Reguły ochrony danych definiują opartą na atrybutach kontrolę dostępu do danych. Istnieje możliwość utworzenia reguł ochrony danych w celu zdefiniowania sposobu ochrony danych wrażliwych na podstawie tożsamości użytkownika i właściwości lub charakterystyki danych. Reguła ochrony danych jest wartościowana w celu wymuszenia, gdy użytkownik uzyskuje dostęp do zasobu w katalogu regulowanym. Wymuszenie reguły może mieć wpływ na wygląd danych oraz na to, czy zasób danych może zostać przeniesiony z katalogu w celu użycia.

Reguły ochrony danych mają zastosowanie do zasobów danych w katalogach zarządzanych i pod pewnymi warunkami w projektach i Data virtualization. Reguły ochrony danych są automatycznie wymuszane, gdy członek katalogu próbuje wyświetlić lub wykonać działanie na zasobie danych w katalogu nadzorowanym, aby uniemożliwić nieautoryzowanym użytkownikom dostęp do danych wrażliwych. Jeśli jednak użytkownik, który próbuje uzyskać dostęp do zasobu w katalogu, jest właścicielem zasobu (domyślnie jest to użytkownik, który utworzył zasób), zawsze nadawany jest nieograniczony dostęp.

Reguła ochrony danych składa się z kryteriów i bloku działań. Kryteria identyfikują dane, które mają być kontrolowane, i mogą obejmować osoby żądające dostępu do danych i właściwości zasobu danych. Kryteria mogą składać się z wielu predykatów połączonych w wyrażenie boolowskie. Predykaty mogą zawierać atrybuty użytkownika i właściwości zasobów, takie jak klasy danych, klasyfikacje, znaczniki lub terminy biznesowe przypisane do zasobu. Blok działań określa sposób sterowania danymi. Blok działań może składać się z działań binarnych, takich jak odmowa dostępu do danych, oraz działań transformacji danych, takich jak maskowanie wartości danych w kolumnie lub filtrowanie wierszy:

Odmów dostępu do danych

Użytkownicy, których to dotyczy, nie mogą wyświetlać podglądu żadnych wartości danych ani korzystać z zasobu danych. Dotyczy dowolnego typu zasobu danych.

Kolumny maskowania

Dla użytkowników, których to dotyczy, wartości są zastępowane łańcuchem składającym się z jednego powtarzającego się znaku. Dotyczy zasobów danych z danymi relacyjnymi.

Ukryj kolumny

Użytkownicy, których to dotyczy, widzą dane zastąpione podobnymi wartościami i w tym samym formacie. Dotyczy zasobów danych z danymi relacyjnymi.

Kolumny zastępcze

Użytkownicy, których to dotyczy, widzą dane zastąpione wartością mieszaną. Dotyczy zasobów danych z danymi relacyjnymi.

Filtruj wiersze

Użytkownicy, których to dotyczy, widzą podzbiór wierszy w zestawie danych. Dotyczy zasobów danych z danymi relacyjnymi.

Na przykład można utworzyć regułę ochrony danych, aby odmówić dostępu do danych w zasobach danych, które zawierają informacje poufne dla wszystkich użytkowników z wyjątkiem Jana Kowalskiego. Definicja tej reguły składa się z kryteriów z dwoma warunkami i działaniem:

Przebudowana jako zdanie, definicja reguły jest następująca: If the user is not [email protected] and if any data is classified as Confidential, then deny access to the data in the asset.

W przypadku relacyjnych zasobów danych można również utworzyć reguły maskowania danych w kolumnach zasobów aplikacyjnych na podstawie przypisanych artefaktów zarządzania lub innych właściwości kolumny. Na przykład można zdefiniować regułę maskowania adresów e-mail, aby użytkownicy mogli wyświetlać wszystkie dane w zasobie z wyjątkiem wartości danych dla adresów e-mail, które są zastępowane wygenerowanymi wartościami.

Bez reguł ochrony danych dostęp do zasobu danych w katalogu jest ograniczony przez ustawienia prywatności zasobu danych w tym katalogu i ograniczony do użytkowników, którzy są współpracownikami w katalogu.