4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data and be compliant to...

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |

General Data Protection Regulation – GDPRed Oracle DB Security

Francesco ScaranoOracle ItaliaPrincipal Sales Consultant


Agenda

2

General Data Protection Regulation

Oracle Database Maximum Security Architecture

Casi Utente


General Data Protection Regulation (GDPR)

Confidential - Oracle Public 3

Informazioni Chiave

• Sarà effettivo dal 25 maggio 2018

• Precedente Direttiva 95/46/EC

• Definire una linea base per la protezione dati

• Chiarire le responsibilità per la protezione dati

• Elaborare i principi relativi alla protezione dati

• Aggiornare il Regolamento per adeguarlo ai cambiamentitecnologici ed allo scenario complessivo

• Abilitare il flusso libero di dati

• Provvedere ad una forte applicazione del Regolamento


95/46/EC Data Protection Directive Adopted

GDPR Evoluzione

1998

1995 2012

95/46/EC Data Protection Directive compliance date

GDPR (General Data Protection Regulation) April 14th – Adopted by EU Parliament

January 25th 2012 new draft Data Protection Regulation announced by EC

May 4th Publication in the Official Journal of the EU

May 24th entry into force

May 25th 2018 (at latest per national decision) Compliance Date

20182016

Oracle Confidential – Restricted

Several texts amended and negotiation between EU institutions

2012-2016

2-year grace period


Attori principali e Principi Basilari del GDPR

5Confidential - Oracle Public

Attore Principio Basilare

Interessato (Data Subject) Buon Trattamento

Dato personale (Personal Data) Controllo Amministrativo (Authority, controlli e sanzioni)

Gestore Trattamento (Processor) Obbligo Informativo (finalità della raccolta e titolare/responsabile del trattamento)

Titolare del trattamento (Controller) Circolazione limitata dei dati, e limitata nel tempo (Consenso e diritto all’oblio)

Autorità di controllo (Authority) Sicurezza (Risevatezza, Integrità, Disponibilità)

Destinatario (Recipient) Impianto Sanzionatorio


VALUTAZIONE

Processi Organizzativi,

Analisi di Rischi

Principi Chiave di Sicurezza del GDPR

6

Auditing,

Monitoraggio delle Attività,

Allertamento,

Reporting

INVESTIGAZIONE

Cifratura,

Pseudonimizzazione,

Anonimizzazione, Controlli di Accesso a Grana

Fine,

Controllo degli Accessi

Privilegiati,

Separazione delle Funzioni

PREVENZIONE

Confidential - Oracle Public

Obblighi del Titolare del Trattamento (Controller) e del Gestore del Trattamento (Processor)


Valutazione dei Rischi di Sicurezza

Riferimento Principio del GDPR Linee Guida, Tecnologia, Prodotto per Oracle Database che assiste alla GDPR compliance

Articolo 35 Il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali...

• Database Lifecycle Management Pack di Oracle Enterprise Manager per valutare il profilo disicurezza dei Database Oracle esplorandone le configurazioni.

• Application Data Modeling di Oracle Enterprise Manager per valutare il panorama dei datisensibili esplorando le colonne del database allaricerca di informazioni sensibili.

• Oracle Database Vault Privilege Analysis per valutare come vengono acceduti i dati sensibiliesplorando ruoli e privilegi del Database Oracle.

• Oracle Security Assessment Tool per valutare la configurazione della sicurezza del database, le policy di sicurezza in esercizio, lo stato degliutenti, dei ruoli e dei privilegi assegnati.

Recital 84 ... qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio ...

Recital 91 Una valutazione d'impatto sulla protezione dei dati è altresì richiesta per la sorveglianza di zone accessibili al pubblico su larga scala ...



Prevenzione degli Attacchi – Pseudonimizzazione e cifratura


Articolo 32 pseudonimizzazione e cifratura dei dati personali

• Oracle Advanced Security - Transparent Data Encryption per cifrare i dati sui supporti.

• Oracle Advanced Security - Data Redaction per pseudonimizzare i dati negli applicativi in produzione.

Recital 83 Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. ...

