Las reglas de protección de datos se aplican en los catálogos gobernados cuando se cumplen todas las condiciones de aplicación. Las condiciones para la aplicación pueden incluir valores de catálogo, la identidad del usuario, el formato de datos y la herramienta que está leyendo los datos. La obligatoriedad se puede ampliar a proyectos y tablas virtualizadas en algunas circunstancias.
Al crear una regla de protección de datos, se aplica inmediatamente, a menos que el activo afectado tenga una vista previa en memoria caché. En ese caso, la aplicación de la regla podría retrasarse hasta un día. Si cambia el perfil de un activo de una forma que desencadena la imposición en un catálogo gobernado de una regla de protección de datos, la regla se aplica después de que se renueve la vista previa del activo. La vista previa del activo se renueva diariamente de forma predeterminada. De forma alternativa, puede renovar manualmente la vista previa.
Ámbito de aplicación
Las reglas de protección de datos se aplican en los siguientes espacios de trabajo:
Catálogos: las reglas se aplican dinámicamente cuando se cumplen estas dos condiciones:
- El catálogo tiene una aplicación de gobierno habilitada. La aplicación de gobierno se establece durante la creación del catálogo y no se puede cambiar después de crear el catálogo.
- El usuario no es el propietario del activo. El propietario del activo siempre ve los datos originales y no se ve afectado por la regla.
Proyectos:
Los activos de los proyectos se aplican cuando se configura una solución de aplicación en profundidad ; o cuando se cumplen las dos condiciones siguientes:
- Si tiene activos existentes que se añadieron anteriormente desde un catálogo gobernado, es posible que los activos conserven su comportamiento de imposición estática. Para activos con imposición estática retenida, las reglas se aplican basándose en el usuario que ha añadido el activo en el momento en que se ha añadido, y aparece igual para todos los demás usuarios del proyecto.
- Los activos con aplicación estática retenida se obtienen una vista previa, se descargan o se abren en elData Refinery herramienta. Data Refinery no da soporte a las reglas de protección de datos para el filtrado de filas. Los trabajos de Data Refinery fallan si el activo se rige por reglas de protección de datos de filtrado de filas. Además, si añade un activo de IBM Knowledge Catalog a un proyecto gobernado por reglas de protección de datos de filtrado de filas, el enmascaramiento no se aplicará en Data Refinery.
Los activos de datos enmascarados por un flujo de enmascaramiento se enmascaran permanentemente para todos los usuarios. Consulte Enmascaramiento en proyectos.
Data virtualization: Las reglas se aplican cuando se cumplen todas estas condiciones:
- La imposición de reglas de protección de datos está habilitada para tablas virtualizadas.
- Se accede al objeto como resultado de una consulta.
- El activo de datos se publica en un catálogo configurado para aplicar reglas de protección de datos.
Consulte Enmascaramiento de datos virtuales.
Compruebe también los problemas conocidos para otras situaciones en las que no se aplican las reglas de protección de datos. Para obtener más información, consulte Problemas conocidos y limitaciones.
Las reglas de protección de datos pueden enmascarar de forma permanente los datos de un activo con un flujo de enmascaramiento. Consulte Enmascaramiento de datos con flujo de enmascaramiento.
Preceptos de evaluación para reglas de protección de datos
Las reglas de protección de datos evalúan las solicitudes para acceder a los activos de datos utilizando los preceptos descritos en la tabla siguiente.
