Criptografia de dados no SQL Server

Este artigo, através de contextualizações e exemplos bem simples, discute melhores práticas com relação à criptografia para a proteção de dados sigilosos dentro e fora da organização.

Artigo do tipo Tutorial
Recursos especiais neste artigo:
Conteúdo sobre boas práticas .
Porque este artigo é útil
A criptografia de dados consiste em transformar um texto simples em algo ilegível. Dessa forma, somente indivíduos autorizados possuirão os recursos e as chaves necessárias para conseguir reverter o processo e recuperar o texto inicial. A aplicação de conceitos de criptografia é recomendada para empresas de todos os tamanhos e segmentos, onde é necessário proteger dados restritos e confidenciais de serem lidos por indivíduos não autorizados ou da maneira não autorizada. Para ilustrar como estes conceitos podem ser aplicados, este artigo, através de contextualizações e exemplos bem simples, discute melhores práticas com relação à criptografia para a proteção de dados sigilosos dentro e fora da organização.

A cada dia que passa as empresas têm considerado a informação como um de seus ativos mais importantes. Fórmulas confidenciais, a situação financeira da empresa, uma nova estratégia de negócio ou até mesmo a lista de funcionários são bons exemplos de informações restritas que, se forem comprometidas e vierem a público, podem gerar um forte impacto negativo para a empresa.

Tendo isso em mente, algumas empresas tentam melhorar seus processos de TI, visando proteger seus dados, especialmente os mais críticos, de possíveis acessos não autorizados, tanto internos como externos. As precauções para proteger os dados são as mais diversas e podem ir desde o acesso físico ao data center até a implementação de firewalls na rede, tokens de segurança, separação de contas primárias de contas admin, entre outras possibilidades.

Outro fator a considerar é o rápido crescimento na utilização da Internet para facilitar todos os tipos de serviços fornecidos pelas mais variadas empresas. A Internet hoje é um dos principais pontos de preocupação quando se trabalha com segurança de dados.

Dessa maneira, muitas melhorias na área de segurança da informação são internas de cada empresa, mas também existem regulamentações que devem ser implementadas quando solicitadas por um órgão externo. Nestes casos, o nível de segurança e o método podem variar caso a empresa seja de algum segmento específico (exemplo: o segmento farmacêutico, que é regulamentado pela ANVISA no Brasil) ou se estiver buscando alguma regulação específica que determina as regras com relação à segurança de dados. Alguns exemplos dessas regulações são: SOX, PII, PCI (veja o BOX 1).

Uma das formas de proteger os dados que as empresas vêm usando com uma frequência cada vez maior é a criptografia de dados. Basicamente, a criptografia consiste em transformar um texto simples em algo ilegível. Somente indivíduos autorizados possuirão os recursos e as chaves necessárias para conseguir reverter o processo e recuperar o texto inicial.

Neste artigo serão apresentadas algumas formas de proteger e garantir a integridade de dados críticos usando a criptografia. Veremos diferentes métodos que podem ser aplicados ao SQL Server para criptografar os dados e também as maneiras de proteger as chaves de criptografia que são peças centrais do processo.

BOX 1. Regulações de Segurança a Dados

Algumas regulações existentes para definir a segurança dos bancos de dados são controladas por órgãos do governo. Algumas delas podem não ser tão comuns aqui no Brasil, como o SOX (Sarbanes-Oxley Act) ou PII (Personally Identifiable Information). Uma regulação que pode ser mais comum no nosso país é a PCI (Payment Card Industry), já que são normas implementadas em websites que disponibilizam a opção de compras com cartão de crédito.

Conceitos iniciais sobre criptografia de dados

Primeiramente, temos que entender que a criptografia não deve ser implementada para todos os bancos de dados. O administrador de banco de dados deve, junto com seu parceiro de negócios, fazer a análise de que tipo de dados serão guardados no banco e que nível de criptografia será necessária implementar. Dependendo do tipo de criptografia a ser implementada, serão necessárias mudanças na aplicação. Também deve ser considerado o fato de que, uma vez implementada a criptografia, pode haver problemas de performance, já que agora foi incluído um novo fator na leitura e escrita dos dados no banco de dados."

[...] continue lendo...

Artigos relacionados