DataSunrise Konformitatsmanager
DataSunrise Database Regulatory Compliance Manager – DDRC
In den letzten Jahren wurden massive Datenverletzungen verzeichnet, die Hunderte von Millionen Menschen betrafen. Dadurch verschärfen Gesetzgeber weltweit die Anforderungen an den Datenschutz und führen neue Vorschriften und Datenschutzanforderungen ein. Diese Vorschriften können für Organisationen, die nationale und internationale Datenschutzgesetze einhalten müssen, schwierig umzusetzen sein. Der Schutz personenbezogener Daten ist heute ein Muss für jedes Unternehmen oder jede Organisation.
DataSunrise macht komplizierte Dinge einfacher und unkomplizierter. Dies könnte sogar für ein so komplexes Bedürfnis wie die Einhaltung strenger nationaler und internationaler Vorschriften zutreffen. Benutzer erwarten von ihrem Datenbanksicherheitsanbieter, dass dieser die Einhaltung von Vorschriften automatisiert gewährleistet.
Einführung des neuen DataSunrise Compliance Managers, der offiziell DataSunrise Database Regulatory Compliance (DDRC) genannt wird.
DDRC hilft bei der Verwaltung, Automatisierung und Administration von Vorschriften wie GDPR, PCI DSS, HIPAA oder SOX.
DDRC ist in die DataSunrise Database Security Suite integriert, um die Einhaltung von Vorschriften zu analysieren, Sicherheitsrichtlinien zu konfigurieren und anzuwenden, um Daten in verschiedenen SQL- und Nicht-SQL-Datenbanken zu schützen. DataSunrise ermöglicht die Konfiguration von Sicherheitsrichtlinien und -regeln, einschließlich dynamischer Datenmaskierung, Datenprüfung, Blockieren von unbefugtem Zugriff und Verhindern von SQL-Injektionen.
In nur wenigen einfachen Schritten kann der Benutzer eine oder mehrere Vorschriften auswählen, mit denen er konform sein möchte, und diese sofort ausführen. DataSunrise Data Discovery findet automatisch die zu schützenden und zu prüfenden sensiblen Informationen gemäß den gewählten Vorschriften. Die neuen Sicherheitsrichtlinien werden automatisiert. DataSunrise Data Masking und Database Security werden sensible Daten verschleiern und/oder verdächtige und bösartige Anfragen an eine Datenbank blockieren.
Darüber hinaus können Benutzer, nachdem sie personenbezogene Daten erfolgreich geschützt haben, die Häufigkeit der automatischen Berichtserstellung festlegen. Die folgenden Arten von periodischen Berichten werden erstellt:
- Prüfbericht über sensible Daten: ein Bericht über alle Abfragen zu sensiblen Daten.
- Sicherheitsbericht über sensible Daten: ein Bericht über alle unbefugten Abfragen und SQL-Injektionen zu sensiblen Daten.
- Betriebsfehlerbericht über sensible Daten: ein Bericht über fehlgeschlagene Operationen mit sensiblen Daten.
Das Ergebnis ist, dass nicht nur die Datenbanken geschützt und konform mit den Sicherheitsvorschriften sind, sondern DataSunrise auch kontinuierlich die Aktivität der Benutzer oder den Zugriff auf ausgewählte Datenbankobjekte überwacht. Die Prüfberichte werden erstellt.
Beginnen Sie jetzt mit der Sicherung Ihrer Datenbank und seien Sie konform!
Überprüfen wir die Schritte, die erforderlich sind, um die Datensicherheitsvorschriften Ihrer Wahl einzuhalten.
Bevor Sie den Prozess der Einhaltung der GDPR beginnen, was tatsächlich nur wenige Minuten dauern wird, überprüfen Sie, wie DataSunrise jetzt aussieht. Gehen Sie im Abschnitt ‘Konfiguration’ im linken Bereich auf ‘Datenbankbenutzer’. Hier haben wir eine Liste der Benutzer, die bereits unserem System hinzugefügt wurden. Außerdem können wir Benutzer hinzufügen und löschen sowie Gruppen von Benutzern einrichten und löschen. Auf der Seite haben wir auch die Gruppen von Benutzern, die wir später verwenden werden. Diese Gruppen sind Chief_Information_Officer, Financial_Department, Sales_Department, Third_Party_Contractors und Suppliers. Später werden diesen Gruppen verschiedene Rollen zugewiesen, um auf sensible Informationen zuzugreifen. Wir haben den Benutzer “postgres” hier, der in der Gruppe Suppliers sein wird, der Gruppe, der wir die niedrigsten Zugriffsrechte zuweisen werden.
Gehen wir in die Gruppe Suppliers.
Hier sehen Sie unseren Benutzer “postgres”, den wir zuvor in die Gruppe Suppliers zusammen mit anderen Benutzern gestellt haben. Dies ist die Gruppe, der wir später die niedrigsten Zugriffsrechte auf sensible Informationen geben werden. Benutzer außerhalb einer Gruppe haben keinen Zugriff auf sensible Informationen.
