да дам и аз своята лепта.. ето и моите 5 ст.
Според мен барем един пример да бяха дали щеше да им свърши много повече работа отколкото целите тия писаници дето са изписали (но нали трябва да нахраним и бюрократите)
Според мен идеята е следната - пазиш данните на хората на друго място (и физически) където са си и криптирани (ама ключа го пазиш на още по-друго място - и физически) а към фронт енда (уебсайт за плащания ... и каквото се сетите още) хвърчи само един идентификатор на лицето и НИКАКВИ ДАННИ - сега дали ще е хеш някакъв или ИД от другата БД, аз лично бих предпочел хеш за по-бърза валидация.
...та нещо такова ми се види се опитали да обяснят бюрократите дето им е трудно да го разберат, камо ли да го обяснят кактко трябва.
Въпроси за домашно:
1) Кой ще пази пазачите? т.е. как ще проверяват отговаряте ли на изискванията т.е. ако ще трябва да им предоставите достъп ще трябва след като си идат да сменяте паролите за достъп, ами ако нещо отиде при конкуренцията по време на одита... т.е. кой ще пази пазачите?
2) Само физически ли ги интересува къде са данните? т.е. дали са разделени, само дали са криптирани или и двете? - тогава ако са ми в облака как ще проверят (тук също важи и 1. - без права за достъп в 'частния/публичния' ви облак не могат да влязат да проверят дали са криптирани)
--
т.е. всичко ще е на доверие май...
П.П. Пука им на гадните типове напр. че като хакнат уеб сайта (най-ниско висящия плод) че там има само ИД-та или хешове, доколкото тези ИД-та продължават да им плащат сметките и могат да цоцат парички напр.

т.е. това че данните са съхранени отделно и са недостъпни не е гаранция че золумите са невъзможни - просто ограничават щетите т.е. като ви влезнат в акаунта на един сайт не могат да ви видят напр. ЕГН, адрес и пр. и не могат и другаде да се представят за вас - и само това т.е. само за това е всичката тая дандания...
П.П.П. А! И донякъде за да се отърват големите от отговорност (Гуглъ, Фейса и т.н.) защото сега каквото стане и кой където хакнат и все вика - от (Гугъл, Фейс... и т.н.) ми откраднаха паролата/данните, а че той тая парола/данни/ я ползва навсякъде хич и не мислят.. така че за да спят спокойно големите - отварят работа сега на малките ..защото при правилното прилагане и да ви откраднат ИД/хеш от напр. arena.bg/bradva.bg и т.н. нали се сещате че тоя същия хеш/ИД няма да работи на Гългъл.. и сие - и вече оправданието (от Гугъл ми откраднаха ...) няма да върви - т.е. вместо да глобяват Гугъл (почти) всяка г. от ЕС - сега ще глобяват много (стотици... може би хиляди) малки фирмички за да получат горе-долу същата сума.. щото (евро)бюрократа и той човек и той... (..ама за 5 ст. толкова)