Le regole di ubicazione dei dati forniscono il controllo degli accessi basato su attributi degli asset di dati in base alla loro posizione. Le regole assicurano che la privacy dei dati e le normative di rilevamento dell'ubicazione vengano applicate quando si spostano i dati da una posizione fisica o sovrana ad un'altra.
Sperimentale Questa è una release sperimentale e non è ancora supportata per l'utilizzo in ambienti di produzione. Per provare questa funzione sperimentale, rispondete a questo post per un esempio di esercitazione e per ulteriori informazioni sull'API.
È possibile creare regole di ubicazione dei dati per proteggere i dati sensibili in base all'ubicazione o alla sovranità dei dati o degli utenti che accedono ai dati.
Una regola di ubicazione dati è costituita da una direzione facoltativa dei dati, dai criteri e da un blocco di azioni.
Per impostazione predefinita, una regola di ubicazione dati viene applicata ai dati sia quando i dati vengono immessi che quando i dati lasciano la propria ubicazione fisica o sovrana. È possibile limitare la regola a una singola direzione dati. Quando si specifica la direzione dei dati della regola come in entrata, i dati che stanno immettendo l'ubicazione sono limitati. Quando si specifica la direzione dati della regola come in uscita, i dati che lasciano la propria ubicazione sono limitati.
Ad esempio, Anya è un funzionario legale e di conformità presso una banca in Germania. Le informazioni personali in Germania sono regolate dal Regolamento generale sulla protezione dei dati. Anya deve garantire che i nomi e gli indirizzi dei clienti che sta gestendo siano mascherati prima che lascino la Germania e siano accessibili in altri paesi. Quando Anya progetta una regola di ubicazione dei dati, la direzione dei dati che seleziona è in uscita. I dati provengono dalla Germania e i nomi e gli indirizzi dei clienti vengono mascherati quando vi si accede in altri paesi.
I criteri identificano quali dati controllare e possono includere chi richiede l'accesso ai dati e le proprietà dell'asset di dati. I criteri possono essere costituiti da un numero di predicati combinati in un'espressione booleana. I predicati possono includere attributi utente e attributi asset, come classificazioni, tag e termini di business.
Il blocco azione specifica come controllare i dati. Il blocco azione può essere costituito da azioni binarie, come negare o consentire l'accesso ai dati, e da azioni di trasformazione dati, come mascherare i valori dei dati in una colonna.
Esempio di regola di ubicazione dati
È possibile creare una regola di ubicazione dati che indica che la direzione dei dati è in ingresso. Maschera i nomi di colonna Nome e Indirizzo utilizzando l'offuscamento se i dati provengono dal Giappone e stanno entrando in Germania. La definizione di tale regola consiste in una direzione dati, criteri con due condizioni e un'azione.
Il seguente esempio visualizza la direzione dei dati e i criteri con due condizioni definite per la regola:
Il seguente esempio visualizza l'azione di offuscamento definita per la regola:
Riscritta come frase, la definizione della regola è: If the data direction is incoming, the source sovereignty is Japan, and the target sovereignty is Germany, mask the Name and Address columns using obfuscation transformation.
Ulteriori informazioni
- Progettazione delle regole di ubicazione dati
- Applicazione delle regole di ubicazione dati
- Gestione delle regole di ubicazione dei dati
Argomento principale Risorse di governance