OII),有时会有处理这些数据点的政策(尽管没有 PII 严格)。
【讨论】:
-
赞成,谢谢! (1)如果我没有组织,我只是在写开源怎么办? (2) 如果我的组织是微软(我看到你也在那儿工作)怎么办?
-
我打算在 twitter/stackoverflow/quora 上发布一个问题,因为我想“为什么有人会回答这个确切的有点不直截了当的问题”并且显然首先用谷歌搜索以防万一 - 瞧.非常感谢!