| Precepto | Explicación |
|---|---|
| No aplicar reglas para los propietarios de activos | Si el usuario que intenta acceder al activo es el propietario del activo (de forma predeterminada, el usuario que ha creado el activo), la regla no se aplica. |
| Restringir el acceso a activos durante el perfilado | Si el activo se está perfilando al mismo tiempo que se evalúan las reglas de protección de datos que dependen de la creación de perfiles, solo el propietario puede acceder al activo. Si la creación de perfiles y la evaluación no se completan en un plazo de 24 horas, el activo se bloquea para todos los usuarios excepto para el propietario del activo. |
| Permitir o denegar acceso si no se aplican reglas | Cuando el activo no cumple los criterios de ninguna regla de protección de datos, el comportamiento depende del valor del convenio de acceso a datos: • (Valor predeterminado) Si el convenio de acceso a datos se establece en Desbloqueado, se permite al usuario acceder a los datos. Si el convenio de acceso a datos se establece en Bloqueado, se deniega al usuario el acceso a los datos. Consulte Gestión de valores de regla. |
| Aplicar reglas en activos basadas en un valor de modalidad de arrendatario para alias | Se percibe que dos activos de datos que tienen la misma clave de recurso representan los mismos datos subyacentes, por lo tanto, estos activos se denominan alias. Puede establecer cómo determinar qué alias utilizar en una operación de evaluación de recursos mediante un valor de modalidad de arrendatario. Llame a la API deupdate tenant settings para configurar la opción asset_dealiasing_item_selection en uno de los valores siguientes:- Oldest (valor predeterminado): Por fecha de creación.- Latest: Por fecha de última modificación.- Merge: Fusiona anotaciones como términos y etiquetas de todos los alias. |
| Aplicar la acción más segura o más indulgente | Cuando un usuario que no es el propietario del activo intenta acceder al activo, se evalúan todas las reglas de protección de datos. Si el activo cumple los criterios para varias reglas, el comportamiento depende del valor de prioridad de acción de regla. (Valor predeterminado) Si la prioridad de acción de regla se establece en La acción más segura gana, se aplica el siguiente orden de prioridad de seguridad: 1. Denegar acceso 2. Enmascarar columnas o filtrar filas 3. Permitir acceso Si la prioridad de acción de regla se establece en La acción más indulgente gana, se aplica el siguiente orden de prioridad de indulgencia: 1. Permitir acceso 2. Enmascarar columnas o filtrar filas 3. Denegar acceso Consulte Prioridad de acción de regla. |
| Máscara con más privacidad o más utilidad | Cuando un usuario que no es el propietario del activo intenta acceder al activo, se evalúan todas las reglas de protección de datos. Si el activo cumple los criterios para varias reglas y más de una de las reglas enmascara datos, se aplica la prioridad del método de enmascaramiento. (Valor predeterminado) Si la prioridad del método de enmascaramiento se establece en El método con más privacidad gana, se aplica el siguiente orden de prioridad de privacidad: 1. Método de redacción 2. Método de sustitución 3. Método de enmascaramiento Si la prioridad del método de enmascaramiento se establece en El método con más programa de utilidad gana, se aplica el siguiente orden de prioridad de la mayoría de programa de utilidad: 1. Método de ofuscación 2. Método de sustitución 3. Método de redacción Consulte Prioridad de método de enmascaramiento para obtener más información. |
Aplicación de enmascaramiento
El enmascaramiento tiene estos efectos en el aspecto de un activo en un catálogo, un proyecto o el espacio de trabajo de virtualización de datos:
- La vista previa de datos muestra un icono de protector
en la cabecera de las columnas afectadas y una ayuda contextual muestra el nombre de la regla. - La vista preliminar de datos muestra valores enmascarados en las columnas afectadas.
- La página Perfil no muestra detalles de perfilado para columnas de datos enmascarados.
- Si el activo de datos se puede descargar, el archivo contiene los valores enmascarados.
La información de esquema para el activo siempre refleja el número total de columnas que están contenidas en el activo original.
Para los datos virtuales, la aplicación del enmascaramiento en Data Virtualization tiene restricciones y otras diferencias. Consulte Enmascaramiento de datos virtuales.
Enmascaramiento en proyectos
Enmascarando trabajos de flujo, escriba una copia enmascarada de los datos de activos de origen en las tablas de destino configuradas.
Los proyectos recién creados se aplican cuando se configura una solución de imposición profunda ; o cuando se cumplen estas dos condiciones:
- Si tiene activos existentes que se añadieron anteriormente desde un catálogo gobernado, es posible que los activos conserven su comportamiento de imposición estática. Para activos con imposición estática retenida, las reglas se aplican basándose en el usuario que ha añadido el activo en el momento en que se ha añadido, y aparece igual para todos los demás usuarios del proyecto.
- Los activos con aplicación estática retenida se obtienen una vista previa, se descargan o se abren en elData Refinery herramienta. Data Refinery no da soporte a las reglas de protección de datos para el filtrado de filas. Los trabajos de Data Refinery fallan si el activo se rige por reglas de protección de datos de filtrado de filas. Además, si añade un activo de IBM Knowledge Catalog a un proyecto gobernado por reglas de protección de datos de filtrado de filas, el enmascaramiento no se aplicará en Data Refinery.
Más información
Tema principal: Reglas de protección de datos