DataSunrise sponsorise AWS re:Invent 2024 à Las Vegas, veuillez nous rendre visite au stand n°2158 de DataSunrise

Ce site Web stocke des cookies afin de collecter des informations sur la manière dont vous interagissez avec notre site Web. Pour en savoir plus, visitez notre Politique de Confidentialité.

Comment se Conformer aux Exigences du RGPD, SOX, PCI DSS et HIPAA

Comment se Conformer aux Exigences du RGPD, SOX, PCI DSS et HIPAA

Étant donné que DataSunrise est un outil de sécurité puissant, il peut aider ses utilisateurs à atteindre et à maintenir la conformité avec certaines normes de sécurité des données telles que le RGPD, le SOX, le PCI DSS et le HIPAA. Pour accomplir cette tâche ardue, DataSunrise dispose de quatre composants : Audit des Données, Sécurité des Données, Masquage des Données et Découverte des Données Sensibles. Notre suite de sécurité des données complète répond à ce défi crucial: comment se conformer au RGPD, SOX, PCI DSS et HIPAA en utilisant une solution unifiée.

Audit des Données

Comme son nom l’indique, le module d’audit de données est utilisé pour les tâches d’audit des bases de données. Essentiellement, le pare-feu effectue une surveillance continue du trafic de la base de données et collecte des informations sur toutes les actions des utilisateurs et les modifications apportées au contenu de la base de données.

Tandis que l’audit des bases de données est principalement utilisé pour l’investigation des violations de données et l’évaluation des vulnérabilités du système de sécurité, la surveillance continue aide à détecter les préparations de violations de données. Pour contrôler le processus d’audit de la base de données, un ensemble de règles de sécurité dédiées est utilisé.

Sécurité des Données

C’est l’outil de base que DataSunrise utilise pour contrer diverses actions nuisibles : il empêche l’accès non autorisé et défend la base de données contre les injections SQL.

La fonctionnalité de Sécurité des Données est basée sur des algorithmes d’analyse intelligente des SQL, permettant à DataSunrise de détecter les tentatives d’accès non autorisées et les injections SQL en temps réel.

La Sécurité des Données est ajustée avec un ensemble de règles qui définissent les conditions pour activer la protection et la séquence des actions du pare-feu. Si DataSunrise détecte une requête interdite ou un code malveillant, il bloque la tentative d’accès à la base de données et informe l’administrateur du pare-feu par email.

Masquage des Données

Grâce à cette fonctionnalité, l’administrateur du pare-feu peut cacher les entrées de la base de données aux utilisateurs non autorisés en remplaçant le contenu des entrées par des valeurs aléatoires ou des chaînes prédéfinies. DataSunrise effectue le masquage des données en temps réel, juste après avoir intercepté une requête suspecte. Comme les données sont obfusquées avant de quitter la base de données, le masquage aide à prévenir une éventuelle fuite de données.

Dans la plupart des cas, le masquage des données est utilisé non pas pour protéger les données contre les pirates, mais dans les situations où un transfert intentionnel de données à un tiers (par exemple, des testeurs de logiciels) est effectué.

Veuillez noter qu’il s’agit d’une brève description des composants du pare-feu DataSunrise, donc si vous souhaitez en savoir plus sur les fonctionnalités de notre produit, veuillez-vous référer à la documentation. Et maintenant nous nous concentrerons sur les réglementations de sécurité des données et les moyens par lesquels DataSunrise aide à s’y conformer.

Découverte des Données Sensibles

La fonctionnalité de Découverte des Données Sensibles est conçue pour scanner le contenu de la base de données dans le but de détecter différents types de données confidentielles. Cette fonctionnalité aide à réduire le risque de fuite de données en fournissant un outil pratique pour gérer les données sensibles sur différentes plateformes et appliquer des règles de sécurité pour les colonnes détectées avec des données à haut risque.

Qu’est-ce que SOX?

La loi Sarbanes-Oxley (SOX) est une loi fédérale qui établit des exigences strictes en matière de rapports financiers pour les sociétés publiques américaines. SOX vise à empêcher les investisseurs de la fraude comptable en assurant que tous les rapports sur les activités financières contiennent des informations véridiques et fiables pouvant être vérifiées par des auditeurs indépendants.

