DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Wie man den Anforderungen von GDPR, SOX, PCI DSS und HIPAA entspricht

Wie man den Anforderungen von GDPR, SOX, PCI DSS und HIPAA entspricht

Da DataSunrise ein leistungsstarkes Sicherheitstool ist, kann es seinen Benutzern helfen, die Einhaltung einiger Datensicherheitsstandards wie GDPR, SOX, PCI DSS und HIPAA zu erreichen und aufrechtzuerhalten. Um diese nicht ganz einfache Aufgabe zu bewältigen, stehen DataSunrise vier Komponenten zur Verfügung: Datenprüfung, Datensicherheit, Datenmaskierung und Erkennung sensibler Daten. Unsere umfassende Datensicherheitssuite adressiert die kritische Herausforderung: wie man GDPR, SOX, PCI DSS und HIPAA mithilfe einer einheitlichen Lösung erfüllt.

Datenprüfung

Wie der Name schon sagt, wird das Datenprüfungsmodul für Datenbankprüfungsaufgaben verwendet. Grundsätzlich führt die Firewall eine kontinuierliche Überwachung des Datenbankverkehrs durch und sammelt Informationen über alle Benutzeraktionen und Änderungen, die an den Inhalten der Datenbank vorgenommen werden.

Während die Datenbankprüfung hauptsächlich für die Untersuchung von Datenverletzungen und die Bewertung von Sicherheitslücken im System genutzt wird, hilft die kontinuierliche Überwachung, Vorbereitungen für Datenverletzungen zu erkennen. Zur Steuerung des Datenbankprüfungsprozesses wird ein spezieller Satz von Sicherheitsregeln verwendet.

Datensicherheit

Es ist das grundlegende Werkzeug, das DataSunrise zur Abwehr verschiedener schädlicher Aktionen nutzt: Es verhindert unbefugten Zugriff und schützt die Datenbank vor SQL-Injektionen.

Die Datensicherheitsfunktionen basieren auf intelligenten SQL-Analyse-Algorithmen, die es DataSunrise ermöglichen, unbefugte Zugriffsversuche und SQL-Injektionen in Echtzeit zu erkennen.

Die Datensicherheit wird mit einem Satz von Regeln angepasst, die Bedingungen für die Aktivierung des Schutzes und die Reihenfolge der Firewall-Aktionen definieren. Wenn DataSunrise eine verbotene Abfrage oder bösartigen Code erkennt, blockiert es den Datenbankzugriffsversuch und informiert den Firewall-Administrator per E-Mail.

Datenmaskierung

Dank dieser Funktion kann der Firewall-Administrator Datenbankeinträge vor unbefugten Benutzern verbergen, indem die Inhaltseinträge durch Zufallswerte oder vordefinierte Zeichenfolgen ersetzt werden. DataSunrise führt Datenmaskierung in Echtzeit aus, unmittelbar nachdem eine verdächtige Abfrage abgefangen wurde. Da die Daten vor dem Verlassen der Datenbank obfuskiert werden, hilft die Maskierung, mögliche Datenlecks zu verhindern.

In den meisten Fällen wird die Datenmaskierung nicht verwendet, um Daten vor Hackern zu schützen, sondern in Situationen, in denen eine beabsichtigte Datenübertragung an Dritte (z. B. Software-Tester) erfolgt.

Bitte beachten Sie, dass dies eine kurze Beschreibung der DataSunrise-Firewall-Komponenten ist. Wenn Sie mehr über die Funktionen unseres Produkts erfahren möchten, lesen Sie bitte die Dokumentation. Jetzt werden wir uns auf die Datensicherheitsvorschriften konzentrieren und darauf, wie DataSunrise hilft, sie einzuhalten.

Erkennung sensibler Daten

Die Funktion zur Erkennung sensibler Daten dient dazu, den Inhalt der Datenbank auf verschiedene Arten vertraulicher Daten zu durchsuchen. Diese Funktion trägt dazu bei, das Risiko von Datenlecks zu mindern, indem sie ein praktisches Werkzeug zur Verwaltung sensibler Daten auf verschiedenen Plattformen bietet und Sicherheitsregeln für erkannte Spalten mit Hochrisikodaten anwendet.

Was ist SOX?

Der Sarbanes-Oxley Act (SOX) ist ein Bundesgesetz, das strenge Anforderungen an die Finanzberichterstattung für börsennotierte US-Unternehmen stellt. SOX soll verhindern, dass Investoren durch Bilanzbetrug getäuscht werden, indem sichergestellt wird, dass alle Berichte über Finanzaktivitäten wahrheitsgemäße und zuverlässige Informationen enthalten, die von unabhängigen Prüfern überprüft werden können.

