Comme je le pensais, ils ont fait uniquement ce que PCI leur imposait, chiffrer les numeros de carte ...
Après quand ils parlent de données personnelles ... je ne pense pas qu'ils parlent du mot de passe ... aucun audit n'aurait laissé passer ça.
Par contre ne pas chiffrer nom, prenom, adresse et consort, c'est un peu ce que tout le monde fait ...
Chiffrer toute donnée en BDD est extremement couteux en terme machine, je ne connais aucune entreprise qui fait ça, et de toute manière il faut bien que les serveurs applicatifs dechiffrent les données en RAM, et donc les données seront lisible par l'attaquant si il parvient à ce niveau....
J'aime beaucoup le mec qui "fustige" sony car ils utilisent une version ancienne d'apache 2.2 et des kernel 2.6.9 et 2.6.18, ce sont les packages standard RHEL4 et 5 avec patchs secu backportés ... en gros c'est aussi secure quasiment qu'un 2.6.38 ...
https://access.redhat.com/security/u...g/?sc_cid=3093