Мы небольшая компания, в которой работает всего несколько сотрудников. Наш нетехнический операционный директор попросил нас настроить копию производственной базы данных, чтобы он мог использовать ее с такой службой, как Chartio, потому что наша (правда, плохая) панель администратора не отвечает его потребностям.
Главный операционный директор хочет использовать друга (подрядчика) для интеграции службы Chartio с нашей базой данных.
Все наши пароли зашифрованы, но адреса электронной почты и имена хранятся в открытом виде. Мы обрабатываем платежи через стороннего поставщика, поэтому мы не храним конфиденциальную финансовую информацию, кроме общих транзакций.
Это плохая идея или я слишком осторожен?
PS: Мы бы сами настраивали сервер базы данных, чтобы иметь контроль над брандмауэром и прочим.
В конце концов, директора компании принимают решения от имени компании, поэтому я не думаю, что буду готов отказаться от того, что сделает что-то просто неразумное (хотя я бы не стал сделать что-то, что я считал незаконным - во многих юрисдикциях «выполнение приказов вышестоящего начальника» не защитит вас от последствий нарушения закона).
Если бы это был я, я бы хотел, чтобы он научил меня на письме передать ему копию, и желательно в этой инструкции, чтобы подтвердить, что он знал о моих опасениях по поводу того, что эта база данных покидает компанию, но тем не менее давал мне указание действовать.
Задокументируйте, что вы делаете, и создайте копию. Если вы не раскрываете очень конфиденциальные данные (электронные письма - это не совсем так), реального вреда нет. Однако документ! Таким образом, если что-то произойдет (цинично), вы прикрыты.
Субъективный вопрос, но я говорю плохая идеяпо одной основной причине: вы устраняете симптом, а не проблему. Что происходит, когда Чартио больше не удовлетворяет свои потребности? Затем мы переходим к следующему важному делу и открываем еще одну копию вашей БД.
Настоящая проблема - это решение для создания отчетов из базы данных. Вы не упомянули, какую БД вы используете, но если предположить, что что-то вроде MySQL, а затем оплата за chartio, я чувствую, что цель использования бесплатной БД. Если вы платите за Chartio, вы также можете платить за MSSQL и получать отличные отчеты. Я уверен, что есть достойные бесплатные решения для создания отчетов MySQL, хотя я не знаю ни одного другого.
Я согласен с ответом, чтобы он был изложен в письменной форме и выражал озабоченность (особенно если вы специалист в области ИТ-безопасности), но я чувствую, что это создаст прецедент для главного операционного директора (и, вероятно, других больших париков), диктующего ИТ-политику. Подумать только, из чьего бюджета выходит этот Чартио ...?
Обновить
Наконец, создание «копии» производственной базы данных на самом деле не будет лучшим решением, потому что это копия и никогда не будет в реальном времени (я думаю, вы имеете в виду буквальную копию, а не кластеризацию / репликацию).