Es gibt zwei Hauptabschnitte, die sich auf Datensicherheit beziehen: Abschnitt 302 und Abschnitt 404. Gemäß Abschnitt 302 müssen SOX-subjekte ihre Daten verantwortungsvoll schützen, um sicherzustellen, dass ihre Berichte nicht auf fehlerhaften Daten basieren.

Abschnitt 404 von SOX bezieht sich wiederum auf technische Mittel, die börsennotierte Unternehmen einsetzen müssen, um ihre Finanzdaten vor Manipulation und Missbrauch zu schützen. Darüber hinaus fordert Abschnitt 404, dass Unternehmen Sicherheitsmaßnahmen und Datenintegrität durch unabhängige Prüfer überprüfen lassen und alle aufgetretenen Datenverletzungen melden.

Wie kann DataSunrise helfen?

Erkennung von Sicherheitsverletzungen

Das DataSunrise Data Audit Tool hilft, Sicherheitsverletzungen zu erkennen und ordnungsgemäße Untersuchungen durchzuführen. Gleichzeitig protokolliert die Datenprüfungskomponente alle Aktionen, die an der Datenbank vorgenommen wurden, und stellt dem unabhängigen Prüfer die vollständige Palette an Daten zur Verfügung, die er zur Erfüllung seiner Aufgaben benötigt.

Schutz von Finanzdaten vor Manipulation und Diebstahl

DataSunrise hilft, den Benutzerzugang zu sensiblen Informationen zu kontrollieren, indem es eine Reihe von Sicherheitsrichtlinien auf der Grundlage des Datenbankbenutzernamens, der IP-Adresse, des Anwendungsnamens und der verwendeten SQL-Anweisungen verwendet.

Die Firewall ermöglicht es ihrem Administrator, alle Änderungen an der Datenbank zu verfolgen und sicherzustellen, dass Unternehmensdaten nicht ohne ordnungsgemäße Genehmigung geändert wurden. Darüber hinaus hilft DataSunrise, unbefugte Änderungen am Inhalt der Datenbank zu verhindern, dank seiner Datensicherheitsfunktionalität.

Was ist PCI DSS?

Der Payment Card Industry Security Standard (PCI DSS) wurde von den wichtigsten Kreditkartenmarken (Visa, MasterCard, American Express, JCB und Discover) erstellt, und soll von Unternehmen, die Kreditkartendaten verarbeiten, und ihren Geschäftspartnern verwendet werden. Tatsächlich handelt es sich bei PCI DSS um einen Satz detaillierter Richtlinien, die darauf abzielen, die Kreditkartenverarbeitung zu sichern und das Risiko von Datenverletzungen drastisch zu verringern.

Wie kann DataSunrise helfen?

Datenbankzugangskontrolle

PCI (Erfordernis 7) verpflichtet seine Subjekte, den Zugang zu den Informationen der Kreditkarteninhaber auf einer Need-to-Know-Basis zu beschränken. Das bedeutet, dass Unternehmen strenge Kontrollen über Benutzerzugangsrechte implementieren und den Zugang zu sensiblen Informationen nur denjenigen Personen ermöglichen müssen, deren Arbeit einen solchen Zugriff erfordert.

Die DataSunrise-Datensicherheitskomponente hilft, unbefugte Benutzeraktionen zu verhindern, indem der Zugriff auf bestimmte Datenbankelemente blockiert wird. In einigen Fällen, wenn spezielle Anforderungen bestehen, können bestimmte Datenbankelemente nicht blockiert, sondern mit dem Datenmaskierungstool verschleiert werden.

Deaktivieren inaktiver Benutzerkonten

Gemäß der Anforderung 8.1.5 sind die PCI-Sujets verpflichtet, inaktive Benutzerkonten zu deaktivieren oder zu entfernen (weil Hacker oft ein ruhendes Konto verwenden, um eine Datenbankverletzung durchzuführen).

Diese Aufgabe kann mit Hilfe der Datenprüfungskomponente erledigt werden. Es überwacht alle Benutzeraktivitäten und hilft, inaktive Benutzer sowie verdächtiges Benutzerverhalten zu erkennen.

Verhinderung von Datenbankverletzungen

PCI Anforderung 8.7 legt fest, dass nur programmatische Methoden zum Zugriff auf Datenbanken, die Karteninhaberdaten enthalten, verwendet werden dürfen und dass nur Datenbankadministratoren die Fähigkeit haben sollten, direkt auf Datenbanken zuzugreifen oder Abfragen durchzuführen.

