DataSunrise sponsert AWS re:Invent 2024 in Las Vegas, bitte besuchen Sie uns am Stand #2158 von DataSunrise

Wie man den Anforderungen von GDPR, SOX, PCI DSS und HIPAA entspricht

Wie man den Anforderungen von GDPR, SOX, PCI DSS und HIPAA entspricht

Da DataSunrise ein leistungsstarkes Sicherheitstool ist, kann es seinen Benutzern helfen, die Einhaltung einiger Datensicherheitsstandards wie GDPR, SOX, PCI DSS und HIPAA zu erreichen und aufrechtzuerhalten. Um diese nicht ganz einfache Aufgabe zu bewältigen, stehen DataSunrise vier Komponenten zur Verfügung: Datenprüfung, Datensicherheit, Datenmaskierung und Erkennung sensibler Daten. Unsere umfassende Datensicherheitssuite adressiert die kritische Herausforderung: wie man GDPR, SOX, PCI DSS und HIPAA mithilfe einer einheitlichen Lösung erfüllt.

Datenprüfung

Wie der Name schon sagt, wird das Datenprüfungsmodul für Datenbankprüfungsaufgaben verwendet. Grundsätzlich führt die Firewall eine kontinuierliche Überwachung des Datenbankverkehrs durch und sammelt Informationen über alle Benutzeraktionen und Änderungen, die an den Inhalten der Datenbank vorgenommen werden.

Während die Datenbankprüfung hauptsächlich für die Untersuchung von Datenverletzungen und die Bewertung von Sicherheitslücken im System genutzt wird, hilft die kontinuierliche Überwachung, Vorbereitungen für Datenverletzungen zu erkennen. Zur Steuerung des Datenbankprüfungsprozesses wird ein spezieller Satz von Sicherheitsregeln verwendet.

Datensicherheit

Es ist das grundlegende Werkzeug, das DataSunrise zur Abwehr verschiedener schädlicher Aktionen nutzt: Es verhindert unbefugten Zugriff und schützt die Datenbank vor SQL-Injektionen.

Die Datensicherheitsfunktionen basieren auf intelligenten SQL-Analyse-Algorithmen, die es DataSunrise ermöglichen, unbefugte Zugriffsversuche und SQL-Injektionen in Echtzeit zu erkennen.

Die Datensicherheit wird mit einem Satz von Regeln angepasst, die Bedingungen für die Aktivierung des Schutzes und die Reihenfolge der Firewall-Aktionen definieren. Wenn DataSunrise eine verbotene Abfrage oder bösartigen Code erkennt, blockiert es den Datenbankzugriffsversuch und informiert den Firewall-Administrator per E-Mail.

Datenmaskierung

Dank dieser Funktion kann der Firewall-Administrator Datenbankeinträge vor unbefugten Benutzern verbergen, indem die Inhaltseinträge durch Zufallswerte oder vordefinierte Zeichenfolgen ersetzt werden. DataSunrise führt Datenmaskierung in Echtzeit aus, unmittelbar nachdem eine verdächtige Abfrage abgefangen wurde. Da die Daten vor dem Verlassen der Datenbank obfuskiert werden, hilft die Maskierung, mögliche Datenlecks zu verhindern.

In den meisten Fällen wird die Datenmaskierung nicht verwendet, um Daten vor Hackern zu schützen, sondern in Situationen, in denen eine beabsichtigte Datenübertragung an Dritte (z. B. Software-Tester) erfolgt.

Bitte beachten Sie, dass dies eine kurze Beschreibung der DataSunrise-Firewall-Komponenten ist. Wenn Sie mehr über die Funktionen unseres Produkts erfahren möchten, lesen Sie bitte die Dokumentation. Jetzt werden wir uns auf die Datensicherheitsvorschriften konzentrieren und darauf, wie DataSunrise hilft, sie einzuhalten.

Erkennung sensibler Daten

Die Funktion zur Erkennung sensibler Daten dient dazu, den Inhalt der Datenbank auf verschiedene Arten vertraulicher Daten zu durchsuchen. Diese Funktion trägt dazu bei, das Risiko von Datenlecks zu mindern, indem sie ein praktisches Werkzeug zur Verwaltung sensibler Daten auf verschiedenen Plattformen bietet und Sicherheitsregeln für erkannte Spalten mit Hochrisikodaten anwendet.

Was ist SOX?

Der Sarbanes-Oxley Act (SOX) ist ein Bundesgesetz, das strenge Anforderungen an die Finanzberichterstattung für börsennotierte US-Unternehmen stellt. SOX soll verhindern, dass Investoren durch Bilanzbetrug getäuscht werden, indem sichergestellt wird, dass alle Berichte über Finanzaktivitäten wahrheitsgemäße und zuverlässige Informationen enthalten, die von unabhängigen Prüfern überprüft werden können.

