Cumprimento das regras de proteção de dados
As regras de proteção de dados são aplicadas em catálogos controlados quando todas as condições prevalecentes para cumprimento são atendidas. As condições para aplicação podem incluir configurações de catálogo, a identidade do usuário, o formato de dados e a ferramenta de leitura dos dados. A aplicação pode se estender a projetos e tabelas virtualizadas em algumas circunstâncias.
Quando você cria uma regra de proteção de dados, ele é forçado imediatamente, a menos que o ativo afetado tenha uma preview cached. Nesse caso, a aplicação da regra pode ser adiada para até um dia. Se você mudar o perfil de um ativo de uma maneira que aciona o cumprimento em um catálogo controlado de uma regra de proteção de dados, a regra será aplicada após a visualização do ativo ser atualizada. A visualização do ativo é renovada diariamente por padrão. Alternativamente, você pode atualizar manualmente a pré-visualização.
Escopo de cumprimento
As regras de proteção de dados são impostas nos seguintes espaços de trabalho:
Catálogos: As regras são aplicadas dinamicamente quando ambas as condições são verdadeiras:
- O catálogo tem cumprimento de governança que está ativado. O cumprimento de governança é configurado durante a criação do catálogo e não pode ser mudado depois que o catálogo é criado.
- O usuário não é o proprietário do ativo. O proprietário do ativo sempre vê os dados originais e não é afetado pela regra.
Projetos:
Os ativos em projetos são impingidos quando uma solução de execução profunda é configurada ou quando ambas as condições a seguir são verdadeiras:
- Os ativos com aplicação estática retida são visualizados, baixados ou abertos noData Refinery ferramenta. Data Refinery não suporta regras de proteção de dados para filtragem de linhas. As tarefas do Data Refinery falharão se o ativo for controlado por regras de proteção de dados de filtragem de linhas
Data virtualization: As regras são aplicadas quando todas essas condições são verdadeiras:
- A aplicação da regra de proteção de dados está ativada para tabelas virtualizadas.
- O objeto é acessado como um resultado de uma consulta
- O ativo de dados é publicado em um catálogo configurado para impingir regras de proteção de dados.
Preceitos de avaliação para regras de proteção de dados
As regras de proteção de dados avaliam os pedidos de acesso a ativos de dados usando os preceitos descritos na tabela a seguir.
| Preceito | Explicação |
|---|---|
| Não impingir regras para proprietários de ativos | Se o usuário que está tentando acessar o ativo for o proprietário do ativo (por padrão, o usuário que criou o ativo), a regra não será impingida. |
| Restringir o acesso aos ativos durante a definição de perfis | Se o ativo estiver sendo perfilado ao mesmo tempo que as regras de proteção de dados que dependem da definição de perfis estão sendo avaliadas, somente o proprietário poderá acessar o ativo. Se a criação de perfil e a avaliação não forem concluídas em 24 horas, o ativo será bloqueado para todos os usuários, exceto para o proprietário do ativo. |
| Permitir ou negar o acesso se não se aplicam regras | Quando o ativo não atende aos critérios para qualquer regra de proteção de dados, o comportamento depende da configuração da convenção de acesso a dados: • (Padrão) Se a convenção de acesso a dados for definida como Desbloqueado, o usuário tem permissão de acesso aos dados. • Se a convenção de acesso a dados for definida como Locked, o usuário será negado o acesso aos dados. Veja Gerenciando configurações de regra. |
| Aplicar regras em ativos com base em uma configuração de modalidade de locatário para aliases | Dois ativos de dados que têm a mesma chave de recursos são percebidos para representar os mesmos dados subjacentes, portanto, esses ativos são denominados como aliases É possível configurar como determinar quais aliases usar em uma operação de recurso de avaliação por uma configuração de modalidade do locatário Chame a update tenant settings API para configurar a opção asset_dealiasing_item_selection para um dos seguintes valores:- Oldest (padrão): Por data de criação.- Latest: Por data da última modificação.- Merge: Mescla anotações como termos e tags de todos os aliases. |
| Reforce a ação mais segura ou mais leniente | Quando um usuário que não é o proprietário do ativo tenta acessar o ativo, todas as regras de proteção de dados são avaliadas. Se o ativo atender aos critérios para várias regras, o comportamento depende da configuração de precedência de ação de regra. (Padrão) Se a precedência de ação de regra for definida como Ação mais segura vence, é aplicada a seguinte ordem de precedência de segurança: 1. Negar acesso 2. Colunas de máscara ou linhas de filtro 3. Permitir o acesso Se a precedência de ação de regra for definida como A ação Mais leniente vence, é aplicada a seguinte ordem de precedência de leniência: 1. Permitir o acesso 2. Colunas de máscara ou linhas de filtro 3. Negar o acesso Veja Regra de ação de regra. |
| Máscara com mais privacidade ou mais utilitário | Quando um usuário que não é o proprietário do ativo tenta acessar o ativo, todas as regras de proteção de dados são avaliadas. Se o ativo atende aos critérios para várias regras, e mais de uma das regras mascara dados, a precedência de método de mascaramento é aplicada. (Padrão) Se a precedência de método de mascaramento for configurada como Método com mais privacidade vence, é aplicada a seguinte ordem de maior precedência de privacidade: 1. Método Redact 2. Método substituto 3. Método do Obfuscate Se a precedência de método de mascaramento for configurada como Método com o mais utilitário vence, é aplicada a seguinte ordem de maior utilidade: 1. Método ofuscate 2. Método substituto 3. Método de redação Veja precedência de método de pedido para obter mais informações. |
Aplicação de mascaramento
O mascaramento possui estes efeitos sobre a aparência de um ativo em um catálogo, em um projeto ou na área de trabalho de virtualização de dados:
- A visualização dos dados mostra um ícone de cadeado
no cabeçalho das colunas afetadas e uma dica de ferramenta exibe o nome da regra. - A visualização de dados mostra valores mascarados nas colunas afetadas.
- A página Perfil não mostra detalhes de definição de perfil para colunas de dados mascarados.
- Se o ativo de dados for downloadable, o arquivo contém os valores mascarados.
As informações de esquema do ativo sempre refletem o número total de colunas contidas no ativo original.
Para dados virtuais, o cumprimento de mascaramento no Data Virtualization tem restrições e outras diferenças.. Veja Mascarando dados virtuais.