Cómo cumplir con los requisitos de GDPR, SOX, PCI DSS y HIPAA
Debido a que DataSunrise es una poderosa herramienta de seguridad, puede ayudar a sus usuarios a lograr y mantener el cumplimiento de algunos estándares de seguridad de datos como GDPR, SOX, PCI DSS y HIPAA. Para lograr esta no tan fácil tarea, DataSunrise tiene a su disposición cuatro componentes: Auditoría de Datos, Seguridad de Datos, Enmascaramiento de Datos y Descubrimiento de Datos Sensibles. Nuestra completa suite de seguridad de datos aborda el desafío crítico: cómo cumplir con GDPR, SOX, PCI DSS y HIPAA usando una solución unificada.
Auditoría de Datos
Como su nombre sugiere, el módulo de auditoría de datos se utiliza para tareas de auditoría de bases de datos. Básicamente, el firewall realiza una monitorización continua del tráfico de base de datos y recopila información sobre todas las acciones de los usuarios y las modificaciones hechas al contenido de la base de datos.
Mientras que la auditoría de bases de datos se utiliza principalmente para la investigación de brechas de datos y la evaluación de vulnerabilidades del sistema de seguridad, la monitorización continua ayuda a detectar preparativos para brechas de datos. Para controlar el proceso de auditoría de bases de datos se utiliza un conjunto de reglas de seguridad dedicadas.
Seguridad de Datos
Es la herramienta básica que DataSunrise utiliza para contrarrestar diversas acciones dañinas: previene el acceso no autorizado y defiende la base de datos contra inyecciones SQL.
La funcionalidad de Seguridad de Datos se basa en algoritmos inteligentes de análisis SQL, permitiendo a DataSunrise detectar intentos de acceso no autorizados e inyecciones SQL en tiempo real.
La Seguridad de Datos se ajusta con un conjunto de reglas que definen condiciones para activar la protección y la secuencia de las acciones del firewall. Si DataSunrise detecta una consulta prohibida o código malicioso, bloquea el intento de acceso a la base de datos e informa al administrador del firewall por correo electrónico.
Enmascaramiento de Datos
Gracias a esta característica, el administrador del firewall puede ocultar entradas de la base de datos a usuarios no autorizados reemplazando el contenido de las entradas con valores aleatorios o cadenas predefinidas. DataSunrise realiza el enmascaramiento de datos en tiempo real, justo después de interceptar una consulta sospechosa. Como los datos se ofuscan antes de salir de la base de datos, el enmascaramiento ayuda a prevenir posibles fugas de datos.
En la mayoría de los casos, el enmascaramiento de datos se utiliza no para proteger los datos de los hackers, sino en situaciones en las que se realiza una transferencia intencional de datos a terceros (por ejemplo, testers de software).
Tenga en cuenta que esto es una breve descripción de los componentes del firewall de DataSunrise, por lo que si desea saber más sobre la funcionalidad de nuestro producto, por favor consulte la documentación. Y ahora nos enfocaremos en las regulaciones de seguridad de datos y las formas en que DataSunrise ayuda a cumplir con ellas.
Descubrimiento de Datos Sensibles
La funcionalidad de Descubrimiento de Datos Sensibles está diseñada para escanear el contenido de la base de datos con el propósito de detectar varios tipos de datos confidenciales. La característica ayuda a mitigar el riesgo de fugas de datos proporcionando una herramienta útil para gestionar datos sensibles a través de diferentes plataformas y aplicar reglas de seguridad para las columnas detectadas con datos de alto riesgo.
¿Qué es SOX?
La Ley Sarbanes-Oxley (SOX) es una ley federal que establece requisitos estrictos de informes financieros para las empresas públicas de EE. UU. SOX está destinada a prevenir el fraude contable a los inversores asegurando que todos los informes sobre actividades financieras contengan información veraz y confiable que pueda ser verificada por auditores independientes.
