Le regole di protezione dati definiscono il controllo dell'accesso basato sugli attributi dei dati. È possibile creare regole di protezione dati per definire come proteggere i dati sensibili in base all'identità dell'utente e alle proprietà o caratteristiche dei dati. Una regola di protezione dei dati viene valutata per l'applicazione quando un utente accede a un asset in un catalogo gestito. L'applicazione della regola può influenzare l'aspetto dei dati e se l'asset di dati può essere spostato dal catalogo per l'utilizzo.
Le regole di protezione dati si applicano agli asset di dati nei cataloghi gestiti e, in alcune condizioni, nei progetti e nella Data virtualization. Le regole di protezione dei dati vengono applicate automaticamente quando un membro del catalogo tenta di visualizzare o agire su un asset di dati in un catalogo gestito per impedire agli utenti non autorizzati di accedere ai dati sensibili. Tuttavia, se l'utente che sta tentando di accedere all'asset in un catalogo è il proprietario dell'asset (per impostazione predefinita, l'utente che ha creato l'asset), l'accesso illimitato viene sempre concesso.
Una regola di protezione dati è composta da criteri e un blocco di azioni. I criteri identificano quali dati controllare e possono includere chi richiede l'accesso ai dati e le proprietà dell'asset di dati. I criteri possono essere costituiti da un numero di predicati combinati in un'espressione booleana. I predicati possono includere attributi utente e proprietà asset, come le classi di dati, le classificazioni, i tag o i termini di business assegnati all'asset. Il blocco azione specifica come controllare i dati. Il blocco di azioni può essere costituito da azioni binarie, ad esempio negare l'accesso ai dati, e da azioni di trasformazione dati, come mascherare i valori dei dati in una colonna o filtrare le righe:
- Nega accesso ai dati
- Gli utenti interessati non possono visualizzare in anteprima i valori dei dati o utilizzare l'asset di dati. Si applica a qualsiasi tipo di asset di dati.
- Altera colonne
- Gli utenti interessati vedono i valori sostituiti con una stringa di un carattere ripetuto. Si applica agli asset di dati con dati relazionali.
- Offusca colonne
- Gli utenti interessati vedono i dati sostituiti con valori simili e nello stesso formato. Si applica agli asset di dati con dati relazionali.
- Sostituisci colonne
- Gli utenti interessati vedono i dati sostituiti con un valore hash. Si applica agli asset di dati con dati relazionali.
- Filtra righe
- Gli utenti interessati visualizzano un sottoinsieme di righe nel dataset. Si applica agli asset di dati con dati relazionali.
Ad esempio, è possibile creare una regola di protezione dati per negare l'accesso ai dati negli asset di dati che contengono informazioni riservate per tutti gli utenti tranne Joe Blue. La definizione di tale regola è costituita da un criterio con due condizioni e da un'azione:
Riscritta come frase, la definizione della regola è: If the user is not [email protected] and if any data is classified as Confidential, then deny access to the data in the asset.
Per gli asset di dati relazionali, è anche possibile creare regole per mascherare i dati nelle colonne degli asset, in base alle risorse utente di governance assegnate o ad altre proprietà della colonna. Ad esempio, è possibile definire una regola per mascherare gli indirizzi email in modo che gli utenti possano vedere tutti i dati in un asset tranne i valori dei dati per gli indirizzi email, che vengono sostituiti con valori generati.
Senza le regole di protezione dei dati, l'accesso a un asset di dati in un catalogo è limitato dall'impostazione di riservatezza dell'asset di dati all'interno di tale catalogo e limitato agli utenti che sono collaboratori nel catalogo.