25 maja 2018 r. wejdą w życie nowe unijne regulacje dotyczące ochrony danych (General Data Protection Regulation, GDPR, RODO), zmieniające sposób ich przechowywania i przetwarzania. Nowe przepisy zastąpią dotychczasową dyrektywę 95/4/6EC, a objęte nimi będą wszystkie przedsiębiorstwa oferujące swoje produkty i usługi na terenie Unii Europejskiej. Przepisy GDPR koncentrują się na danych osobowych (Personal Data, PD), definiowanych jako wszelkie informacje związane z osobą, na podstawie których można ją zidentyfikować (pośrednio lub bezpośrednio), np.: imię, nazwisko, email, data urodzenia, PESEL, adres IP i inne.
W skład GDPR wchodzi 99 artykułów, z czego niektóre w szczególny sposób odnoszą się do pracy administratorów baz danych, m.in.:
- art. 17 dotyczący prawa do usunięcia danych przez osobę, której dane dotyczą (prawo do bycia zapomnianym);
- art. 20 i 14 – dotyczące prawa do przenoszenia danych i obowiązku informowania o tym fakcie osoby, której dane dotyczą;
- art. 25 dotyczący ochrony danych przez minimalizację ilości pozyskanych danych – pozyskujemy tylko te dane, które są niezbędne do realizacji danego celu przetwarzania;
- art. 32 dotyczący bezpieczeństwa przetwarzania danych;
- art. 33 dotyczący powiadomienia instytucji nadzoru o naruszeniu ochrony danych osobowych;
- art. 34 dotyczący powiadomienia o naruszeniu ochrony danych osobowych osoby, której dane dotyczą.
O dostosowaniu organizacji do nowych regulacji pisaliśmy w artykule Jak sprostać GDPR/RODO? Dostosowanie organizacji do zarządzania danymi osobowymi.
Technologia skutecznie pomaga w uniknięciu naruszeń nowego prawa. Rozwiązania EDB Postgres są uzupełnione o dodatkowe narzędzia i funkcjonalności, niedostępne w wersji społecznościowej wersji bazy danych PostgreSQL. Umożliwiają one dostosowanie procedur związanych z zarządzaniem bazą danych do nowych regulacji GDPR.

Zarządzanie hasłami (Password Management)
Co prawda organizacje korzystające z PostgresSQL mogą polepszyć zarządzanie hasłami przy pomocy LDAP lub innych procesów. PostgreSQL nie posiada jednak żadnych wbudowanych funkcjonalności wspierających Password Management. Rozwiązania EDB Postgres posiadają natywne narzędzie EDB Password Profiles, będące odpowiedzią na potrzeby firm z branży finansowej operujących kartami kredytowymi i dużą ilością danych osobowych.
Autoryzacja (Authorization)
PostgreSQL oferuje autoryzację na poziomie wiersza danych, dzięki PostgreSQL Row Level Security. Rozwiązania EDB Postgres wykorzystują narzędzie EDB Virtual Private Database, kompatybilne z Oracle.
Audyt (Auditing)
Możliwości audytu w bazie PostgreSQL są ograniczone, m.in. dlatego, że informacje audytowe są udostępniane w standardowych logach. EDB Postgres umożliwia przeprowadzenie audytu spełniającego wymagania przedsiębiorstw, dzięki EDB Postgres Advanced Server (EPAS) Audit pozwalającemu na: audyt DML dla poleceń INSERT, UPDATE, DELETE, TRUNCATE (przez użytkownika i bazę danych), integrację syslog, zarządzanie logami z audytu niezależnie od logów serwerowych. Utrzymywanie logów z audytu w separacji od logów serwerowych to ważna cecha, gwarantująca, że osoba pracująca nad wykryciem potencjalnych naruszeń będzie inna niż osoba sprawdzająca techniczne logi serwerowe.
SQL Injection Attacks
PostgreSQL nie posiada żadnej ochrony przed atakami SQL injection, co zmusza użytkowników do pisania aplikacji w taki sposób, aby zapobiegać tego typu atakom lub do użycia zewnętrznego narzędzia. Moduł EDB SQL/Protect chroni bazę danych przed różnego typu atakami SQL injection. Zapobieganie atakom jest zwykle obowiązkiem deweloperów aplikacji, jednak dzięki EDB SQL/Protect administratorzy baz danych mogą dostarczać dodatkową warstwę ochrony, zapobiegającą nadużyciom lub próbom włamania do bazy danych. SQL/Protect dostarcza warstwę bezpieczeństwa zarządzaną przez administratorów baz danych, która rozszerza istniejącą politykę bezpieczeństwa baz danych, poprzez skanowanie/sprawdzanie zapytań przychodzących dla typowych profili SQL injection. Co więcej, moduł SQL/Protect można tak skonfigurować, aby akceptował ‘przyjazne’ zapytania i odrzucał nieznane wzorce zapytań.
Szyfrowanie (Encryption)
Szyfrowanie stanowi ochronę przeciwko różnego rodzaju atakom i jest kluczowym narzędziem z punktu widzenia nowych regulacji GDPR. W sytuacji naruszenia, szyfrowanie chroni dane przed ich odczytaniem przez niepowołane osoby. Jednakże, aby tak się stało, musi być zaimplementowane we właściwy sposób. PostgreSQL pozwala na wdrożenie szyfrowania, ale do rozpoczęcia jego działania, niezbędne jest wykonanie odpowiednich ustawień i konfiguracji. Rozwiązania EDB Postgres oferują sprawdzone procedury szyfrowania całych dysków oraz rozszerzenie pgCrypto wspierające zarządzanie kluczem bezpieczeństwa.
Wsparcie 24/7
Stałe wsparcie dostawcy jest niezwykle istotne z punktu widzenia dostępności, integralności i zapewnienia SLA. GDPR nakłada na organizacje obowiązek zapewnienia odpowiedniego czasu dostępności, jednak nie określa jego konkretnych parametrów.
HA i DR (High Availibility i Disaster Recovery)
Nowe przepisy GDPR wymagają od organizacji posiadania procedur odzyskiwania i przywracania danych, a także zapewnienia wysokiej dostępności (HA) i odtwarzania awaryjnego (DR). Użytkownicy społecznościowego PostgreSQL mają w tym celu do dyspozycji wiele narzędzi open source. Jednak warto się upewnić, czy umożliwiają realizację założonego SLA. EDB Postgres oferuje wsparcie klasy enterprise z bezpośrednim dostępem do ekspertów EDB i liderów społeczności Postgres, a także z narzędziami EDB wspierającymi zarządzanie HA i DR.
W celu zapewnienia właściwej integralności i odporności baz danych pomocne jest wdrożenie monitoringu HA i DR, co mogą ułatwić następujące narzędzia EDB:
- EDB Postgres™ Backup and Recovery Tool (BART) – pozwala na odzyskiwanie baz danych do pewnego punktu w czasie (point-in-time recovery) i zarządzanie polityką retencji; jest kluczowym komponentem klasy enterprise w strategii zarządzania danymi opartym o Postgres; wspiera wdrożenie polityk retencji i zgodność z wymaganiami odzyskiwania point-in-time recovery w implementacjach Postgres w wielkiej skali.

