Verificación del cifrado en reposo con Oracle 11g

Navega tus respuestas
0

Tengo una gran base de datos gigante que está básicamente relacionada con los recursos humanos. Como tal, contiene toda la PII en el mundo (SSN, información médica, información de pagos bancarios, etc.).

Si no solicita permisos de acceso de PII en la base de datos, los campos de PII devuelven NULL. Si recibe acceso a la PII, todo se muestra en texto sin formato.

Como usuario y no como administrador de base de datos, ¿cómo garantizo que la PII en sí misma esté protegida en reposo? Supongo que cuando inicio sesión con mis privilegios de visualización de PII, se realiza una transformación en los datos subyacentes para que sea legible para los humanos. ¿Cómo me aseguro de que cuando se encuentra físicamente en el disco su NO sea legible?

Oracle tiene esta descripción aquí y un ejemplo de uso de una clase java para descifrar la PII pero es confuso en proporcionarme un modo para verificar que el descifrado de los valores subyacentes está ocurriendo bajo el capó antes de que vea texto sin formato.

    
pregunta Dylan 26.10.2017 - 14:56
fuente

1 respuesta

2

Si puede ver la base de datos, puede mirar las tablas reales y ver que los datos se almacenan en un formato cifrado, o si están almacenados en texto sin formato. También puede comprobar que toda la base de datos no está almacenada como un objeto cifrado.

Si tiene acceso al código fuente del software que sirve la información de la base de datos, puede verificar la lógica en la función y ver si encripta / desencripta los datos a medida que se ingresan en la base de datos o se eliminan.

Si tiene acceso al servidor en su totalidad, puede verificar que el cifrado del disco esté en uso.

Si no tiene acceso a nada, su forma más fácil de verificar es ver si el software utilizado cumple con las normativas HIPAA / PCI y ver qué puede confirmar su sitio web o el administrador de su sistema.

Al final del día, sin saber qué software le sirve a las tablas SQL, y sin tener acceso para ver las tablas SQL, es una pregunta abierta que probablemente se resuelve mejor socialmente que tecnológicamente, pregunte a alguien que sabe.

    
respondido por el Adonalsium 26.10.2017 - 15:03
fuente

Lea otras preguntas en las etiquetas

¿Tiene sentido almacenar claves privadas RSA en lugar de hashes de contraseña? UUID en la URL: ¿qué tan seguro está de la solución propuesta para mi descubrimiento accidental?