Datenschutzregeln definieren die attributbasierte Zugriffssteuerung für Daten. Sie können Datenschutzregeln erstellen, um zu definieren, wie sensible Daten auf der Basis der Identität des Benutzers und der Eigenschaften oder Merkmale der Daten geschützt werden. Eine Datenschutzregel wird zur Durchsetzung ausgewertet, wenn ein Benutzer auf ein Asset in einem regulierten Katalog zugreift. Die Durchsetzung der Regel kann sich auf die Darstellung der Daten auswirken und darauf, ob das Datenasset zur Verwendung aus dem Katalog verschoben werden kann.

Datenschutzregeln gelten für Datenassets in regulierten Katalogen und unter bestimmten Bedingungen in Projekten und bei der Datenvirtualisierung. Die Datenschutzregeln werden automatisch durchgesetzt, wenn ein Katalogmitglied versucht, ein Datenasset in einem regulierten Katalog anzuzeigen oder es zu bearbeiten, um zu verhindern, dass nicht berechtigte Benutzer auf sensible Daten zugreifen. Wenn jedoch der Benutzer, der versucht, auf das Asset in einem Katalog zuzugreifen, der Eigner des Assets ist (standardmäßig der Benutzer, der das Asset erstellt hat), wird immer uneingeschränkter Zugriff gewährt.

Eine Datenschutzregel besteht aus Kriterien und einem Aktionsblock. Kriterien geben an, welche Daten gesteuert werden sollen, und können einschließen, wer Zugriff auf die Daten anfordert und welche Eigenschaften das Datenasset aufweist. Die Kriterien können aus einer Reihe von Vergleichselementen bestehen, die in einem booleschen Ausdruck kombiniert werden. Die Vergleichselemente können Benutzerattribute und Asseteigenschaften wie Datenklassen, Klassifizierungen, Tags oder Geschäftsbegriffe enthalten, die dem Asset zugeordnet sind. Der Aktionsblock gibt an, wie die Daten gesteuert werden sollen. Der Aktionsblock kann aus binären Aktionen bestehen, wie z. B. das Verweigern des Zugriffs auf Daten, und Datentransformationsaktionen, wie z. B. das Maskieren der Datenwerte in einer Spalte oder das Filtern von Zeilen:

Zugriff auf Daten verweigern

Betroffene Benutzer können keine Datenwerte voranzeigen oder das Datenasset verwenden. Gilt für jeden Typ von Datenasset.

Spalten redigieren

Betroffene Benutzer sehen, dass Werte durch eine Zeichenfolge mit einem wiederholten Zeichen ersetzt werden. Gilt für Datenassets mit relationalen Daten.

Spalten unkenntlich machen

Betroffene Benutzer sehen Daten, die durch ähnliche Werte und in demselben Format ersetzt wurden. Gilt für Datenassets mit relationalen Daten.

Spalten ersetzen

Betroffene Benutzer sehen, dass Daten durch einen Hashwert ersetzt werden. Gilt für Datenassets mit relationalen Daten.

Zeilen filtern

Betroffene Benutzer sehen eine Untergruppe von Zeilen im Dataset. Gilt für Datenassets mit relationalen Daten.

Sie können beispielsweise eine Datenschutzregel erstellen, um den Zugriff auf Daten in Datenassets zu verweigern, die vertrauliche Informationen für alle Benutzer außer Joe Blue enthalten. Die Definition dieser Regel besteht aus einem Kriterium mit zwei Bedingungen und einer Aktion:

Ausformuliert als Satz lautet die Regeldefinition wie folgt: If the user is not [email protected] and if any data is classified as Confidential, then deny access to the data in the asset.

Für relationale Datenassets können Sie auch Regeln erstellen, um Daten in Assetspalten auf der Basis der zugewiesenen Governance-Artefakte oder anderer Eigenschaften der Spalte zu maskieren. Sie können beispielsweise eine Regel zum Maskieren von E-Mail-Adressen definieren, damit Benutzer alle Daten in einem Asset mit Ausnahme der Datenwerte für E-Mail-Adressen anzeigen können. Die E-Mail-Adressen werden dabei durch generierte Werte ersetzt.

Ohne Datenschutzregeln wird der Zugriff auf ein Datenasset in einem Katalog durch die Datenschutzeinstellung des Datenassets in diesem Katalog eingeschränkt und auf die Benutzer beschränkt, die Mitarbeiter im Katalog sind.