In den meisten Fällen wird DataSunrise in einer Proxy-Konfiguration eingesetzt, was bedeutet, dass kein Benutzer direkt auf die Datenbank zugreifen kann, sondern nur über die Firewall. Es verhindert, dass Hacker Software-Schwachstellen ausnutzen, um eine Datenverletzung durchzuführen. Kombinieren Sie diese Funktion mit den fortschrittlichen SQL-Analysealgorithmen der Datensicherheitskomponente und Sie können sicher sein, dass diese PCI-Anforderung erfüllt ist.

Datenbank-Prüfung

PCI-Anforderung 10 enthält 25 Unteranforderungen, die die betroffenen Einheiten verpflichten, Prüfmittel zu implementieren. Grundsätzlich müssen Organisationen alle Benutzeraktivitäten nachverfolgen und unbefugten Zugriff auf Auditinformationen auch verhindern.

DataSunrise hilft, die oben genannten Anforderungen zu erfüllen, indem es seine Datenprüfungsfunktion nutzt. Die Firewall führt kontinuierliche Datenbankprüfungen durch und überwacht alle Benutzer- und Clientanwendungsaktionen, ohne zusätzliche Last auf den DB-Server oder die Datenbank selbst zu verursachen. Es ist von großer Bedeutung, dass Datenprüfungsberichte es dem Firewall-Administrator ermöglichen, alle registrierten Aktionen bestimmten Benutzern mithilfe eines externen SIEM-Systems zuzuordnen.

Was ist HIPAA?

Der US Health Insurance Portability and Accountability Act (HIPAA) bietet bundesstaatlichen Schutz für Gesundheitsinformationen von Patienten vor Missbrauch oder Offenlegung. Betroffene dieses Gesetzes sind: Gesundheitsdienstleister (Ärzte verschiedener Art), Krankenversicherungsunternehmen und -programme, Clearingstellen für Gesundheitswesen. Die HIPAA-Sicherheitsregel spezifiziert eine Reihe von administrativen, physischen und technischen Schutzmaßnahmen, die ihre Subjekte ergreifen sollten, um elektronische geschützte Gesundheitsinformationen (ePHI) vor Missbrauch durch unbefugte Personen zu schützen.

Wie kann DataSunrise helfen, den Anforderungen von GDPR, SOX, PCI DSS und HIPAA zu entsprechen?

ePHI-Zugangskontrolle

Gemäß HIPAA (Vorschriften 164.312(a)(1) und 164.308(a)(4)) sollten betroffene Einheiten den Zugang zu ePHI auf einer Need-to-Know-Basis einschränken. Das bedeutet, dass nur ordnungsgemäß autorisierte Einzelpersonen und Softwareprogramme Zugriff auf ePHI haben sollten.

DataSunrise ermöglicht es seinem Administrator, die ePHI-Datenbank davor zu schützen, dass ohne ordnungsgemäße Autorisierung darauf zugegriffen oder diese verändert wird, dank seiner Datensicherheitsfunktionalität. Um diese Aufgabe zu erfüllen, erstellt der Firewall-Administrator eine Reihe von Sicherheitsrichtlinien für jeden Benutzer oder jede Benutzergruppe, um festzulegen, welche Datenbankelemente zugelassen oder eingeschränkt werden sollen. Dann überwacht DataSunrise alle Benutzeraktionen und blockiert unbefugte Zugriffsversuche.

ePHI-Prüfung

HIPAA verlangt von seinen Subjekten, technische und verfahrensmäßige Mechanismen zu implementieren, um Aktivitäten in Informationssystemen, die ePHI enthalten oder verwenden, aufzuzeichnen und zu überprüfen (Vorschrift 164.312(b)).

DataSunrise hilft, diese Anforderungen durch die Nutzung der Datenprüfungsfunktion zu erfüllen. DataSunrise überwacht kontinuierlich den Datenbankverkehr und zeichnet alle Aktionen von Datenbankbenutzern und Client-Anwendungen auf. Die Prüfberichte ermöglichen es dem Administrator, den Endbenutzer und die Anwendungen zu identifizieren, die zum Zugriff auf die Datenbank verwendet wurden.

Fazit

DataSunrise erfüllt die wichtigsten Anforderungen der oben genannten Sicherheitsstandards. Es sollte jedoch beachtet werden, dass DataSunrise allein nicht alle unterschiedlichen Anforderungen erfüllen kann, sondern nur die datenbankspezifischen. Um den Anforderungen von GDPR, SOX, PCI DSS und HIPAA zu entsprechen, müssen Sie ein System von Sicherheitsmaßnahmen einsetzen, das sowohl administrative als auch technische Schutzmaßnahmen umfasst.


DataSunrise unterstützt alle wichtigen Datenbanken und Data Warehouses wie Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata und mehr. Sie sind herzlich eingeladen, eine kostenlose Testversion herunterzuladen, wenn Sie sie vor Ort installieren möchten. Falls Sie ein Cloud-Nutzer sind und Ihre Datenbank auf Amazon AWS oder Microsoft Azure betreiben, können Sie sie im AWS-Marktplatz oder im Azure-Marktplatz erhalten.

