
Come Rispettare i Requisiti di GDPR, SOX, PCI DSS e HIPAA
Dato che DataSunrise è un potente strumento di sicurezza, può aiutare i suoi utenti a raggiungere e mantenere la conformità con alcuni standard di sicurezza dei dati, come GDPR, SOX, PCI DSS e HIPAA. Per compiere questo compito non così facile, DataSunrise ha a sua disposizione quattro componenti: Audit dei Dati, Sicurezza dei Dati, Mascheramento dei Dati e Scoperta di Dati Sensibili. La nostra completa suite di sicurezza dei dati affronta la sfida critica: come rispettare GDPR, SOX, PCI DSS e HIPAA utilizzando una soluzione unificata.
Audit dei Dati
Come suggerisce il nome, il modulo di audit dei dati è utilizzato per i compiti di audit del database. Fondamentalmente, il firewall esegue un monitoraggio continuo del traffico del database e raccoglie informazioni su tutte le azioni degli utenti e le modifiche apportate al contenuto del database.
Se da un lato l’audit del database è utilizzato principalmente per l’investigazione delle violazioni dei dati e la valutazione delle vulnerabilità del sistema di sicurezza, il monitoraggio continuo aiuta a rilevare i preparativi per una violazione dei dati. Per controllare un processo di audit del database viene utilizzato un set di regole di sicurezza dedicato.
Sicurezza dei Dati
È lo strumento di base che DataSunrise utilizza per contrastare varie azioni dannose: previene l’accesso non autorizzato e difende il database contro SQL injections.
La funzionalità di Sicurezza dei Dati si basa su algoritmi intelligenti di analisi SQL, permettendo a DataSunrise di rilevare tentativi di accesso non autorizzato e SQL injections in tempo reale.
La Sicurezza dei Dati è regolata da un set di regole che definiscono le condizioni per attivare la protezione e la sequenza delle azioni del firewall. Se DataSunrise rileva una query vietata o codice malevolo, blocca il tentativo di accesso al database e informa l’amministratore del firewall tramite email.
Mascheramento dei Dati
Grazie a questa funzionalità, l’amministratore del firewall può nascondere le voci del database agli utenti non autorizzati sostituendo i contenuti delle voci con valori casuali o stringhe predefinite. DataSunrise esegue il mascheramento dei dati in tempo reale, subito dopo aver intercettato una query sospetta. Poiché i dati vengono offuscati prima di lasciare il database, il mascheramento aiuta a prevenire possibili fuoriuscite di dati.
Nella maggior parte dei casi, il mascheramento dei dati è utilizzato non per proteggere i dati dagli hacker, ma in situazioni in cui è previsto un trasferimento intenzionale di dati a terze parti (ad esempio, tester di software).
Si noti che questa è una breve descrizione dei componenti del firewall DataSunrise, quindi se desidera sapere di più sulla funzionalità del nostro prodotto, si prega di fare riferimento alla documentazione. Ora ci concentriamo sulle normative per la sicurezza dei dati e sui modi in cui DataSunrise aiuta a rispettarle.
Scoperta di Dati Sensibili
La funzione di Scoperta di Dati Sensibili è progettata per scansionare il contenuto del database allo scopo di rilevare vari tipi di dati riservati. La funzionalità aiuta a mitigare il rischio di fuoriuscite di dati fornendo uno strumento pratico per gestire i dati sensibili su diverse piattaforme e applicare regole di sicurezza alle colonne rilevate con dati ad alto rischio.
Che Cos’è SOX?
Il Sarbanes-Oxley Act (SOX) è una legge federale che stabilisce requisiti rigorosi di rendicontazione finanziaria per le società pubbliche statunitensi. SOX mira a prevenire le frodi contabili assicurando che tutti i rapporti sulle attività finanziarie contengano informazioni veritiere e affidabili che possano essere verificate da revisori indipendenti.
