El 25 de mayo entró en vigor el nuevo reglamento de protección de datos, en esta presentación te vamos a explicar qué es lo que tienes que tener en cuenta como un DBA para cumplir.

1. En que nos afecta a los DBA el GDPR
Jose Antonio Pineda Montes japineda@Solidq.com

2. Indice
• GDPR Básico
• DBA- MS SQL- GDPR
• ¿Cómo te podemos ayudar?

3. GDPR BASICO

4. Ofrecer claridad y coherencia en la protección
de los datos personales
Mejora de los derechos de privacidad
personal
Mayores obligaciones de protección de los
datos
Obligatoriedad de informar de las
filtraciones de información sensible
Sanciones muy cuantiosas por
incumplimiento
La normativa GDPR (General
Data Protection Regulation)
impone nuevas directivas a las
organizaciones de la Unión Europea y a
quienes ofrecen bienes y servicios a
personas dentro de la UE o recopilen y
analicen datos relativos a residentes de
la UE, independientemente del país
donde se encuentren.

5. Ejemplos de datos personales
• Nombre
• Documento de identidad
• Cuenta de correo electrónica
• Cuenta Bancaria
• Información enviada a redes sociales
• Dirección IP
• Información física
• Información psicológica
• Cookies
• Información Medica
• Ideas políticas
• Dirección
• Información genética
• Numero de teléfono

6. ¿Qué cambios introduce la norma GDPR?
Privacidad
personal
Controles y
notificaciones
Transparencia TI y formación
Las organizaciones deberán:
• Formar a empleados y
contratas en las obligaciones
de privacidad
• Auditar y actualizar sus
políticas de gestión de datos
• Designar un responsable
(DPO, Data protección
Officer) cuando corresponda
• Incorporar cláusulas de
cumplimiento en sus
contratos con terceros
Las organizaciones deberán:
• Proteger los datos
personales con las medidas
de seguridad adecuadas
• Notificar a las autoridades de
las filtraciones de datos
• Obtener el consentimiento
del titular para procesar sus
datos
• Mantener registro de los
procesos que afectan a los
datos personales
Las personas tienen derecho
a:
• Acceder a sus datos
personales
• Corregir errores en sus datos
personales
• Eliminar sus datos
personales
• Denegar el procesamiento
de su información personal
• Exportar sus datos
personales
Las organizaciones deberán:
• Informar con claridad de sus
actividades de captura de
datos
• Explicar adecuadamente la
finalidad del procesamiento
de los datos personales y los
casos de uso.
• Definir políticas de retención
y eliminación

7. GDPR Article 25—Data protection by
design and by default
► Control access, Process minimal necessary data,
Integrate safeguards
GDPR Article 32—Security of processing
► Pseudonymization and Encryption, Ensure
availability, Regular security testing
GDPR Article 33—Notification of a
personal data breach
► Detect breach, Assess impact, Measures to address
GDPR Article 35—Data protection
impact assessment
► Document risks and security measures
GDPR Article 30—Records of
processing activities
► Monitor access, Maintain audits
Requisitos relacionados con la privacidad de datos del GDPR

8. Como me preparo para cumplir GDPR
Preguntas que debes realizarte:
¿Sabes DÓNDE residen tus datos y quién tiene ACCESO a esos datos?
¿Controlas quién tiene acceso a sus datos y cómo se utiliza según la
evaluación de riesgos en tiempo real?
¿Puedes CLASIFICAR, PROTEGER y aplicar acciones basadas en
POLÍTICAS a tus datos, en dispositivos, entre aplicaciones, en cualquier
ubicación, en reposo y en tránsito?
¿Puedes DETECTAR automáticamente una violación de datos o identidad?
¿Eres capaz de RESPONDER adecuadamente a una violación?
¿REVISAS y ACTUALIZAS continuamente tus POLÍTICAS y PRÁCTICAS
de protección de datos?

