4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data and be compliant to GDPR

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
General Data Protection Regulation – GDPR
ed Oracle DB Security
Francesco Scarano
Oracle Italia
Principal Sales Consultant

Agenda
2
 General Data Protection Regulation
 Oracle Database Maximum Security Architecture
 Casi Utente

General Data Protection Regulation (GDPR)
Confidential - Oracle Public 3
Informazioni Chiave
• Sarà effettivo dal 25 maggio 2018
• Precedente Direttiva 95/46/EC
• Definire una linea base per la protezione dati
• Chiarire le responsibilità per la protezione dati
• Elaborare i principi relativi alla protezione dati
• Aggiornare il Regolamento per adeguarlo ai cambiamenti
tecnologici ed allo scenario complessivo
• Abilitare il flusso libero di dati
• Provvedere ad una forte applicazione del Regolamento

95/46/EC Data
Protection
Directive Adopted
GDPR Evoluzione
1998
1995 2012
95/46/EC Data
Protection Directive
compliance date
GDPR (General Data
Protection Regulation)
April 14th – Adopted by
EU Parliament
January 25th 2012 new
draft Data Protection
Regulation announced
by EC
May 4th Publication in the
Official Journal of the EU
May 24th entry into force
May 25th 2018 (at latest
per national decision)
Compliance Date
20182016
Oracle Confidential – Restricted
Several texts amended
and negotiation between
EU institutions
2012-2016
2-year grace period

Attori principali e Principi Basilari del GDPR
5Confidential - Oracle Public
Attore Principio Basilare
Interessato (Data Subject) Buon Trattamento
Dato personale (Personal Data) Controllo Amministrativo (Authority, controlli e sanzioni)
Gestore Trattamento (Processor) Obbligo Informativo (finalità della raccolta e
titolare/responsabile del trattamento)
Titolare del trattamento (Controller) Circolazione limitata dei dati, e limitata nel tempo (Consenso e
diritto all’oblio)
Autorità di controllo (Authority) Sicurezza (Risevatezza, Integrità, Disponibilità)
Destinatario (Recipient) Impianto Sanzionatorio

VALUTAZIONE
Processi Organizzativi,
Analisi di Rischi
Principi Chiave di Sicurezza del GDPR
6
Auditing,
Monitoraggio delle Attività,
Allertamento,
Reporting
INVESTIGAZIONE
Cifratura,
Pseudonimizzazione,
Anonimizzazione,
Controlli di Accesso a Grana
Fine,
Controllo degli Accessi
Privilegiati,
Separazione delle Funzioni
PREVENZIONE
Confidential - Oracle Public
Obblighi del Titolare del Trattamento (Controller) e del Gestore del
Trattamento (Processor)

Valutazione dei Rischi di Sicurezza
Riferimento Principio del GDPR Linee Guida, Tecnologia, Prodotto per Oracle
Database che assiste alla GDPR compliance
Articolo 35 Il titolare del trattamento effettua, prima di
procedere al trattamento, una valutazione
dell'impatto dei trattamenti previsti sulla
protezione dei dati personali...
• Database Lifecycle Management Pack di Oracle
Enterprise Manager per valutare il profilo di
sicurezza dei Database Oracle esplorandone le
configurazioni.
• Application Data Modeling di Oracle Enterprise
Manager per valutare il panorama dei dati
sensibili esplorando le colonne del database alla
ricerca di informazioni sensibili.
• Oracle Database Vault Privilege Analysis per
valutare come vengono acceduti i dati sensibili
esplorando ruoli e privilegi del Database Oracle.
• Oracle Security Assessment Tool per valutare la
configurazione della sicurezza del database, le
policy di sicurezza in esercizio, lo stato degli
utenti, dei ruoli e dei privilegi assegnati.
Recital 84 ... qualora i trattamenti possano presentare un
rischio elevato per i diritti e le libertà delle
persone fisiche, il titolare del trattamento
dovrebbe essere responsabile dello svolgimento
di una valutazione d'impatto sulla protezione dei
dati per determinare, in particolare, l'origine, la
natura, la particolarità e la gravità di tale rischio ...
Recital 91 Una valutazione d'impatto sulla protezione dei
dati è altresì richiesta per la sorveglianza di zone
accessibili al pubblico su larga scala ...