Ci sono due sezioni principali che riguardano la sicurezza dei dati: Sezione 302 e Sezione 404. Secondo la Sezione 302, i soggetti SOX devono proteggere i loro dati in modo responsabile per essere sicuri che i loro rapporti non siano basati su dati errati.
La Sezione 404 della SOX, a sua volta, è dedicata ai mezzi tecnici che le società pubbliche devono impiegare per proteggere i loro dati finanziari da manomissioni e usi impropri. Inoltre, la Sezione 404 stabilisce che le società dovrebbero permettere che i mezzi di sicurezza e l’integrità dei dati vengano verificati da revisori indipendenti e dovrebbero segnalare tutte le violazioni dei dati occorse.
Come può aiutare DataSunrise?
Rilevamento delle violazioni di sicurezza
Lo strumento di Audit dei Dati di DataSunrise aiuta a rilevare le violazioni di sicurezza e a eseguire un’adeguata indagine. Allo stesso tempo, il componente di Audit dei Dati registra tutte le azioni compiute sul database e fornisce al revisore indipendente l’intera gamma di dati necessari per completare i propri compiti.
Protezione dei dati finanziari da manomissione e furto
DataSunrise aiuta a controllare l’accesso degli utenti alle informazioni sensibili utilizzando un insieme di politiche di sicurezza basate sul nome dell’utente del database, indirizzo IP, nome dell’applicazione e dichiarazioni SQL utilizzate.
Il firewall permette al suo amministratore di tracciare tutte le modifiche al database e garantire che i dati aziendali non siano stati modificati senza la dovuta autorizzazione. Inoltre, DataSunrise aiuta a prevenire modifiche non autorizzate al contenuto del database grazie alla sua funzionalità di Sicurezza dei Dati.
Che Cos’è PCI DSS?
Il Payment Card Industry Security Standard (PCI DSS) è stato creato dai principali marchi di carte di pagamento (Visa, MasterCard, American Express, JCB e Discover) per essere utilizzato dalle aziende che gestiscono i dati delle carte di credito e dai loro partner commerciali. In effetti, PCI DSS è un insieme di linee guida dettagliate, mirate a proteggere l’elaborazione delle carte di credito e ridurre drasticamente il rischio di violazioni dei dati.
Come può aiutare DataSunrise?
Controllo dell’accesso al database
Il PCI (Req 7) obbliga i suoi soggetti a limitare l’accesso alle informazioni dei titolari di carte di credito su base necessaria. Significa che le aziende devono implementare un controllo rigoroso sui diritti di accesso degli utenti e limitare l’accesso alle informazioni sensibili solo agli individui il cui lavoro richiede tale accesso.
Il componente di Sicurezza dei Dati di DataSunrise aiuta a prevenire azioni non autorizzate degli utenti bloccando l’accesso a specifici elementi del database. In alcuni casi, se esistono requisiti speciali, certi elementi del database potrebbero non essere bloccati ma offuscati con uno strumento di mascheramento dei dati.
Disabilitazione degli account utente inattivi
Secondo il Requisito 8.1.5, i soggetti del PCI sono obbligati a disabilitare o rimuovere account utente inattivi (poiché gli hacker spesso utilizzano un account inattivo per perpetrate una violazione del database).
Questo compito può essere completato con l’aiuto del componente di Audit dei Dati. Esso monitora tutte le attività degli utenti e aiuta a rilevare utenti inattivi così come comportamenti sospetti degli utenti.
Prevenzione delle violazioni del database
Il Requisito PCI 8.7 stabilisce che dovrebbe essere utilizzato solo un metodo programmatico per accedere a qualsiasi database contenente dati dei titolari di carte e che solo gli amministratori del database dovrebbero avere la possibilità di accedere o interrogare direttamente i database.