Il y a deux sections principales qui se rapportent à la sécurité des données : la Section 302 et la Section 404. Selon la Section 302, les entreprises soumises à SOX doivent protéger leurs données de manière responsable pour s’assurer que leurs rapports ne sont pas basés sur des données erronées.

La Section 404 de la loi SOX, quant à elle, est dédiée aux moyens techniques que les entreprises publiques doivent employer pour protéger leurs données financières contre la falsification et l’utilisation abusive. En outre, la Section 404 stipule que les entreprises doivent permettre aux moyens de sécurité et à l’intégrité des données d’être vérifiés par des auditeurs indépendants et de signaler toutes les violations de données qui se sont produites.

Comment DataSunrise peut-il aider?

Détecter les violations de sécurité

L’outil Audit des Données de DataSunrise aide à détecter les violations de sécurité et à effectuer une enquête appropriée. Dans le même temps, le composant Audit des Données enregistre toutes les actions effectuées sur la base de données et fournit à l’auditeur indépendant toute la gamme des données nécessaires pour accomplir ses tâches.

Protéger les données financières contre la falsification et le vol

DataSunrise aide à contrôler l’accès des utilisateurs aux informations sensibles en utilisant un ensemble de politiques de sécurité basées sur le nom d’utilisateur de la base de données, l’adresse IP, le nom de l’application et les déclarations SQL utilisées.

Le pare-feu permet à son administrateur de suivre tous les changements de la base de données et de s’assurer que les données de l’entreprise n’ont pas été modifiées sans autorisation appropriée. De plus, DataSunrise aide à prévenir les modifications non autorisées des contenus de la base de données grâce à sa fonctionnalité de Sécurité des Données.

Qu’est-ce que PCI DSS?

Le Standard de Sécurité de l’Industrie des Cartes de Paiement (PCI DSS) a été créé par les principales marques de cartes de paiement (Visa, MasterCard, American Express, JCB et Discover) pour être employé par les entreprises qui traitent les données de carte de crédit et leurs partenaires commerciaux. En fait, le PCI DSS est un ensemble de directives détaillées visant à sécuriser le traitement des cartes de crédit et à réduire considérablement le risque de violation de données.

Comment DataSunrise peut-il aider?

Contrôle d’accès aux bases de données

Le PCI (Req 7) oblige ses sujets à limiter l’accès aux informations des titulaires de cartes de crédit sur une base stricte de besoin de savoir. Cela signifie que les entreprises doivent mettre en œuvre un contrôle strict des droits d’accès des utilisateurs et limiter l’accès aux informations sensibles uniquement aux individus dont le travail nécessite un tel accès.

Le composant Sécurité des Données de DataSunrise aide à prévenir les actions non autorisées des utilisateurs en bloquant l’accès à des éléments spécifiques de la base de données. Dans certains cas, si des exigences particulières existent, certains éléments de la base de données peuvent ne pas être bloqués mais obfusqués avec l’outil de masquage des données.

Désactivation des comptes utilisateurs inactifs

Selon la Requête 8.1.5, les sujets du PCI sont tenus de désactiver ou de supprimer les comptes utilisateurs inactifs (car les pirates utilisent souvent un compte dormant pour effectuer une intrusion dans la base de données).

Cette tâche peut être réalisée grâce au composant Audit des Données. Il surveille toute l’activité des utilisateurs et aide à détecter les utilisateurs inactifs ainsi que les comportements d’utilisateurs suspects.

Prévention des violations de la base de données

La Requête 8.7 du PCI précise que seul un moyen programmatique doit être utilisé pour accéder à toute base de données contenant des données de titulaires de cartes et que seuls les administrateurs de bases de données devraient avoir la capacité d’accéder ou de requêter directement des bases de données.

Dans la plupart des cas, DataSunrise est déployé dans une configuration proxy ce qui signifie qu’aucun utilisateur ne peut accéder directement à la base de données, mais seulement via le pare-feu. Cela empêche les pirates d’exploiter les vulnérabilités logicielles pour effectuer une intrusion de données. Combinez cette fonctionnalité avec les algorithmes avancés d’analyse SQL du composant Sécurité des Données et vous pouvez être sûr que cette exigence PCI est respectée.

Audit des bases de données

La Requête 10 du PCI contient 25 sous-requêtes qui obligent les entités couvertes à mettre en œuvre des moyens d’audit. En gros, les organisations doivent suivre toute activité des utilisateurs et empêcher tout accès non autorisé aux informations d’audit également.

