Las reglas de protección de datos definen el control de acceso basado en atributos de los datos. Puede crear reglas de protección de datos para definir cómo proteger los datos confidenciales basándose en la identidad del usuario y las propiedades o características de los datos. Una regla de protección de datos se evalúa para su aplicación cuando un usuario accede a un activo en un catálogo gobernado. La aplicación de la regla puede afectar al aspecto de los datos y a si el activo de datos se puede mover fuera del catálogo para su uso.

Las reglas de protección de datos se aplican a los activos de datos en catálogos gobernados, y bajo algunas condiciones, en proyectos y virtualización de datos. Las reglas de protección de datos se aplican automáticamente cuando un miembro del catálogo intenta ver o actuar sobre un activo de datos de un catálogo gobernado para evitar que usuarios no autorizados accedan a datos confidenciales. Sin embargo, si el usuario que está intentando acceder al activo en un catálogo es el propietario del activo (de forma predeterminada, el usuario que ha creado el activo), siempre se otorga acceso sin restricciones.

Una regla de protección de datos consta de criterios y un bloque de acción. Los criterios identifican los datos que se deben controlar y pueden incluir quién solicita acceso a los datos y las propiedades del activo de datos. Los criterios pueden constar de un número de predicados que se combinan en una expresión booleana. Los predicados pueden incluir atributos de usuario y propiedades de activo, como las clases de datos, clasificaciones, etiquetas o términos empresariales que se asignan al activo. El bloque de acciones especifica cómo controlar los datos. El bloque de acción puede constar de acciones binarias, como por ejemplo denegar el acceso a los datos, y de acciones transformadoras de datos, como enmascarar los valores de datos en una columna o filtrar filas:

Denegar el acceso a los datos

Los usuarios afectados no pueden obtener una vista previa de ningún valor de datos o utilizar el activo de datos. Se aplica a cualquier tipo de activo de datos.

Ocultar columnas

Los usuarios afectados ven los valores sustituidos por una serie de un carácter repetido. Se aplica a activos de datos con datos relacionales.

Enmascarar columnas

Los usuarios afectados ven los datos sustituidos por valores similares y en el mismo formato. Se aplica a activos de datos con datos relacionales.

Sustituir columnas

Los usuarios afectados ven los datos sustituidos por un valor hash. Se aplica a activos de datos con datos relacionales.

Filtrar filas

Los usuarios afectados ven un subconjunto de filas en el conjunto de datos. Se aplica a activos de datos con datos relacionales.

Por ejemplo, puede crear una regla de protección de datos para denegar el acceso a los datos de los activos de datos que contienen información confidencial para todos los usuarios excepto Joe Blue. La definición de esta regla consiste en un criterio con dos condiciones y una acción:

Reescrita como una sentencia, la definición de regla es: If the user is not [email protected] and if any data is classified as Confidential, then deny access to the data in the asset.

Para activos de datos relacionales, también puede crear reglas para enmascarar datos en columnas de activos, basándose en los artefactos de gobernabilidad asignados u otras propiedades de la columna. Por ejemplo, puede definir una regla para enmascarar direcciones de correo electrónico para que los usuarios puedan ver todos los datos de un activo excepto los valores de datos para las direcciones de correo electrónico, que se sustituyen por los valores generados.

Sin reglas de protección de datos, el acceso a un activo de datos en un catálogo está restringido por el valor de privacidad del activo de datos dentro de ese catálogo y está limitado a los usuarios que son colaboradores en el catálogo.