9. DBA-MSSQL-GDPR

10. La base de datos
almacena gran
parte de los datos
confidenciales de la
organización SQL

11. FASE DE DESCUBRIMIENTO

12. ¿Cuántas instancias de SQL tengo, cuantas bbdds tengo,
tengo datos personales, tengo datos sensitivos?
 Descubrir cuantas instancias de SQL y BBDDs hay en mi
entorno.
 Microsoft MAP
 Descubrir que datos personales tengo en mis tablas:
 Consultas T-SQL
 Ayudarme del motor de búsqueda FTS
 Microsoft SSMS 17.4 – DATA CLASSIFICATION
 Sacar un diagrama de los flujos de datos

13. ¿Que características o servicios de SQL tengo
instaladas?¿Las necesito?
 Ejemplo de características que deberían ser comprobadas y ,
si es possible, deshabilitadas son (pero no esta limitado solo
a estas):XP_CMDSHELL, CLR, Filestream, Cross DB
Ownership Chaining, OLE AUTOMATION, External Scripts,
Ad-hoc Distributed Queries y Trustworthy bit.
 Recomendaciones adicionales sería deshabilitar los
protocolos de red no utilizados, parar el servicio de SQL
Browser y desintalar en producción las bbdd de ejemplo.
 Ver si es necesario tener arrancado e instalado FTS, SSIS,
SSAS, Reporting Services

14. FASE DE GESTION

15. ¿Quién tiene acceso a mis instancias y base de datos?
 Tener una base mínima de seguridad
 Ayudarnos de herramientas como:
 Microsoft SSMS 17.4 – Vulnerability Assessment
 SQL Server 2012 Security Best Practices - Operational and Administrative
Tasks.
 Ayudarnos de las nuevas funcionalidades a partir de SQL 2016 :
RLS (seguridad a nivel de columna) y DDM (enmascaramiento de
datos)
 Si trabajo con SQL Azure, trabajar con cuentas del directorio
activo, configurar el firewall correctamente.
 Configurar correctamente las cuentas que tienen acceso a las
instancias, con el principio de menor privilegio en mente.

17. Documentación interesante a leer sobre la separación de
tareas/roles en la seguridad de SQL
 Separación de tareas de SQL Server por Lara Rubbelke
 Separación del motor de tareas para el desarrollador de
aplicaciones por Craig Gick, Jack Richins
 Separación de tareas en SQL Server 2014 por Bob
Beauchemin

18. Fase de Proteccion

19. Protección de los datos por defecto y en diseño
 Encriptar los datos en reposo, en movimiento y en uso
 TSL : Utilizar la versión 1.2. https://support.microsoft.com/en-
us/help/3135244/tls-1.2-support-for-microsoft-sql-server

20. Comparativa entre AE y TDE
Always Encrypted TDE
Nivel de columna Nivel de BBDD
Encriptación en cliente Encriptación en servidor
El servidor no conoce en ningún momento las
claves para encriptar
El servidor conoce las claves para encriptar
EL dato viaje por la red encriptado EL dato tal cual viaja por la red.
Tempdb hereda la encriptación- incluso después
de deshabilitar TDE
EL dato puede ser protegido de administradores
de sistema y bbdd
El dato es accesible para administradores de
sistema y bbdd

21. Nos debemos volver paranoicos

24. Como mantener auditorias y poder avisar con tiempo ante
robos de datos
 Auditoria en SQL (a partir de SQL 2008*):
 A nivel de instancia
 A nivel de BBDD
 En SQL AZURE también tienes una herramienta de detención
de amenazas

26. Asegurar la continuidad del negocio
 Always On:
 Cluster
 Grupos de disponibilidad
 Log shipping
 En SQL Azure Geo-Replicacion Activa

27. Current support level End mainstream End extended
SQL Server 2014 Currently supporting all versions July 9, 2019 July 9, 2024
SQL Server 2012
SQL Server 2012 SP2+ is in extended support
which includes security updates, paid support,
and requires purchasing non-security hotfix
support
July 11, 2017 July 12, 2022
SQL Server 2008 and SQL
Server 2008 R2
SQL Server 2008 and 2008 R2 are in extended
support which includes security updates, paid
support, and requires purchasing non-security
hotfix support
July 8, 2014 July 9, 2019
SQL Server 2005
SQL Server 2005 support ended on April 12,
2016
April 12, 2011 April 12, 2016
Learn more about the SQL Server support lifecycle: support.microsoft.com/lifecycle/
SQL Server 2008 and 2008 R2 will no longer be supported starting on July 9, 2019.
WHEN WILL END OF SUPPORT HAPPEN?