Es gibt zwei Hauptabschnitte, die sich auf Datensicherheit beziehen: Abschnitt 302 und Abschnitt 404. Gemäß Abschnitt 302 müssen SOX-subjekte ihre Daten verantwortungsvoll schützen, um sicherzustellen, dass ihre Berichte nicht auf fehlerhaften Daten basieren.

Abschnitt 404 von SOX bezieht sich wiederum auf technische Mittel, die börsennotierte Unternehmen einsetzen müssen, um ihre Finanzdaten vor Manipulation und Missbrauch zu schützen. Darüber hinaus fordert Abschnitt 404, dass Unternehmen Sicherheitsmaßnahmen und Datenintegrität durch unabhängige Prüfer überprüfen lassen und alle aufgetretenen Datenverletzungen melden.

Wie kann DataSunrise helfen?

Erkennung von Sicherheitsverletzungen

Das DataSunrise Data Audit Tool hilft, Sicherheitsverletzungen zu erkennen und ordnungsgemäße Untersuchungen durchzuführen. Gleichzeitig protokolliert die Datenprüfungskomponente alle Aktionen, die an der Datenbank vorgenommen wurden, und stellt dem unabhängigen Prüfer die vollständige Palette an Daten zur Verfügung, die er zur Erfüllung seiner Aufgaben benötigt.

Schutz von Finanzdaten vor Manipulation und Diebstahl

DataSunrise hilft, den Benutzerzugang zu sensiblen Informationen zu kontrollieren, indem es eine Reihe von Sicherheitsrichtlinien auf der Grundlage des Datenbankbenutzernamens, der IP-Adresse, des Anwendungsnamens und der verwendeten SQL-Anweisungen verwendet.

Die Firewall ermöglicht es ihrem Administrator, alle Änderungen an der Datenbank zu verfolgen und sicherzustellen, dass Unternehmensdaten nicht ohne ordnungsgemäße Genehmigung geändert wurden. Darüber hinaus hilft DataSunrise, unbefugte Änderungen am Inhalt der Datenbank zu verhindern, dank seiner Datensicherheitsfunktionalität.

Was ist PCI DSS?

Der Payment Card Industry Security Standard (PCI DSS) wurde von den wichtigsten Kreditkartenmarken (Visa, MasterCard, American Express, JCB und Discover) erstellt, und soll von Unternehmen, die Kreditkartendaten verarbeiten, und ihren Geschäftspartnern verwendet werden. Tatsächlich handelt es sich bei PCI DSS um einen Satz detaillierter Richtlinien, die darauf abzielen, die Kreditkartenverarbeitung zu sichern und das Risiko von Datenverletzungen drastisch zu verringern.

Wie kann DataSunrise helfen?

Datenbankzugangskontrolle

PCI (Erfordernis 7) verpflichtet seine Subjekte, den Zugang zu den Informationen der Kreditkarteninhaber auf einer Need-to-Know-Basis zu beschränken. Das bedeutet, dass Unternehmen strenge Kontrollen über Benutzerzugangsrechte implementieren und den Zugang zu sensiblen Informationen nur denjenigen Personen ermöglichen müssen, deren Arbeit einen solchen Zugriff erfordert.

Die DataSunrise-Datensicherheitskomponente hilft, unbefugte Benutzeraktionen zu verhindern, indem der Zugriff auf bestimmte Datenbankelemente blockiert wird. In einigen Fällen, wenn spezielle Anforderungen bestehen, können bestimmte Datenbankelemente nicht blockiert, sondern mit dem Datenmaskierungstool verschleiert werden.

Deaktivieren inaktiver Benutzerkonten

Gemäß der Anforderung 8.1.5 sind die PCI-Sujets verpflichtet, inaktive Benutzerkonten zu deaktivieren oder zu entfernen (weil Hacker oft ein ruhendes Konto verwenden, um eine Datenbankverletzung durchzuführen).

Diese Aufgabe kann mit Hilfe der Datenprüfungskomponente erledigt werden. Es überwacht alle Benutzeraktivitäten und hilft, inaktive Benutzer sowie verdächtiges Benutzerverhalten zu erkennen.

Verhinderung von Datenbankverletzungen

PCI Anforderung 8.7 legt fest, dass nur programmatische Methoden zum Zugriff auf Datenbanken, die Karteninhaberdaten enthalten, verwendet werden dürfen und dass nur Datenbankadministratoren die Fähigkeit haben sollten, direkt auf Datenbanken zuzugreifen oder Abfragen durchzuführen.

In den meisten Fällen wird DataSunrise in einer Proxy-Konfiguration eingesetzt, was bedeutet, dass kein Benutzer direkt auf die Datenbank zugreifen kann, sondern nur über die Firewall. Es verhindert, dass Hacker Software-Schwachstellen ausnutzen, um eine Datenverletzung durchzuführen. Kombinieren Sie diese Funktion mit den fortschrittlichen SQL-Analysealgorithmen der Datensicherheitskomponente und Sie können sicher sein, dass diese PCI-Anforderung erfüllt ist.