Recital 28 L'applicazione della pseudonimizzazione ai dati personali può ridurre i rischi per gli interessati e aiutare i titolari del trattamento e i responsabili del trattamento a rispettare i loro obblighi di protezione dei dati.




Recital 26 principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato.

• Oracle Data Masking and Subsetting per mascherare o anonimizzare dati in ambienti dinon produzione.

Articolo 5 I dati personali dovranno essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»). • Oracle Data Masking and Subsetting per creare

sottoinsiemi di dati, cancellandone odestraendone una parte da copiare in un sistemadifferente.

Articolo 20 L'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano ... e ha il diritto di trasmettere tali dati a un altro titolare del trattamento ...


Prevenzione degli Attacchi – anonimizzazione, minimizzazione e cessione a terzi



Articolo 29 Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento...

• Oracle Virtual Private Database per un Controllo di Accesso a Grana Fine

• Oracle Label Security per assegnare delleetichette di classificazione alle informazionisensibili, tramite le quali controllarne l’accesso

• Oracle Database Vault per controllare l’accessoda parte di utenti privilegiati come ilResponsabile del trattamento

Articolo 32 Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento ...

Recital 64 Il titolare del trattamento dovrebbe adottare tutte le misure ragionevoli per verificare l'identità di un interessato che chieda l'accesso, in particolare nel contesto di servizi online e di identificativi online.

• Tecniche di Oracle Strong Authentication come SSL o Kerberos in-line con Real Application Security (RAS) per verificare l’dentità degliutenti applicativi e di database, che accedonoalle informazioni sensibili.


Prevenzione degli Attacchi – consenso, autorizzazione, autenticazione


Monitoraggio per Individuare le MinacceRiferimento Principio del GDPR Linee Guida, Tecnologia, Prodotto per Oracle

Database che assiste alla GDPR compliance

Articolo 30 Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità.

• Oracle Database Auditing per permettere e mantenere le registrazioni (record di audit) delleprocessazioni di dati.

• Oracle Fine Grained Auditing per registrare e tenere sotto controllo specifiche attività degliutenti quali le interrogazioni di dati sensibili

• Oracle Audit Vault and Database Firewall per controllare centralmente le registrazioni relativealla processazione di dati.

• Oracle Audit Vault and Database Firewall per monitorare ed inviare allarmi tempestivi relativi a comportamenti sospetti.

Recital 82 Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità.

Articolo 33 In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza e immediatamente al subject



Qualità della Protezione


Articolo 32

… Il titolare del trattamento ed il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per proteggersi, ...dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

• Architettura di Massima Sicurezza prevista per laOracle Database Security per proteggere i datidall’interno e dall’esterno (inside/out ) mettendoin atto valutazioni e controlli preventivi edinvestigativi.



Enterprise Manager

13

Apps

Users

Configuration & Compliance MgmtDiscover Sensitive DataDatabase Firewall

Audit Data & Event Logs Valutativa

Investigativa

Preventiva

Data Encryption

Key Vault

Fine-Grained Access ControlsDatabase VaultVirtual Private DatabaseLabel SecurityReal Application Security

Database Privilege Analysis

Data Redaction

Data Masking and Subsetting

Reports

Alerts

Audit Vault

Policies

Events

Network Encryption

StrongAuthentication

Single Sign-on using Oracle Identity Management

Confidential - Oracle Public

Controlli di Sicurezza Database



Soluzioni Oracle per la Sicurezza del DatabaseDifesa in Profondità per la Massima Sicurezza

Activity Monitoring

Database Firewall

Auditing and Reporting

INVESTIGATIVA

Redaction and Masking

Privileged User Controls

Encryption

PREVENTIVA VALUTATIVA

Sensitive Data Discovery

Configuration Management

Privilege Analysis


• Transparent Data Encryption (TDE)

• Cifratura di Tablespace o Colonne

• Previene la leggibilità non consentita ai dati a riposo

• Non richiede alcun cambio all’applicazione

• Gestione built-in a due livelli delle chiavi (Chiavecifratura dati, Master Key per cifratura chiavi)

• Overhead “Near Zero”

• Integrazione con le altre tecnologie Oracle

– e.g. Exadata, Advanced Compression, ASM, Golden Gate, DataPump, etc..

