SQL Server: buenas prácticas para manejar datos sensibles (Número pasaporte, tarjeta de crédito, ...)

[Carlos Admirador]

Cuáles podrían ser?

Al hacer la consulta con SSMS, la columna debería aparecer "encriptada".

Cuando se haga una consulta SQL (con un usuario/login de Sql Server) vía .NET (C#), por ejemplo, debería aparecer en claro?.

Con otro usuario/login de Sql Server, aunque hagas la consulta SQL, debería aparecer la columna encriptada?

[Carlos Admirador]

Alguna relación entre Data Masking (dinámico) con Data Classification?

Ref: https://www.sqlshack.com/sql-data-classification-add-sensitivity-classification-in-sql-server-2019

[Carlos Admirador]

Javier Fernández:

Pues tendrás que encriptarla y desencriptarla en .Net

En Sql Server se puede utilizar el enmascaramiento dinámico, pero depende de los usuarios/logins con los que se ejecute y como se ejecute. 

Aquí tienes como se hace.

Data Masking

https://javifer2.wordpress.com/2019/11/17/unmask-data-masking-o-en-castellano-no-te-voy-a-ensenar-todos-los-datos/

El enmascaramiento estático, de momento parece haberse caído y quedado solo para Azure.

Aunque se mencionó en la 18.5 de Management Studio preview, de momento no parece ir adelante.

https://azure.microsoft.com/en-in/blog/static-data-masking-preview/

Con un UPDATE:  la update se ejecuta, y si lo visualizas con un user "enmascarado" se ve enmascarado, y si la ejecutas con un user libre del dataMask, se ve correctamente.

Alguna relación entre Data Masking (dinámico) con Data Classification?

Si, los metadatos que se apuntan con dataClassification, serían sobre los campos en los que estableces un enmascaramiento de datos, entre otros. Son conceptos que pueden y deberían de ir parejos.