Nella maggior parte dei casi, DataSunrise è implementato in una configurazione di proxy, il che significa che nessun utente può accedere direttamente al database, ma solo attraverso il firewall. Questo impedisce agli hacker di sfruttare le vulnerabilità del software per eseguire una violazione dei dati. Combina questa funzione con algoritmi avanzati di analisi SQL del componente di Sicurezza dei Dati e può essere sicuro che questo requisito del PCI sia soddisfatto.
Audit del database
Il Requisito PCI 10 contiene 25 sotto-requisiti che obbligano le entità coperte a implementare mezzi di audit. Fondamentalmente, le organizzazioni devono tracciare tutte le attività degli utenti e prevenire qualsiasi accesso non autorizzato alle informazioni dell’audit.
DataSunrise aiuta a soddisfare le richieste sopra menzionate utilizzando la sua funzionalità di Audit dei Dati. Il firewall esegue un audit continuo del database e monitora tutte le azioni degli utenti e delle applicazioni client senza influire sul server del database o sul database stesso. È di grande importanza che i rapporti di Audit dei Dati permettano all’amministratore del firewall di collegare tutte le azioni registrate a utenti specifici attraverso i mezzi di un sistema SIEM esterno.
Che Cos’è HIPAA?
Il Health Insurance Portability and Accountability Act (HIPAA) degli Stati Uniti fornisce protezione federale per le informazioni sanitarie dei pazienti contro l’abuso o l’esposizione. I soggetti di questa legge sono: fornitori di servizi sanitari (medici di vario tipo), assicurazioni sanitarie e programmi, clearinghouse di assistenza sanitaria. La Regola di Sicurezza HIPAA specifica una serie di salvaguardie amministrative, fisiche e tecniche che i suoi soggetti devono impiegare per proteggere le informazioni sanitarie elettroniche protette (ePHI) dall’essere utilizzate in modo improprio da individui non autorizzati.
Come può DataSunrise aiutare a rispettare GDPR SOX PCI DSS e HIPAA?
Controllo dell’accesso ePHI
Secondo HIPAA (regs 164.312(a)(1) e 164.308(a)(4)), le entità coperte devono limitare l’accesso agli ePHI su base necessaria. Significa che solo individui e programmi software propriamente autorizzati dovrebbero poter accedere agli ePHI.
DataSunrise consente al suo amministratore di proteggere il database ePHI dall’essere accesso o modificato senza la dovuta autorizzazione grazie alla sua funzionalità di Sicurezza dei Dati. Per completare questo compito, l’amministratore del firewall crea un set di politiche di sicurezza per ogni utente o gruppo di utenti per specificare quali elementi del database possono essere accessibili o limitati. DataSunrise quindi monitora tutte le azioni degli utenti e blocca i tentativi di accesso non autorizzati.
ePHI auditing
HIPAA richiede ai suoi soggetti di implementare meccanismi tecnici e procedurali per registrare e esaminare l’attività nei sistemi informativi che contengono o utilizzano ePHI (reg 164.312(b)).
DataSunrise aiuta a soddisfare questi requisiti utilizzando la funzionalità di Audit dei Dati. DataSunrise monitora continuamente il traffico del database e registra tutte le azioni degli utenti del database e delle applicazioni client. I rapporti di audit consentono all’amministratore di identificare l’utente finale e le applicazioni utilizzate per accedere al database.
Conclusioni
DataSunrise soddisfa i requisiti più critici degli standard di sicurezza sopra menzionati. Si noti però che solo DataSunrise non può soddisfare tutte le esigenze, ma solo quelle specifiche per il database. Per essere conformi a GDPR SOX PCI DSS e HIPAA, è necessario impiegare un sistema di mezzi di sicurezza che comprenda sia protezioni amministrative che tecniche.
DataSunrise supporta tutti i principali database e data warehouse come Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata e altri ancora. È invitato a scaricare una versione di prova gratuita se desidera installarla nei suoi locali. Nel caso sia un utente cloud e gestisca il suo database su Amazon AWS o Microsoft Azure può ottenerla dal AWS market place o dal Azure market place.