Verifica della crittografia a riposo con Oracle 11g

0

Ho un grande database gigante che è fondamentalmente legato alle risorse umane. Come tale, contiene tutte le PII nel mondo (SSN, materiale medico, informazioni sui pagamenti bancari, ecc.).

Se non si richiedono le autorizzazioni di accesso alle PII sul database, i campi PII restituiscono NULL. Se ricevi l'accesso alle PII, tutto viene visualizzato in testo semplice.

Come utente e non come amministratore del database, come posso garantire che lo stesso PII sia protetto a riposo? Presumo che quando accedo con i miei privilegi di visualizzazione PII, viene eseguita una trasformazione sui dati sottostanti per renderlo leggibile. Come faccio a essere sicuro che quando è fisicamente seduto sul disco il suo NON sia leggibile dall'uomo?

Oracle ha questa descrizione qui e un esempio di utilizzo di una classe java per decrittografare le PII ma è torbido di fornirmi un modo per verificare che la decrittografia dei valori sottostanti stia avvenendo sotto il cofano prima di vedere testo in chiaro.

    
posta Dylan 26.10.2017 - 14:56
fonte

1 risposta

2

Se è possibile consultare il database, è possibile esaminare le tabelle effettive e verificare che i dati siano archiviati in un formato crittografato o che siano archiviati in testo normale. Puoi anche controllare che l'intero database sia / non sia archiviato come oggetto crittografato.

Se hai accesso al codice sorgente del software che serve le informazioni del database, puoi verificare la logica nella funzione e vedere se crittografa / decodifica i dati quando vengono inseriti nel database o rimossi.

Se hai accesso al server nel suo complesso, puoi controllare che la crittografia del disco sia in uso.

Se non hai accesso a nulla, il modo più semplice per verificare è vedere se il software utilizzato è elencato come conforme alle normative HIPAA / PCI e vedere quale sito Web o l'amministratore del tuo sistema possono confermare per te.

Alla fine della giornata senza sapere quale software serva le tabelle SQL e senza avere accesso per visualizzare le tabelle SQL, è una specie di domanda a risposta aperta che è probabilmente meglio risolta socialmente piuttosto che tecnologicamente - chiedi a qualcuno che sa.

    
risposta data 26.10.2017 - 15:03
fonte

Leggi altre domande sui tag