Prevenzione degli Attacchi – Pseudonimizzazione e cifratura
Articolo 32 pseudonimizzazione e cifratura dei dati personali
• Oracle Advanced Security - Transparent Data
Encryption per cifrare i dati sui supporti.
• Oracle Advanced Security - Data Redaction per
pseudonimizzare i dati negli applicativi in
produzione.
Recital 83 Per mantenere la sicurezza e prevenire
trattamenti in violazione al presente regolamento,
il titolare del trattamento o il responsabile del
trattamento dovrebbe valutare i rischi inerenti al
trattamento e attuare misure per limitare tali
rischi, quali la cifratura. ...
Recital 28 L'applicazione della pseudonimizzazione ai dati
personali può ridurre i rischi per gli interessati e
aiutare i titolari del trattamento e i responsabili
del trattamento a rispettare i loro obblighi di
protezione dei dati.

Recital 26 principi di protezione dei dati non dovrebbero
pertanto applicarsi a informazioni anonime, vale
a dire informazioni che non si riferiscono a una
persona fisica identificata o identificabile o a dati
personali resi sufficientemente anonimi da
impedire o da non consentire più l'identificazione
dell'interessato.
• Oracle Data Masking and Subsetting per
mascherare o anonimizzare dati in ambienti di
non produzione.
Articolo 5 I dati personali dovranno essere adeguati,
pertinenti e limitati a quanto necessario rispetto
alle finalità per le quali sono trattati
(«minimizzazione dei dati»). • Oracle Data Masking and Subsetting per creare
sottoinsiemi di dati, cancellandone od
estraendone una parte da copiare in un sistema
differente.
Articolo 20 L'interessato ha il diritto di ricevere in un formato
strutturato, di uso comune e leggibile da
dispositivo automatico i dati personali che lo
riguardano ... e ha il diritto di trasmettere tali dati
a un altro titolare del trattamento ...
Prevenzione degli Attacchi – anonimizzazione, minimizzazione e
cessione a terzi

Articolo 29 Il responsabile del trattamento, o chiunque
agisca sotto la sua autorità o sotto quella del
titolare del trattamento, che abbia accesso a dati
personali non può trattare tali dati se non è
istruito in tal senso dal titolare del trattamento...
• Oracle Virtual Private Database per un
Controllo di Accesso a Grana Fine
• Oracle Label Security per assegnare delle
etichette di classificazione alle informazioni
sensibili, tramite le quali controllarne l’accesso
• Oracle Database Vault per controllare l’accesso
da parte di utenti privilegiati come il
Responsabile del trattamento
Articolo 32 Il titolare del trattamento e il responsabile del
trattamento fanno sì che chiunque agisca sotto la
loro autorità e abbia accesso a dati personali non
tratti tali dati se non è istruito in tal senso dal
titolare del trattamento ...
Recital 64 Il titolare del trattamento dovrebbe adottare tutte
le misure ragionevoli per verificare l'identità di un
interessato che chieda l'accesso, in particolare nel
contesto di servizi online e di identificativi online.
• Tecniche di Oracle Strong Authentication come
SSL o Kerberos in-line con Real Application
Security (RAS) per verificare l’dentità degli
utenti applicativi e di database, che accedono
alle informazioni sensibili.
Prevenzione degli Attacchi – consenso, autorizzazione, autenticazione