DataSunrise aide à répondre à ces exigences susmentionnées en utilisant sa fonctionnalité d’Audit des Données. Le pare-feu effectue un audit continue de la base de données et surveille toutes les actions des utilisateurs et des applications clientes sans infliger de charge supplémentaire au serveur DB ou à la base de données elle-même. Il est d’une grande importance que les rapports d’audit permettent à l’administrateur du pare-feu de lier toutes les actions enregistrées à des utilisateurs spécifiques par le biais d’un système SIEM externe.

Qu’est-ce que HIPAA?

La loi américaine Health Insurance Portability and Accountability Act (HIPAA) fournit une protection fédérale pour les informations de santé des patients contre l’utilisation abusive ou l’exposition. Les sujets de cette loi sont : les prestataires de soins de santé (de divers types), les compagnies et programmes d’assurance maladie, les centres de compensation des soins de santé. La règle de sécurité de la HIPAA spécifie une série de sauvegardes administratives, physiques et techniques que ses sujets devraient employer pour protéger les informations de santé protégées électroniquement (ePHI) contre une utilisation abusive par des personnes non autorisées.

Comment DataSunrise peut-il aider à se conformer au RGPD, SOX, PCI DSS et HIPAA?

Contrôle d’accès aux ePHI

Selon la HIPAA (rég 164.312(a)(1) et 164.308(a)(4)), les entités couvertes devraient restreindre l’accès aux ePHI sur une base stricte de besoin de savoir. Cela signifie que seuls les individus et les programmes logiciels correctement autorisés devraient pouvoir accéder aux ePHI.

DataSunrise permet à son administrateur de protéger la base de données ePHI contre l’accès ou la modification sans autorisation appropriée grâce à sa fonctionnalité de Sécurité des Données. Pour remplir cette tâche, l’administrateur du pare-feu crée un ensemble de politiques de sécurité pour chaque utilisateur ou groupe d’utilisateurs afin de spécifier quels éléments de la base de données doivent être autorisés ou restreints à accéder. Ensuite, DataSunrise surveille toutes les actions des utilisateurs et bloque les tentatives d’accès non autorisées.

Audit des ePHI

La HIPAA exige de ses sujets qu’ils mettent en œuvre des mécanismes techniques et procéduraux pour enregistrer et examiner l’activité dans les systèmes d’information qui contiennent ou utilisent des ePHI (rég 164.312(b)).

DataSunrise aide à répondre à ces exigences en utilisant la fonctionnalité d’Audit des Données. DataSunrise surveille continuellement le trafic de la base de données et enregistre toutes les actions des utilisateurs de la base de données et des applications clientes. Les rapports d’audit permettent à l’administrateur d’identifier l’utilisateur final et les applications utilisées pour accéder à la base de données.

Conclusion

DataSunrise répond aux exigences les plus critiques des standards de sécurité susmentionnés. Il convient de noter cependant que DataSunrise à lui seul ne peut pas remplir toute la variété des exigences, mais seulement celles spécifiques à la base de données. Pour se conformer au RGPD, SOX, PCI DSS et HIPAA, il est nécessaire d’employer un système de moyens de sécurité comprenant à la fois des mesures administratives et techniques.


DataSunrise supporte toutes les principales bases de données et data warehouses tels qu’Oracle, Exadata, IBM DB2, IBM Netezza, MySQL, MariaDB, Greenplum, Amazon Aurora, Amazon Redshift, Microsoft SQL Server, Azure SQL, Teradata et plus encore. Vous êtes invité à télécharger une version d’essai gratuite si vous souhaitez l’installer sur vos locaux. Si vous êtes un utilisateur cloud et que vous exécutez votre base de données sur Amazon AWS ou Microsoft Azure, vous pouvez l’obtenir sur la place de marché AWS ou la place de marché Azure.

Suivant

Législation sur la Sécurité de l’Information

Législation sur la Sécurité de l’Information

En savoir plus

Besoin de l'aide de notre équipe de support ?

Nos experts seront ravis de répondre à vos questions.

Informations générales :
[email protected]
Ventes :
[email protected]
Service clientèle et support technique :
support.datasunrise.com
Demandes de partenariat et d'alliance :
[email protected]