28. Dudas RGPD
 ¿Que pasa cuando recupero mi base de datos con datos
personales?
 Como gestiono la expiración de los datos.
 Como gestiono quien me ha dado consentimiento, quien no y
quien lo ha revocado.
 Que pasa si los datos los tengo que seguir conservando por
temas legales.
 Como gestiono las consultas sobre que datos tengo de un cliente
y como puedo hacérselo llegar de tal manera que pueda
traspasarlos a otra empresa.

29. Ejemplo de escenario de aplicacion GDPR - DevOps
 Los desarrolladores quieren los datos más realistas y
actualizados posible
 desarrollar, probar y corregir código más rápido
 Entornos realistas deben ser dedicados y capaces de crearse
rápidamente
 Procesos automaticos repetibles
 Auto-servicio
 Los administradores de base de datos necesitan proteger los
datos sensibles y personales
 GDPR
 Mayor conciencia de riesgo de violación de datos
 Personalizar datos con enmascaramiento.

30. Revindicar el role de DBA
 Quien mejor que tu para saber donde esta el dato.
 Quien mejor que tu para implementar la gestión de los consentimientos
 Revisar la calidad de los datos
 Evita que los datos se expandan sin control
 Avisar cuando estamos utilizando datos sensibles o de más, el departamento de
marketing lo quiere todo, aunque luego no lo utilice.
 Diseñar una buena política de seguridad en las bbdds.
 Con SQL Azure el DBA desaparece.
 Nos tenemos que convertir en desarrolladores con DEVOPS.
 Las nuevas versiones del motor automatizan muchas tareas.
PELIGROS PARA NUESTRO FUTURO
NUESTRAS FORTALEZAS

31. COMO PODEMOS AYUDARTE DESDE SOLIDQ

32. Taller Descripción Resultados Asistentes de parte del cliente Tiempo Tiempo programado, sala
Día 1
Inicio del compromiso
Proporciona una visión general de
la agenda de 2 días in situ y de los
objetivos, además de ser una
oportunidad para abordar
preguntas y cuestiones de
gobierno del proyecto.
Se acuerda el plan y la
programación para la evaluación
de 2 días in situ.
Confirmación de la planificación
y la logística
Todo el equipo del proyecto 1 hora SKYPE
Dia2
Inicio de la evaluación detallada
del RGPD de Microsoft
Responder a las preguntas de
la herramienta de evaluación
detallada del RGPD de Microsoft
Cuestionario del RGPD
completado parcialmente
Personal del cliente seleccionado 7 horas En el cliente
Día 3
Revisión del día 1
Revisión del progreso del día uno,
debate sobre cuestiones abiertas
e identificación de problemas.
Preparación para avanzar en
la finalización de la evaluación
detallada del RGPD de Microsoft.
Todo el equipo del proyecto 0,5 horas En el cliente
Completar la evaluación detallada
del RGPD de Microsoft
Responder a las preguntas
restantes sobre la evaluación
detallada del RGPD de Microsoft.
Cuestionario del RGPD
completado totalmente
Personal del cliente seleccionado
4,5 horas En el cliente
Análisis y reseña de los resultados
Revisión de los resultados de la
evaluación detallada del RGPD de
Microsoft, preparación de la
presentación final.
Presentación final SOLIDQ
3 horas
Finalización del compromiso
Presentación final
Presentación de los resultados de
la evaluación, establecimiento de
los pasos siguientes y de una hoja
de ruta para el cumplimiento del
RGPD.
Lista de pasos siguientes y hoja
de ruta con elementos prácticos
y directrices temporales que
ayudarán a alcanzar el
cumplimiento del RGPD
Todo el equipo del proyecto 2 horas En el cliente
Agenda de la evaluación detallada del RGPD de Microsoft

33. Herramienta de evaluación detallada de RGPD:
Combinado de los cuatro temas DAPI
Madurez general en uno de tres posibles niveles: Inicial,
Progresando u Optimizando
Resultados por tema y ámbito de enfoque
Índice de madurez
Recomendación principal por escenario secundario
Sugerencias de productos Microsoft
Lista exhaustiva y práctica
Lista completa de recomendaciones
Agrupado por escenario secundario y grado
de madurez para el RGPD
Para cada tema y escenario secundario

