Normas de protección de datos en la Data Virtualization | IBM Cloud Pak for Data as a Service

Volver a la versión inglesa de la documentación

Regulación de los datos virtuales con normas de protección de datos en la Data Virtualization

Última actualización: 26 nov 2024

Normas de protección de datos en la Data Virtualization

Puede gobernar los datos virtuales definiendo reglas de protección de datos.

Antes de empezar

En estas instrucciones se presupone que ha completado los siguientes requisitos previos.

Se crearon normas de protección de datos en IBM Knowledge Catalog. Para obtener más información, consulte Gestión de reglas de protección de datos.
Active la aplicación de políticas en Data Virtualization si desea forzar el uso de reglas de protección de datos. Para obtener más información, consulte Habilitación de la aplicación de políticas.
Ha publicado y anotado los objetos que desea que estén sujetos a las reglas de protección de datos en un catálogo gobernado. Para obtener más información, consulte Publicación de datos virtuales en el catálogo en Data Virtualization.
Importante:
- Data Virtualization aplica las normas de protección de datos sólo si el activo de datos está catalogado en un catálogo que tenga activada la opción " Aplicar las normas de protección de datos ".
  
  Para obtener más información, consulte Modificación de valores de catálogo.

Acerca de esta tarea

Las reglas de protección de datos especifican qué datos se han de controlar mediante, por ejemplo, términos empresariales, denegando acceso o enmascarando datos. Puede añadir reglas de protección de datos a las políticas y aplicar estas políticas en Data Virtualization.

Puede utilizar los siguientes tipos de reglas de protección de datos:

Denegación de acceso

La denegación de acceso impide que los usuarios accedan a todos los datos de un activo de Data Virtualization. Por ejemplo, si el encargado de datos no desea exponer todo el activo a un usuario, puede definir esta regla con una condición que coincida con el nombre de usuario.

Enmascaramiento de datos

El enmascaramiento de datos se utiliza para ocultar datos confidenciales, pero permite a los usuarios utilizar el activo. Existen tres tipos de reglas de enmascaramiento de datos: redactar, sustituir y oscurecer. El usuario puede decidir habilitar una de estas reglas basándose en cómo utilizar los datos en la aplicación en sentido ascendente.

La redacción sustituye a todos o a un subconjunto de caracteres de una celda de datos.
El sustituto sustituye los datos por los hashes salados de los valores originales. Este método es el más probable para mantener la integridad referencial.
Oscurecer sustituye los datos por valores formateados que son similares a los datos originales.

Filtrado a nivel de fila

Puede crear reglas de protección de datos para incluir o excluir filas en los datos virtualizados para limitar las filas que los usuarios pueden ver. Por ejemplo, puede definir una regla para que los empleados puedan ver los datos de cliente que están asociados sólo a su departamento.

Puede aplicar criterios de filtro para incluir o excluir filas.

No puede aplicar directamente reglas de filtrado de filas y enmascaramiento de datos a las vistas. Los conjuntos de resultados de una vista se enmascaran de acuerdo con las reglas de protección de datos que se aplican a los objetos a los que hace referencia la vista. Puede filtrar filas o enmascarar detalles de identificación de tablas a las que se hace referencia en la definición de vista.

El acceso a las tablas a las que se hace referencia en las expresiones de filtro de nivel de fila no se evalúa, incluido el enmascaramiento de datos.

Las reglas de filtrado de filas que se aplican a los activos de " Data Virtualization " y hacen referencia a otros activos deben hacer referencia únicamente a los activos de " Data Virtualization ". Si consulta un objeto y las reglas de filtrado de filas hacen referencia a activos que no son activos Data Virtualization, la consulta falla con el siguiente error:

The statement failed because a Big SQL component encountered an  error. Component
      receiving the error: "SCHEDULER". Component returning  the error: "SCHEDULER". Log entry
      identifier:  "[SCL-0-<log_entry_id>]".. SQLCODE=-5105, SQLSTATE=58040

Puede confirmar la causa del error ejecutando la consulta siguiente:

select line from table(syshadoop.log_entry('SCL-0-<log_entry_id_from_error>'))

Para obtener más información, consulte Filtrado de filas en reglas de protección de datos.

Importante:

el control de acceso "Data Virtualization " no se aplica cuando el enmascaramiento de datos o el filtrado a nivel de filas se aplica a la vista previa en servicios " Watson " (distintos de " Data Virtualization). Los controles de acceso internos de " Data Virtualization ", que se controlan utilizando " Gestionar el acceso " en la interfaz de usuario de " Data Virtualization ", no se aplican a la vista previa de los otros servicios de " Watson " con enmascaramiento o filtrado a nivel de fila. Debe definir sus reglas para gestionar el acceso a los catálogos, proyectos, activos de datos o conexiones para el control de acceso en los otros servicios " Watson ".