Nächste

Informationssicherheitsgesetzgebung

Informationssicherheitsgesetzgebung

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Countryx
United States
United Kingdom
France
Germany
Australia
Afghanistan
Islands
Albania
Algeria
American Samoa
Andorra
Angola
Anguilla
Antarctica
Antigua and Barbuda
Argentina
Armenia
Aruba
Austria
Azerbaijan
Bahamas
Bahrain
Bangladesh
Barbados
Belarus
Belgium
Belize
Benin
Bermuda
Bhutan
Bolivia
Bosnia and Herzegovina
Botswana
Bouvet
Brazil
British Indian Ocean Territory
Brunei Darussalam
Bulgaria
Burkina Faso
Burundi
Cambodia
Cameroon
Canada
Cape Verde
Cayman Islands
Central African Republic
Chad
Chile
China
Christmas Island
Cocos (Keeling) Islands
Colombia
Comoros
Congo, Republic of the
Congo, The Democratic Republic of the
Cook Islands
Costa Rica
Cote D'Ivoire
Croatia
Cuba
Cyprus
Czech Republic
Denmark
Djibouti
Dominica
Dominican Republic
Ecuador
Egypt
El Salvador
Equatorial Guinea
Eritrea
Estonia
Ethiopia
Falkland Islands (Malvinas)
Faroe Islands
Fiji
Finland
French Guiana
French Polynesia
French Southern Territories
Gabon
Gambia
Georgia
Ghana
Gibraltar
Greece
Greenland
Grenada
Guadeloupe
Guam
Guatemala
Guernsey
Guinea
Guinea-Bissau
Guyana
Haiti
Heard Island and Mcdonald Islands
Holy See (Vatican City State)
Honduras
Hong Kong
Hungary
Iceland
India
Indonesia
Iran, Islamic Republic Of
Iraq
Ireland
Isle of Man
Israel
Italy
Jamaica
Japan
Jersey
Jordan
Kazakhstan
Kenya
Kiribati
Korea, Democratic People's Republic of
Korea, Republic of
Kuwait
Kyrgyzstan
Lao People's Democratic Republic
Latvia
Lebanon
Lesotho
Liberia
Libyan Arab Jamahiriya
Liechtenstein
Lithuania
Luxembourg
Macao
Madagascar
Malawi
Malaysia
Maldives
Mali
Malta
Marshall Islands
Martinique
Mauritania
Mauritius
Mayotte
Mexico
Micronesia, Federated States of
Moldova, Republic of
Monaco
Mongolia
Montserrat
Morocco
Mozambique
Myanmar
Namibia
Nauru
Nepal
Netherlands
Netherlands Antilles
New Caledonia
New Zealand
Nicaragua
Niger
Nigeria
Niue
Norfolk Island
North Macedonia, Republic of
Northern Mariana Islands
Norway
Oman
Pakistan
Palau
Palestinian Territory, Occupied
Panama
Papua New Guinea
Paraguay
Peru
Philippines
Pitcairn
Poland
Portugal
Puerto Rico
Qatar
Reunion
Romania
Russian Federation
Rwanda
Saint Helena
Saint Kitts and Nevis
Saint Lucia
Saint Pierre and Miquelon
Saint Vincent and the Grenadines
Samoa
San Marino
Sao Tome and Principe
Saudi Arabia
Senegal
Serbia and Montenegro
Seychelles
Sierra Leone
Singapore
Slovakia
Slovenia
Solomon Islands
Somalia
South Africa
South Georgia and the South Sandwich Islands
Spain
Sri Lanka
Sudan
Suriname
Svalbard and Jan Mayen
Swaziland
Sweden
Switzerland
Syrian Arab Republic
Taiwan, Province of China
Tajikistan
Tanzania, United Republic of
Thailand
Timor-Leste
Togo
Tokelau
Tonga
Trinidad and Tobago
Tunisia
Turkey
Turkmenistan
Turks and Caicos Islands
Tuvalu
Uganda
Ukraine
United Arab Emirates
United States Minor Outlying Islands
Uruguay
Uzbekistan
Vanuatu
Venezuela
Viet Nam
Virgin Islands, British
Virgin Islands, U.S.
Wallis and Futuna
Western Sahara
Yemen
Zambia
Zimbabwe
Choose a topicx
Allgemeine Informationen
Vertrieb
Kundenservice und technischer Support
Partnerschafts- und Allianz-Anfragen
Allgemeine Informationen:
info@datasunrise.com
Vertrieb:
sales@datasunrise.com
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
partner@datasunrise.com