Monitoraggio per Individuare le Minacce
Articolo 30 Ogni titolare del trattamento e, ove applicabile, il
suo rappresentante tengono un registro delle
attività di trattamento svolte sotto la propria
responsabilità.
• Oracle Database Auditing per permettere e
mantenere le registrazioni (record di audit) delle
processazioni di dati.
• Oracle Fine Grained Auditing per registrare e
tenere sotto controllo specifiche attività degli
utenti quali le interrogazioni di dati sensibili
• Oracle Audit Vault and Database Firewall per
controllare centralmente le registrazioni relative
alla processazione di dati.
• Oracle Audit Vault and Database Firewall per
monitorare ed inviare allarmi tempestivi relativi a
comportamenti sospetti.
Recital 82 Per dimostrare che si conforma al presente
regolamento, il titolare del trattamento o il
responsabile del trattamento dovrebbe tenere un
registro delle attività di trattamento effettuate
sotto la sua responsabilità.
Articolo 33 In caso di violazione dei dati personali, il titolare
del trattamento notifica la violazione all'autorità
di controllo competente a norma dell'articolo 55
senza ingiustificato ritardo e, ove possibile, entro
72 ore dal momento in cui ne è venuto a
conoscenza e immediatamente al subject

Qualità della Protezione
Articolo 32
… Il titolare del trattamento ed il responsabile del
trattamento mettono in atto misure tecniche e
organizzative adeguate per proteggersi, ...
dalla distruzione, dalla perdita, dalla modifica,
dalla divulgazione non autorizzata o
dall'accesso, in modo accidentale o illegale, a
dati personali trasmessi, conservati o comunque
trattati.
• Architettura di Massima Sicurezza prevista per la
Oracle Database Security per proteggere i dati
dall’interno e dall’esterno (inside/out ) mettendo
in atto valutazioni e controlli preventivi ed
investigativi.

Enterprise
Manager
13
Apps
Users
Configuration & Compliance Mgmt
Discover Sensitive DataDatabase Firewall
Audit Data & Event Logs Valutativa
Investigativa
Preventiva
Data Encryption
Key Vault
Fine-Grained Access Controls
Database Vault
Virtual Private Database
Label Security
Real Application Security
Database Privilege Analysis
Data Redaction
Data Masking and Subsetting
Reports
Alerts
Audit Vault
Policies
Events
Network Encryption
Strong
Authentication
Single Sign-on using Oracle
Identity Management
Confidential - Oracle Public
Controlli di Sicurezza Database
Oracle Database Maximum Security Architecture

Soluzioni Oracle per la Sicurezza del Database
Difesa in Profondità per la Massima Sicurezza
Activity Monitoring
Database Firewall
Auditing and Reporting
INVESTIGATIVA
Redaction and Masking
Privileged User Controls
Encryption
PREVENTIVA VALUTATIVA
Sensitive Data Discovery
Configuration Management
Privilege Analysis

• Transparent Data Encryption (TDE)
• Cifratura di Tablespace o Colonne
• Previene la leggibilità non consentita ai dati a
riposo
• Non richiede alcun cambio all’applicazione
• Gestione built-in a due livelli delle chiavi (Chiave
cifratura dati, Master Key per cifratura chiavi)
• Overhead “Near Zero”
• Integrazione con le altre tecnologie Oracle
– e.g. Exadata, Advanced Compression, ASM, Golden
Gate, DataPump, etc..
Oracle Advanced Security Option
Cifratura dei dati all’interno del Database
Controllo Preventivo per i Database Oracle
Disk
Backups
Exports
Off-Site
Facilities
Applications

• Data Redaction
• Offuscamento real-time dei dati sensibili
basato sul contesto della sessione di
database
• Libreria di policy di offuscamento e
definizione delle policy point-and-click
• Applicazione e imposizione coerente delle
policy ai dati
• Trasparente alle applicazioni, agli utenti ed
alle attività operative
Oracle Advanced Security Option
“Redaction(*)” dei Dati Sensibili Visualizzati
Credit Card Numbers
4451-2172-9841-4368
5106-8395-2095-5938
7830-0032-0294-1827
Redaction Policy
xxxx-xxxx-xxxx-4368 4451-2172-9841-4368
Billing
Department
Call Center
Application(*) Redazione, Offuscamento