Cuando publica activos de datos virtualizados en un catálogo, estos se tratan como cualquier otro activo de datos y están sujetos a las reglas de protección de datos. Las reglas de protección de datos pueden denegar o enmascarar el acceso a los activos en base a criterios que pueden incluir artefactos de gobernabilidad, tales como términos empresariales y clases de datos.

Procedimiento

Para el gobierno de datos virtuales con reglas de protección de datos:

Virtualice los datos y publíquelos en un catálogo gobernado.
Consulte Publicación de datos virtuales en el catálogo en Data Virtualization para obtener más detalles.
Estos datos se perfilan automáticamente si están configurados en los valores del catálogo. El perfil de un activo de datos del catálogo incluye los metadatos generados y las estadísticas acerca del contenido textual de los datos. El perfilado asigna automáticamente clases de datos a columnas de tabla. Consulte Perfiles.
Gobierne sus datos virtuales en el catálogo:
- Asigne clases de datos, términos comerciales y etiquetas creados en IBM Knowledge Catalog a sus tablas y columnas virtuales. Ver Gestión de términos comerciales para obtener detalles sobre cómo administrar y crear términos comerciales en IBM Knowledge Catalog.
- Utilice reglas de protección de datos para permitir o denegar el acceso a una tabla virtual. Los usuarios Data Virtualization pueden ver la tabla virtual pero no pueden previsualizar el contenido de la tabla ni realizar ninguna acción en la tabla o sus columnas cuando se aplica una regla de denegación al activo de datos. Ver Gestionar las reglas de protección de datos para obtener detalles sobre cómo crear reglas de protección de datos en IBM Knowledge Catalog.
  Un icono de candado ( ) al nombre de la tabla en el Datos virtualizados La página indica que una regla de protección de datos deniega el acceso a los datos de la tabla. Un icono de candado ( ) también puede aparecer cuando un activo en el catálogo no ha sido perfilado y está pendiente de asignación de clase de datos.
  
  Para acceder a las vistas, deben cumplirse estas condiciones.
  - Tener los permisos necesarios para acceder a las vistas.
  - El creador de la vista debe tener los permisos necesarios para acceder a los objetos a los que se hace referencia en la vista.
- Para ver una vista previa de activos en un catálogo, deben cumplirse estas condiciones.
  - No estar bloqueado por ninguna regla de protección de datos. Si es el propietario del activo, no puede estar bloqueado por ninguna regla de protección de datos.
  - Si el activo tiene una conexión asociada, también se deben cumplir estas condiciones:
    - No tener bloqueado el acceso a la conexión por ninguna regla de protección de datos.
    - El nombre de usuario que aparece en los detalles de conexión debe tener acceso al objeto en el origen de datos.
  Para obtener más información, consulte Vistas previas de activos.
- Utilice una regla de protección de datos para enmascarar datos en columnas o filtrar filas de una tabla virtual. Utilice las reglas de enmascaramiento de datos para enmascarar los datos originales. En función del método de enmascaramiento de datos, los datos se redactan, se sustituyen o se oscurecen. Consulte Enmascaramiento de datos con reglas de protección de datos para obtener más detalles.
  Un icono de candado ( ) junto al nombre de la columna indica que los datos de la columna están enmascarados por una regla de protección de datos.
  
  El enmascaramiento de datos tiene ciertas limitaciones en la Data Virtualization. Consulte Enmascaramiento de datos virtuales.
Nota:
De forma predeterminada, el usuario que ha creado el activo en el catálogo es el propietario del activo. Los propietarios de activos de catálogo están exentos de las normas de protección de datos, pero están sujetos al control de acceso Data Virtualization. If the user who is accessing a virtual object is also the owner of the corresponding asset in IBM Knowledge Catalog, the data protection rules and policies that are defined for that user in IBM Knowledge Catalog are not enforced in Data Virtualization.

Cuando se añade un objeto virtual a un catálogo y tiene al menos una regla de protección de datos de filtrado de filas o enmascaramiento o una regla de protección de datos basada en una clase de datos, se denegará el acceso al mismo hasta que se complete su creación de perfiles y asignación de clases de datos.

El nombre de usuario especificado en la conexión " Data Virtualization " también debe estar autorizado para acceder al objeto en " Data Virtualization, a menos que se aplique una regla de enmascaramiento de datos al activo y al usuario que realiza la vista previa.