34. ¿Cómo podemos empezar?
Identificar los datos personales que posee y
dónde están almacenados
Descubrimiento1
Controlar cómo se utilizan los datos personales
y cómo se accede a ellos
Gestión2
Establecer controles de seguridad para
detectar, evitar y responder ante
vulnerabilidades y brechas de seguridad
Protección3
Registrar las evidencias, mantener la
documentación exigida, procesar las peticiones
de usuarios y notificar filtraciones de datos
Informes4

35. Trasladado a tecnología SQL...
Inventariar datos personales en sistemas de bases de datos
Revisar el modelo de acceso, comprender el área de superficie
de ataque
Seguimiento de flujos de datos y linaje de datos de mapas
Descubrir1
Administrar mecanismos de autenticación y autorización
Configurar correctamente el firewall de la base de datos
Limitar el acceso a la aplicación de acuerdo con los principios de
autorización
Gestionar2
Cifrado de datos en reposo, en movimiento, en uso
Mantener registros y auditorías de todas las actividades de la base de datos
Detectar violación de datos y responder en consecuencia
Asegurar la continuidad del negocio
Proteger3
Mantener registros de auditoría de las actividades de la base de
datos
Evaluar y analizar continuamente las medidas de seguridad
Informacion4
T-SQL Queries, Full Text search
Data Classification
Vulnerability Assessment
Windows auth, Azure AD auth, role-base
security, etc.
Azure SQL Firewall
DDM, RLS
TLS, TDE, Always Encrypted
Auditing
Threat Detection
Always On, Active Geo-Replication
Auditing, Temporal tables
Vulnerability Assessment

36. Discover
Right to Erasure
Right to Data Portability
Manage
Documentation
Privacy by Design
Protect
Data Security
Data Transfer
Metadata queries
Helps you search and identify personal
data using queries
Data governance
Using Windows permissions administrators
can manage and govern access to
personal data
Transparent Data Encryption
Secure personal data through encryption
at the physical storage layer using
encryption-at-rest
Full text queries
Using full-text queries against character-
based data in SQL Server tables
Role-based access control
Apply role-based access control to help
manage authorization policies in the
database, and to implement the separation
of duties principle
Always Encrypted
Prevent unauthorized, high-privileged
users from accessing data in transit, at rest,
and while in use
Extended properties
Helping facilitate data classification using
the Extended Properties feature to create
data classification labels and apply them to
sensitive personal data
Row-level security
Prevent access to rows in a table (such as
those that may contain sensitive
information) based on characteristics of
the user trying to access the data
Row-level security and Data Masking
Protect personal data using Row-Level
Security and Dynamic Data Masking
features, which limit sensitive data
exposure by masking the data to non-
privileged users or applications.
SQL Queries and Statements
Identify and delete target data
Master data services
Keep personal data complete and ensure
that requests to edit, delete, or discontinue
the processing of data are propagated
throughout the system
Vulnerability assessment
Scan databases for insecure
configurations, exposed surface area, and
additional potential security issues
Report
Documentation
Breach Response and Notification
SQL Server Audit
Verify changes to data that occur in a SQL
Server table
Always On Availability Groups
Maximize the availability of a group of user
databases for an enterprise
SQL Server Audit
Maintain audit trails
SQL Database Threat Detection
Get help detecting anomalous database
activities indicating potential security
threats to the database
Vulnerability assessment
Reports that can serve as a security
assessment for your database. These
reports can also be used as part of a Data
Protection Impact Assessment (DPIA)
SQL Server Audit
Understand ongoing database activities,
and analyze and investigate historical
activity to identify potential threats or
suspected abuse and security violations
SQL Server Audit
Gain useful input for performing a DPIA
MICROSOFT SQL
BASED TECHNOLOGY
SUPPORTS GDPR
SECURITY
COMPLIANCE
Discover: identify what personal data you
have and where it resides
Protect: establish security controls to
prevent, detect, and respond to
vulnerabilities and data breaches
Control: manage how personal data is used
and accessed.
Report: action data subjects requests and
keep required documentation