• Sostituzione di dati applicativi sensibili
• Integrità referenziale individuata e preservata
• Libreria di template e formati estensibili
• Disponibilità di template applicativi
• Mascheramento massivo, parallelizzato ed
integrato con il cloning del DB
• Supporto al mascheramento di dati in
database non-Oracle
Oracle Data Masking
Mascheramento dei Dati per l’Uso in Non-Production
LAST_NAME SSN SALARY
ANSKEKSL 323—23-1111 60,000
BKJHHEIEDK 252-34-1345 40,000
LAST_NAME SSN SALARY
AGUILAR 203-33-3234 40,000
BENSON 323-22-2943 60,000
Non-Production
Dev
Test
Production

• Limitazione dell’accesso da parte dei DBA ai
dati applicativi
• Creazione di zone protettive tramite il
concetto di Realm
• Rafforzamento della governance sui dati
aziendali, privilegi minimi, segregazione dei
compiti
•Policy applicative out-of-the-box
•Applicabilità in ambienti cloud
•Compliance regolamentari
• Nessun cambio applicativo richiesto
• Informazioni sulle violazioni salvate e messe
in sicurezza nel Repository di Audit Vault
Oracle Database Vault
Controllo su Utenti Privilegiati
Procurement
HR
Finance
select * from finance.customers
Application
DBA
Applications
Security
DBA
DBA
Controllo Preventivo per Oracle Database

Oracle Audit Vault and Database
Firewall
Monitoraggio Attività Database e Firewall
Controllo Investigativo per Database Oracle e non-Oracle
• Monitoraggio del traffico di rete, individuazione
e blocco di attività non autorizzate
• Analisi della grammatica SQL altamente
accurata
• Può individuare/fermare attacchi di SQL
injection
• Approccio “Whitelist” per forzare l’effettuazione
dell’attività
• Blacklist per gestire attività ad alto rischio
• Appliance software sicura e scalabile
Block
Log
Allow
Alert
SubstituteApps
Whitelist Blacklist
SQL
Analysis Policy
Factors
Users

Oracle Audit Vault and Database
Firewall
Audit, Report, ed Alert in Real-Time
Audit Data &
Event Logs
Policies
Built-in
Reports
Alerts
Custom
Reports
!
OS &
Storage
Directories
Databases
Oracle
Database
Firewall
Custom
Security
Analyst
Auditor
SOC
• Repository centralizzato per la sicurezza
rilasciato come software appliance sicuro e
scalabile
• Alerting potente – soglie, group-by
• Reportistica personalizzata e pronta all’uso
• Reporting multi-source consolidato
• Segregazione dei compiti built-in ed a grana
fine
Controllo Investigativo per Database Oracle e non-Oracle
Audit Vault Server

DBV & Oracle Enterprise Manager 12c
Scoperta dell’Uso di Privilegi e di Ruoli
Controllo Amministrativo per Oracle Database 12c
Privilege Analysis
Create…
Drop…
Modify…
DBA role
APPADMIN role
• Attivazione della modalità di cattura dei
privilegi
• Reportistica sui reali privilegi e sui ruoli
utilizzati nel database
• Aiuto nella revoca di privilegi non necessari
• Imposizione del criterio di privilegio minimo e
riduzione dei rischi
• Aumento della sicurezza senza interruzioni di
servizio

• Scansione di Oracle per l’individuazione di
dati sensibili
• Definizioni di dati built-in ed estensibili
• Scoperta dei modelli di dati applicativi
• Protezione appropriata dei dati sensibili:
cifratura, offuscamento, mascheramento,
audit …
DataMasking & Oracle Enterprise
Manager 12c/13c
Scoperta di Dati Sensibili e Modello Dati Applicativo