Nun beginnen wir den GDPR-Einhaltungsprozess. Sie müssen die folgenden sehr einfachen Schritte durchführen, um GDPR-konform zu sein:
- Gehen Sie im linken Bereich der DataSunrise GUI zum Compliance Manager.
- Setzen Sie einen logischen Namen und die Datenbankinstanz, die mit der Vorschrift Ihrer Wahl konform sein soll. Der logische Name wird als Präfix für Ihre Referenz bei der Erstellung von Objektgruppen, periodischen Aufgaben, Regeln und Berichten verwendet.
- Geben Sie eine Datenbank, ein Schema und eine Tabelle an, damit DataSunrise nach sensiblen Informationen suchen kann. Wir haben ausgewählt, die Tabelle Customers aus dem öffentlichen Schema der New_DB-Datenbank zu schützen. Wenn Sie die Parameter zur Datenentdeckung nicht angeben, wird Ihre gesamte Datenbank(en) durchsucht, um sensible Daten zu finden.
- Stellen Sie dann die Suchkriterien ein. Sie können nach Standards oder nach Informationstypen suchen. Mit DataSunrise können Sie die Einhaltung von GDPR, HIPAA, PCI DSS, ISO27001 gewährleisten. Um alle bestehenden Datenschutzvorschriften einzuhalten, müssen Sie alle verfügbaren Regelungscheckboxen aktivieren. Im Bild haben wir uns entschieden, mit der GDPR konform zu sein.
- Stellen Sie dann die Häufigkeit der Entdeckung sensibler Informationen ein. DataSunrise wird automatisch neu hinzugefügte sensible Daten in festgelegten Intervallen abrufen, die sogar Minuten betragen können. Das Periodic Discovery-Feature findet neue sensible Daten und schützt sie. Das Ergebnis ist, dass Ihre Datenbank(en) rund um die Uhr geschützt sind, einschließlich neu hinzugefügter sensibler Daten.
- Klicken Sie dann auf “Nächster Schritt”.
Der nächste Schritt zeigt die ausgewählte Tabelle mit den Methoden zur Maskierung personenbezogener Informationen der Kunden. Durch Aktivieren der Kontrollkästchen in der Spalte Kontrollkästchen und anschließendem Klicken auf „Maskierung anpassen“ können Sie zusätzlich die Maskierungsmethoden auswählen. Klicken Sie auf “Nächster Schritt”.
Der nächste Schritt weist Rollen für die DS-Benutzergruppen zu. Sie können auch eine neue Benutzergruppe einrichten. Für die letzten beiden Gruppen Third_Party_Contractors und Suppliers haben wir den niedrigsten Zugriff auf sensible Informationsrechte vergeben. Benutzer außerhalb einer Gruppe haben keinen Zugriff auf sensible Informationen.
Danach stellen Sie die Berichterstattungseinstellungen ein. Wir verwenden das PDF-Format. Klicken Sie auf Fertigstellen und Sie sind fertig.
Auf der nächsten Seite wird angezeigt, dass Sie jetzt GDPR-konform sind, und es werden neu erstellte Sicherheitsrichtlinien aufgelistet. Unglaublich! Nur ein paar Klicks und Sie sind konform mit der GDPR-Vorschrift, die am 25. Mai 2018 in Kraft trat!
Stellen wir uns vor, dass der Benutzer „postgres“ in unserer Datenbank aktiv war. Und wie können wir verstehen, was dieser Benutzer getan hat und zu welcher Zeit? Das können wir in den Audit-Ereignissen und den Audit-Berichten sehen.
Nun, lass uns einen Bericht generieren. Gehen Sie dazu im linken Bereich zur Ereignisse-Sektion und dann zu Berichtserstellung. Klicken Sie anschließend auf den gewünschten Berichtstyp (Prüfung, Sicherheit oder Betrieb). Wir entscheiden uns für einen Prüfbericht. Scrollen Sie dann nach unten und klicken Sie auf „Jetzt starten“, um den Bericht sofort zu generieren.
Klicken Sie im Abschnitt Berichte auf das Download-Symbol, um den PDF-Bericht herunterzuladen. Öffnen wir den PDF-Bericht und sehen, welche Informationen er enthält.
Da es sich um einen Prüfbericht handelt, zeigt er, dass der Benutzer „postgres“ eine Select-Abfrage zu sensiblen Daten in unserer Datenbank ausgeführt hat. Wir haben diesem Benutzer in den DS-Benutzergruppen die niedrigsten Zugriffsrechte zugewiesen, dennoch kann dieser Benutzer diesen Abfragetyp ausführen. Aber alles, was diese Abfrage aus unserer PostgreSQL-Datenbank zurückgibt, sind nur maskierte Daten.
Zusätzlich zu einem Prüfbericht können Sie zusätzlich einen Sicherheitsbericht über alle blockierten Abfragen zu sensiblen Daten und einen Betriebsfehlerbericht über fehlerhafte Operationen mit sensiblen Daten haben.
DataSunrise stellt sicher, dass Sie alle bestehenden Datenschutzgesetze (GDPR, PCI DSS, HIPAA oder SOX) einhalten, und es wird wahrscheinlich weniger Zeit in Anspruch nehmen, als Sie für das Lesen dieses Beitrags benötigt haben.