Oracle Advanced Security Option

Cifratura dei dati all’interno del DatabaseControllo Preventivo per i Database Oracle

Disk

Backups

Exports

Off-SiteFacilities

Applications


• Data Redaction

• Offuscamento real-time dei dati sensibilibasato sul contesto della sessione didatabase

• Libreria di policy di offuscamento e definizione delle policy point-and-click

• Applicazione e imposizione coerente dellepolicy ai dati

• Trasparente alle applicazioni, agli utenti edalle attività operative

Oracle Advanced Security Option

“Redaction(*)” dei Dati Sensibili VisualizzatiControllo Preventivo per i Database Oracle

Credit Card Numbers4451-2172-9841-43685106-8395-2095-59387830-0032-0294-1827

Redaction Policy

xxxx-xxxx-xxxx-4368 4451-2172-9841-4368

Billing Department

Call Center Application(*) Redazione, Offuscamento


• Sostituzione di dati applicativi sensibili

• Integrità referenziale individuata e preservata

• Libreria di template e formati estensibili

• Disponibilità di template applicativi

• Mascheramento massivo, parallelizzato ed integrato con il cloning del DB

• Supporto al mascheramento di dati in database non-Oracle

Oracle Data Masking

Mascheramento dei Dati per l’Uso in Non-ProductionControllo Preventivo per i Database Oracle

LAST_NAME SSN SALARY

ANSKEKSL 323—23-1111 60,000

BKJHHEIEDK 252-34-1345 40,000

LAST_NAME SSN SALARY

AGUILAR 203-33-3234 40,000

BENSON 323-22-2943 60,000

Non-Production

Dev

TestProduction


• Limitazione dell’accesso da parte dei DBA aidati applicativi

• Creazione di zone protettive tramite ilconcetto di Realm

• Rafforzamento della governance sui datiaziendali, privilegi minimi, segregazione deicompiti

•Policy applicative out-of-the-box

•Applicabilità in ambienti cloud

•Compliance regolamentari

• Nessun cambio applicativo richiesto

• Informazioni sulle violazioni salvate e messe in sicurezza nel Repository di Audit Vault

Oracle Database Vault

Controllo su Utenti Privilegiati

Procurement

HR

Finance

select * from finance.customers

Application DBA

Applications

SecurityDBA

DBA

Controllo Preventivo per Oracle Database


Oracle Audit Vault and Database Firewall

Monitoraggio Attività Database e FirewallControllo Investigativo per Database Oracle e non-Oracle

• Monitoraggio del traffico di rete, individuazionee blocco di attività non autorizzate

• Analisi della grammatica SQL altamenteaccurata

• Può individuare/fermare attacchi di SQL injection

• Approccio “Whitelist” per forzare l’effettuazionedell’attività

• Blacklist per gestire attività ad alto rischio

• Appliance software sicura e scalabile

Block

Log

Allow

Alert

SubstituteApps

Whitelist Blacklist

SQL Analysis Policy

Factors

Users


Oracle Audit Vault and Database Firewall

Audit, Report, ed Alert in Real-Time

Audit Data &Event Logs

Policies

Built-inReports

Alerts

CustomReports

!

OS & Storage

Directories

Databases

Oracle Database

Firewall

Custom

SecurityAnalyst

Auditor

SOC• Repository centralizzato per la sicurezza

rilasciato come software appliance sicuro e scalabile

• Alerting potente – soglie, group-by

• Reportistica personalizzata e pronta all’uso

• Reporting multi-source consolidato

• Segregazione dei compiti built-in ed a granafine

Controllo Investigativo per Database Oracle e non-Oracle

Audit Vault Server


DBV & Oracle Enterprise Manager 12c

Scoperta dell’Uso di Privilegi e di RuoliControllo Amministrativo per Oracle Database 12c