- EDB Postgres™Enterprise Failover Manager (EFM) – dostarcza wysoką dostępność dla infrastruktury opartej o Postgres na powszechnie stosowanym sprzęcie; monitoruje węzły klastra Postgres, szybko i wiarygodnie identyfikuje i weryfikuje błędy bazy danych, jeśli to konieczne promuje jeden z nodów standby do poziomu master, jednocześnie wysyłając odpowiednie alerty.

- EDB Postgres™ Postgres Enterprise Manager (PEM) – umożliwia monitorowanie bazy danych w szerokim zakresie, w jednym miejscu zbiera i graficznie prezentuje wszystkie informacje na temat tego, co dzieje się z bazą danych, np. kto uzyskał do niej dostęp, jaki jest status przetwarzania w danym momencie.

Data Redaction
Organizacje wykorzystujące PostgreSQL muszą samodzielnie zaprojektować procedury zasłaniania danych. EnterpriseDB stworzyło sposób na ‘ocenzurowanie’ danych z wykorzystaniem technologii PostgreSQL. Mowa o technice Data Redaction, która dynamicznie ogranicza ekspozycję wrażliwych danych. Dzięki temu te same dane są widziane w różnym zakresie, w zależności od nadanych użytkownikom uprawnień. Przykładowo numer PESEL będzie widziany w całości przez użytkowników z szerszymi uprawnieniami, podczas gdy pozostali użytkownicy zobaczą tylko cztery ostatnie cyfry xxxxxxx-9567. W planowanej na jesieni 2018 roku kolejnej wersji EDB Postgres Advanced Server 11 Data Redaction ma być natywną funkcjonalnością. Dowiedz się więcej o Data Redaction.
Praktyki konfiguracji zabezpieczeń (Secure Configuration Practices)
Organizacje wykorzystujące PostgreSQL muszą samodzielnie stworzyć własne praktyki zabezpieczeń. Użytkownicy rozwiązań EDB są uprzywilejowani w tym zakresie. EnterpriseDB opracowało EDB Postgres™ Advanced Server Secure Technology Implementation Guidelines, certyfikowane przez amerykański Departament Obrony, dostarczające klientom wskazówki dotyczące wdrożenia najlepszych praktyk bezpieczeństwa.