Les règles de protection des données définissent le contrôle d'accès basé sur les attributs des données. Vous pouvez créer des règles de protection des données pour définir comment protéger les données sensibles en fonction de l'identité de l'utilisateur et des propriétés ou caractéristiques des données. Une règle de protection des données est évaluée pour l'application lorsqu'un utilisateur accède à un actif dans un catalogue gouverné. L'application de la règle peut affecter l'apparence des données et déterminer si l'actif de données peut être déplacé hors du catalogue pour être utilisé.

Les règles de protection des données s'appliquent aux actifs de données dans les catalogues gérés et sous certaines conditions, dans les projets et la virtualisation des données. Les règles de protection des données sont automatiquement appliquées lorsqu'un membre de catalogue tente d'afficher ou d'agir sur un actif de données dans un catalogue gouverné pour empêcher les utilisateurs non autorisés d'accéder aux données sensibles. Toutefois, si l'utilisateur qui tente d'accéder à l'actif dans un catalogue est le propriétaire de l'actif (par défaut, l'utilisateur qui a créé l'actif), l'accès sans restriction est toujours accordé.

Une règle de protection des données se compose de critères et d'un bloc d'action. Les critères identifient les données à contrôler et peuvent inclure qui demande l'accès aux données et aux propriétés de l'actif de données. Les critères peuvent se composer d'un certain nombre de prédicats qui sont combinés dans une expression booléenne. Les prédicats peuvent inclure des attributs utilisateur et des propriétés d'actif, telles que les classes de données, les classifications, les balises ou les termes métier affectés à l'actif. Le bloc d'action indique comment contrôler les données. Le bloc d'actions peut se composer d'actions binaires, telles que le refus d'accès aux données, et d'actions de transformation de données, telles que le masquage des valeurs de données dans une colonne ou le filtrage des lignes:

Refuser l'accès aux données

Les utilisateurs affectés ne peuvent pas prévisualiser les valeurs de données ni utiliser l'actif de données. S'applique à tout type d'actif de données.

Occulter les colonnes

Les utilisateurs concernés voient les valeurs remplacées par une chaîne d'un caractère répété. S'applique aux actifs de données avec des données relationnelles.

Brouiller les colonnes

Les utilisateurs concernés voient les données remplacées par des valeurs similaires et dans le même format. S'applique aux actifs de données avec des données relationnelles.

Remplacer les colonnes

Les utilisateurs concernés voient les données remplacées par une valeur hachée. S'applique aux actifs de données avec des données relationnelles.

Filtrer les lignes

Les utilisateurs concernés voient un sous-ensemble de lignes dans le jeu de données. S'applique aux actifs de données avec des données relationnelles.

Par exemple, vous pouvez créer une règle de protection des données pour refuser l'accès aux données des actifs de données qui contiennent des informations confidentielles pour tous les utilisateurs à l'exception de Joe Blue. La définition de cette règle se compose d'un critère à deux conditions et d'une action :

Réécrite en tant que phrase, la définition de règle est : If the user is not [email protected] and if any data is classified as Confidential, then deny access to the data in the asset.

Pour les actifs de données relationnelles, vous pouvez également créer des règles pour masquer les données dans les colonnes d'actif, en fonction des artefacts de gouvernance affectés ou d'autres propriétés de la colonne. Par exemple, vous pouvez définir une règle pour masquer les adresses électroniques afin que les utilisateurs puissent afficher toutes les données d'un actif, à l'exception des valeurs de données pour les adresses électroniques, qui sont remplacées par des valeurs générées.

Sans règles de protection des données, l'accès à un actif de données dans un catalogue est restreint par le paramètre de confidentialité de l'actif de données dans ce catalogue, et limité aux utilisateurs qui sont des collaborateurs du catalogue.