Oracle Database Lifecycle Management
Gestione della Configurazione
Discover
Scan & Monitor
Patch
• Scoperta e classificazione di database
• Scansione per le best practices e gli
standards
• Individuazione di cambiamenti non
autorizzati
• Bonifica automatizzata
• Patching e provisioning

Agenda
24
 General Data Protection Regulation
 Oracle Database Maximum Security Architecture
 Casi Utente

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 25
• Evento scatenante
– Ispezione effettuata dal Garante per la Privacy a
fronte di un esposto relativo ad accesso a dati non
“legittimo”
• Problemi riscontrati
– Informativa sul trattamento dati non esaustiva
– Consenso al trattamento dati non gestito
correttamente e completamente
– Accesso al Dossier ed ai dati sanitari, in genere, non
controllato ed autorizzato adeguatamente
– Mancato oscuramento di dati sensibili
– Mancato monitoraggio delle attività sui dati
– Assenza di audit automatizzato per evidenziare le
anomalie
• Prescrizioni e Sanzioni
– Divieto di ulteriori trattamenti dati pregressi (a)
– Obbligo di acquisire ulteriore consenso per dati
pregressi, per uso nel dossier dei dati sottoposti a
maggior tutela e per poter esprimere volontà di
oscurare (b)
– Pesante sanzione pecuniaria
• Soluzioni Adottate
– Cifratura dei dati con Oracle ASO - TDE
– Attibuzione all’utente finale reale di qualsiasi
operazione effetuata sui dati, mediante le
funzionalità di Audit granulare di Oracle DB
– Registrazione, monitoraggio e controllo preventivo
delle attività verso i DB con Oracle AVDF
Caso Utente 1 : Ente Ospedaliero di notevole importanza “Illeicità
nel trattamento...”

Esigenza
• Prevenire l’esposizione di
importanti dati patrimoniali in
ambienti di non-produzione
• Ridurre il rischio di accessi non
autorizzati accidentali o
intenzionali ad informaizoni di
contesto sensibili in ambienti
di non-produzione
Benefici
Soluzione
• Mascherati 2 TB di dati in meno di un’ora, utilizzando molteplici
formati di mascheramento, in base al tipo di dato, con Oracle Data
Masking and Subsetting
• 16 server (alcune Exadata Machines), 22 Database
• Scoperta automatica di informazioni di contesto sensibili
• Facilità di amministrazione e manutenzione
• Capacità di mascherare i dati in una piccola finestra temporale di
manutenzione (poche ore)
Oracle Confidential – Internal
Caso Utente 2 : Cliente dell’Area Finanziaria

Esigenza
•Migliorare l’analisi del rischio e
la gestione del credito ed
assicurare aggiornamenti
tempestivi ai dati dei clienti
•Migliorare l’integrità dei dati
•Rafforzare la sicurezza per i dati
personali dei clienti, quali i
dettagli del conto bancario, e
l’indirizzo abitativo, e prevenire
atacchi maliziosi e violazioni ai
dati
Benefici
Soluzione
• Implementata la cifratura dei dati con Oracle Advanced Security
Option
• Migrati i Database su Oracle Exadata
• Processazione delle transazioni relative al credito 3 volte più veloci
• Dispiegata la nuova piattaforma in soli 5 mesi
• Rafforzata la sicurezza dei dati per limitare l’esposizione di dati
sensibili dei clienti durante le transazioni online
Oracle Confidential – Internal
Caso Utente 3 : Cliente dell’Area Bancaria

DB Security Maturity Evaluation: Il Modello / Processo

4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data and be compliant to GDPR

4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data and be compliant to GDPR

More Related Content

What's hot

Viewers also liked

Similar to 4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data and be compliant to GDPR

More from Jürgen Ambrosi

Recently uploaded

4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data and be compliant to GDPR