Datenbank-Prüfung

PCI-Anforderung 10 enthält 25 Unteranforderungen, die die betroffenen Einheiten verpflichten, Prüfmittel zu implementieren. Grundsätzlich müssen Organisationen alle Benutzeraktivitäten nachverfolgen und unbefugten Zugriff auf Auditinformationen auch verhindern.

DataSunrise hilft, die oben genannten Anforderungen zu erfüllen, indem es seine Datenprüfungsfunktion nutzt. Die Firewall führt kontinuierliche Datenbankprüfungen durch und überwacht alle Benutzer- und Clientanwendungsaktionen, ohne zusätzliche Last auf den DB-Server oder die Datenbank selbst zu verursachen. Es ist von großer Bedeutung, dass Datenprüfungsberichte es dem Firewall-Administrator ermöglichen, alle registrierten Aktionen bestimmten Benutzern mithilfe eines externen SIEM-Systems zuzuordnen.

Was ist HIPAA?

Der US Health Insurance Portability and Accountability Act (HIPAA) bietet bundesstaatlichen Schutz für Gesundheitsinformationen von Patienten vor Missbrauch oder Offenlegung. Betroffene dieses Gesetzes sind: Gesundheitsdienstleister (Ärzte verschiedener Art), Krankenversicherungsunternehmen und -programme, Clearingstellen für Gesundheitswesen. Die HIPAA-Sicherheitsregel spezifiziert eine Reihe von administrativen, physischen und technischen Schutzmaßnahmen, die ihre Subjekte ergreifen sollten, um elektronische geschützte Gesundheitsinformationen (ePHI) vor Missbrauch durch unbefugte Personen zu schützen.

Wie kann DataSunrise helfen, den Anforderungen von GDPR, SOX, PCI DSS und HIPAA zu entsprechen?

ePHI-Zugangskontrolle

Gemäß HIPAA (Vorschriften 164.312(a)(1) und 164.308(a)(4)) sollten betroffene Einheiten den Zugang zu ePHI auf einer Need-to-Know-Basis einschränken. Das bedeutet, dass nur ordnungsgemäß autorisierte Einzelpersonen und Softwareprogramme Zugriff auf ePHI haben sollten.

DataSunrise ermöglicht es seinem Administrator, die ePHI-Datenbank davor zu schützen, dass ohne ordnungsgemäße Autorisierung darauf zugegriffen oder diese verändert wird, dank seiner Datensicherheitsfunktionalität. Um diese Aufgabe zu erfüllen, erstellt der Firewall-Administrator eine Reihe von Sicherheitsrichtlinien für jeden Benutzer oder jede Benutzergruppe, um festzulegen, welche Datenbankelemente zugelassen oder eingeschränkt werden sollen. Dann überwacht DataSunrise alle Benutzeraktionen und blockiert unbefugte Zugriffsversuche.

ePHI-Prüfung

HIPAA verlangt von seinen Subjekten, technische und verfahrensmäßige Mechanismen zu implementieren, um Aktivitäten in Informationssystemen, die ePHI enthalten oder verwenden, aufzuzeichnen und zu überprüfen (Vorschrift 164.312(b)).

DataSunrise hilft, diese Anforderungen durch die Nutzung der Datenprüfungsfunktion zu erfüllen. DataSunrise überwacht kontinuierlich den Datenbankverkehr und zeichnet alle Aktionen von Datenbankbenutzern und Client-Anwendungen auf. Die Prüfberichte ermöglichen es dem Administrator, den Endbenutzer und die Anwendungen zu identifizieren, die zum Zugriff auf die Datenbank verwendet wurden.

Fazit

DataSunrise erfüllt die wichtigsten Anforderungen der oben genannten Sicherheitsstandards. Es sollte jedoch beachtet werden, dass DataSunrise allein nicht alle unterschiedlichen Anforderungen erfüllen kann, sondern nur die datenbankspezifischen. Um den Anforderungen von GDPR, SOX, PCI DSS und HIPAA zu entsprechen, müssen Sie ein System von Sicherheitsmaßnahmen einsetzen, das sowohl administrative als auch technische Schutzmaßnahmen umfasst.


DataSunrise unterstützt alle wichtigen Datenbanken und Data Warehouses wie Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata und mehr. Sie sind herzlich eingeladen, eine kostenlose Testversion herunterzuladen, wenn Sie sie vor Ort installieren möchten. Falls Sie ein Cloud-Nutzer sind und Ihre Datenbank auf Amazon AWS oder Microsoft Azure betreiben, können Sie sie im AWS-Marktplatz oder im Azure-Marktplatz erhalten.

Nächste

Informationssicherheitsgesetzgebung

Informationssicherheitsgesetzgebung

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]