Hay dos secciones principales que se relacionan con la seguridad de datos: la Sección 302 y la Sección 404. De acuerdo con la Sección 302, los sujetos de SOX deben proteger sus datos de manera responsable para asegurarse de que sus informes no se basen en datos defectuosos.
La Sección 404 de SOX, a su vez, está dedicada a los medios técnicos que las empresas públicas deben emplear para proteger sus datos financieros contra la manipulación y el mal uso. Además, la Sección 404 establece que las empresas deben permitir que los medios de seguridad y la integridad de los datos puedan ser verificados por auditores independientes y deben informar todas las brechas de datos ocurridas.
¿Cómo puede ayudar DataSunrise?
Detección de brechas de seguridad
La herramienta de Auditoría de Datos de DataSunrise ayuda a detectar brechas de seguridad y a realizar una investigación adecuada. Al mismo tiempo, el componente de Auditoría de Datos registra todas las acciones realizadas en la base de datos y proporciona al auditor independiente todos los datos necesarios para completar sus tareas.
Protección de datos financieros contra la manipulación y el robo
DataSunrise ayuda a controlar el acceso de los usuarios a información sensible utilizando un conjunto de políticas de seguridad basadas en el nombre de usuario de la base de datos, la dirección IP, el nombre de la aplicación y las declaraciones SQL utilizadas.
El firewall permite a su administrador rastrear todos los cambios en la base de datos y asegurarse de que los datos corporativos no han sido modificados sin la debida autorización. Más aún, DataSunrise ayuda a prevenir que se realicen cambios no autorizados en el contenido de la base de datos debido a su funcionalidad de Seguridad de Datos.
¿Qué es PCI DSS?
El Estándar de Seguridad de la Industria de Tarjetas de Pago (PCI DSS) fue creado por las principales marcas de tarjetas de pago (Visa, MasterCard, American Express, JCB y Discover) para ser empleado por empresas que manejan datos de tarjetas de crédito y sus socios comerciales. De hecho, PCI DSS es un conjunto de pautas detalladas, destinadas a asegurar el procesamiento de tarjetas de crédito y reducir drásticamente el riesgo de brechas de datos.
¿Cómo puede ayudar DataSunrise?
Control de acceso a la base de datos
PCI (Requisito 7) obliga a sus sujetos a limitar el acceso a la información de los titulares de tarjetas de crédito en función de la necesidad de saber. Esto significa que las empresas deben implementar un control estricto sobre los derechos de acceso de los usuarios y limitar el acceso a información sensible solo a las personas cuya trabajo requiere dicho acceso.
El componente de Seguridad de Datos de DataSunrise ayuda a prevenir acciones no autorizadas de los usuarios bloqueando el acceso a elementos específicos de la base de datos. En algunos casos, si existen requisitos especiales, ciertos elementos de la base de datos no podrían ser bloqueados sino ofuscados con la herramienta de enmascaramiento de datos.
Desactivación de cuentas de usuario inactivas
Según el Requisito 8.1.5, los sujetos de PCI están obligados a desactivar o eliminar cuentas de usuario inactivas (ya que los hackers a menudo usan una cuenta inactiva para realizar una brecha de base de datos).
Esta tarea puede completarse con la ayuda del componente de Auditoría de Datos. Monitorea toda la actividad de los usuarios y ayuda a detectar usuarios inactivos así como comportamiento sospechoso.
Prevención de brechas de base de datos
El Requisito 8.7 de PCI establece que solo se debe utilizar un método programático para acceder a cualquier base de datos que contenga datos de titulares de tarjetas y que solo los administradores de bases de datos deben tener la capacidad de acceder o consultar las bases de datos directamente.
En la mayoría de los casos, DataSunrise se implementa en una configuración de proxy, lo que significa que ningún usuario puede acceder a la base de datos directamente, sino solo a través del firewall. Previene que los hackers exploten vulnerabilidades de software para realizar una brecha de datos. Combine esta característica con los algoritmos avanzados de análisis SQL del componente de Seguridad de Datos y puede estar seguro de que se cumple con este requisito de PCI.