Privilege Analysis

Create…Drop…Modify…DBA roleAPPADMIN role

• Attivazione della modalità di cattura deiprivilegi

• Reportistica sui reali privilegi e sui ruoliutilizzati nel database

• Aiuto nella revoca di privilegi non necessari

• Imposizione del criterio di privilegio minimo e riduzione dei rischi

• Aumento della sicurezza senza interruzioni diservizio


• Scansione di Oracle per l’individuazione didati sensibili

• Definizioni di dati built-in ed estensibili

• Scoperta dei modelli di dati applicativi

• Protezione appropriata dei dati sensibili: cifratura, offuscamento, mascheramento, audit …

DataMasking & Oracle Enterprise Manager 12c/13c

Scoperta di Dati Sensibili e Modello Dati ApplicativoControllo Amministrativo per Oracle Database 12c


Oracle Database Lifecycle Management

Gestione della Configurazione

Discover

Scan & Monitor

Patch

• Scoperta e classificazione di database

• Scansione per le best practices e glistandards

• Individuazione di cambiamenti non autorizzati

• Bonifica automatizzata

• Patching e provisioning

Controllo Amministrativo per Oracle Database 12c


Agenda

24

General Data Protection Regulation


Casi Utente

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 25

• Evento scatenante– Ispezione effettuata dal Garante per la Privacy a

fronte di un esposto relativo ad accesso a dati non “legittimo”

• Problemi riscontrati– Informativa sul trattamento dati non esaustiva

– Consenso al trattamento dati non gestito correttamente e completamente

– Accesso al Dossier ed ai dati sanitari, in genere, non controllato ed autorizzato adeguatamente

– Mancato oscuramento di dati sensibili

– Mancato monitoraggio delle attività sui dati

– Assenza di audit automatizzato per evidenziare le anomalie

• Prescrizioni e Sanzioni– Divieto di ulteriori trattamenti dati pregressi (a)

– Obbligo di acquisire ulteriore consenso per dati pregressi, per uso nel dossier dei dati sottoposti a maggior tutela e per poter esprimere volontà di oscurare (b)

– Pesante sanzione pecuniaria

• Soluzioni Adottate– Cifratura dei dati con Oracle ASO - TDE

– Attibuzione all’utente finale reale di qualsiasi operazione effetuata sui dati, mediante le funzionalità di Audit granulare di Oracle DB

– Registrazione, monitoraggio e controllo preventivo delle attività verso i DB con Oracle AVDF

Caso Utente 1 : Ente Ospedaliero di notevole importanza “Illeicità nel trattamento...”


Esigenza

• Prevenire l’esposizione diimportanti dati patrimoniali in ambienti di non-produzione

• Ridurre il rischio di accessi non autorizzati accidentali o intenzionali ad informaizoni dicontesto sensibili in ambientidi non-produzione

Benefici

Soluzione

• Mascherati 2 TB di dati in meno di un’ora, utilizzando moltepliciformati di mascheramento, in base al tipo di dato, con Oracle Data Masking and Subsetting

• 16 server (alcune Exadata Machines), 22 Database

• Scoperta automatica di informazioni di contesto sensibili

• Facilità di amministrazione e manutenzione

• Capacità di mascherare i dati in una piccola finestra temporale dimanutenzione (poche ore)

Oracle Confidential – Internal

Caso Utente 2 : Cliente dell’Area Finanziaria


Esigenza

•Migliorare l’analisi del rischio e la gestione del credito edassicurare aggiornamenti tempestivi ai dati dei clienti

•Migliorare l’integrità dei dati•Rafforzare la sicurezza per i dati

personali dei clienti, quali idettagli del conto bancario, e l’indirizzo abitativo, e prevenireatacchi maliziosi e violazioni aidati

Benefici

Soluzione

• Implementata la cifratura dei dati con Oracle Advanced Security Option

• Migrati i Database su Oracle Exadata

• Processazione delle transazioni relative al credito 3 volte più veloci

• Dispiegata la nuova piattaforma in soli 5 mesi

• Rafforzata la sicurezza dei dati per limitare l’esposizione di datisensibili dei clienti durante le transazioni online

Oracle Confidential – Internal

Caso Utente 3 : Cliente dell’Area Bancaria


DB Security Maturity Evaluation: Il Modello / Processo

4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data and be compliant to...

Education

Transcript of 4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data and be compliant to...