Auditoría de bases de datos
El Requisito 10 de PCI contiene 25 sub-requisitos que obligan a las entidades cubiertas a implementar medios de auditoría. Básicamente, las organizaciones deben rastrear toda la actividad de los usuarios y prevenir cualquier acceso no autorizado a la información de auditoría.
DataSunrise ayuda a satisfacer las demandas mencionadas utilizando su funcionalidad de Auditoría de Datos. El firewall realiza una auditoría continua de la base de datos y monitorea todas las acciones de usuarios y aplicaciones cliente sin infligir ninguna carga adicional en el servidor DB o en la base de datos en sí misma. Es de gran importancia que los informes de Auditoría de Datos permitan al administrador del firewall vincular todas las acciones registradas a usuarios específicos mediante un sistema SIEM externo.
¿Qué es HIPAA?
La Ley de Portabilidad y Responsabilidad de Seguros de Salud de EE. UU. (HIPAA) proporciona protección federal para la información de salud del paciente contra el mal uso o la exposición. Los sujetos de esta Ley son: proveedores de atención médica (médicos de varios tipos), compañías y programas de seguros de salud, intermediarios de atención médica. La Regla de Seguridad de HIPAA especifica una serie de salvaguardas administrativas, físicas y técnicas que sus sujetos deben emplear para proteger la información de salud electrónica protegida (ePHI) contra el mal uso por parte de individuos no autorizados.
¿Cómo puede ayudar DataSunrise a cumplir con GDPR, SOX, PCI DSS y HIPAA?
Control de acceso a ePHI
De acuerdo con HIPAA (Regs 164.312(a)(1) y 164.308(a)(4)), las entidades cubiertas deben restringir el acceso a ePHI en función de la necesidad de saber. Esto significa que solo los individuos y los programas de software que estén debidamente autorizados deben poder acceder a ePHI.
DataSunrise permite a su administrador proteger la base de datos de ePHI de ser accedida o modificada sin la debida autorización debido a su funcionalidad de Seguridad de Datos. Para completar esta tarea, el administrador del firewall crea un conjunto de políticas de seguridad para cada usuario o grupo de usuarios para especificar a qué elementos de la base de datos se les permite o restringe el acceso. Luego, DataSunrise monitorea todas las acciones de los usuarios y bloquea los intentos de acceso no autorizados.
Auditoría de ePHI
HIPAA requiere que sus sujetos implementen mecanismos técnicos y procedimentales para registrar y examinar la actividad en los sistemas de información que contienen o utilizan ePHI (Reg 164.312(b)).
DataSunrise ayuda a cumplir con estos requisitos utilizando la funcionalidad de Auditoría de Datos. DataSunrise monitorea continuamente el tráfico de la base de datos y registra todas las acciones de los usuarios y aplicaciones cliente de la base de datos. Los informes de auditoría permiten al administrador identificar al usuario final y las aplicaciones utilizadas para acceder a la base de datos.
Conclusión
DataSunrise cumple con los requisitos más críticos de los estándares de seguridad mencionados. Sin embargo, cabe señalar que DataSunrise por sí sola no puede cumplir con toda la variedad de demandas, sino solo las específicas de bases de datos. Para cumplir con GDPR, SOX, PCI DSS y HIPAA, necesita emplear un sistema de medios de seguridad que incluya tanto salvaguardas administrativas como técnicas.
DataSunrise admite todas las principales bases de datos y almacenes de datos, como Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata y más. Está invitado a descargar una prueba gratuita si desea instalar en sus instalaciones. En caso de que sea un usuario de la nube y ejecute su base de datos en Amazon AWS o Microsoft Azure puede obtenerlo en El mercado de AWS o El mercado de Azure.
