Beim Entwerfen einer Datenschutzregel müssen Sie die Kriterien für die Durchsetzung der Regel und die entsprechende Durchsetzungsaktion festlegen. Zu den Kriterien können die betroffenen Benutzer, die Klassifikation des Datenassets oder andere Metadaten gehören, die dem Datenasset zugeordnet sind. Die Durchsetzungsaktion kann entweder darin bestehen, den Zugriff auf alle Daten innerhalb des Assets zu verweigern, Teile der Daten zu maskieren oder Zeilen aus den Daten zu filtern.
- Erforderliche Berechtigungen
- Eigenschaften von Datenschutzregeln
- Kriterien
- Aktionen
- Richtlinien für Spaltennamen in Maskierungs-oder Filteraktion
- Angepasste Vergleichselemente
- Weitere Informationen
Erforderliche Berechtigungen
Sie müssen über die folgenden Benutzerberechtigungenverfügen:
- Zum Erstellen von Datenschutzregeln müssen Sie über die Berechtigung Datenschutzregeln verwalten verfügen.
- Zum Einschließen von Governanceartefakten in Ihre Regeln müssen Sie über die Berechtigung Auf Governanceartefakte zugreifen verfügen und Sie müssen ein Mitarbeiter in den Kategorien der in der jeweiligen Regel verwendeten Governanceartefakte sein.
Wenden Sie sich bei fehlenden Berechtigungen an Ihren Plattformadministrator und bitten Sie ihn, Ihnen diese Berechtigungen zu erteilen.
Eigenschaften von Datenschutzregeln
Die Eigenschaften und das Verhalten von Datenschutzregeln unterscheiden sich erheblich von Eigenschaften und Verhalten anderer Governanceartefakte.
| Eigenschaft oder Verhalten | Unterstützt? | Erläuterung |
|---|---|---|
| Eindeutige Namen sind erforderlich? | Ja | Jede Datenschutzregel muss einen eindeutigen Namen haben. |
| Beschreibung? | Ja | Beschreiben Sie in Ihren Worten, was die Regel bewirkt, damit der Einsatzzweck der Regel einfach zu verstehen ist. Geben Sie Standardwörter und Begriffe ein, um die Suche nach dieser Regel zu vereinfachen. |
| Beziehungen zu anderen Regeln hinzufügen? | Nein | Datenschutzregeln weisen keine gegenseitigen Beziehungen auf. |
| Beziehungen zu anderen Governanceartefakten hinzufügen? | Ja | Sie können Governanceartefakte in den Definitionen von Datenschutzregeln hinzufügen. Die Datenschutzregel wird dann auf der Registerkarte Zugehörige Inhalte der Governanceartefakte angezeigt, die in der Definition der Regel enthalten sind. Sie können Datenschutzregeln auch zu Richtlinien hinzufügen. Datenschutzregeln werden jedoch unabhängig davon durchgesetzt, ob sie in veröffentlichten Richtlinien enthalten sind. |
| Beziehung zur Anlage hinzufügen? | Ja | Siehe Assetbeziehungen in Katalogen. |
| Angepasste Eigenschaften hinzufügen? | Nein | Datenschutzregeln unterstützen keine angepassten Eigenschaften. |
| Angepasste Beziehungen hinzufügen? | Nein | Datenschutzregeln unterstützen keine angepassten Beziehungen. |
| In Kategorien organisieren? | Nein | Datenschutzregeln werden nicht über Kategorien gesteuert. Sie werden für alle regulierten Kataloge auf der Plattform durchgesetzt und sind für alle Benutzer sichtbar. |
| Aus einer Datei importieren? | Nein | Sie müssen jede Datenschutzregel einzeln erstellen. |
| In eine Datei exportieren? | Nein | Datenschutzregeln können nicht exportiert werden. |
| Über Workflows verwaltet? | Nein | Datenschutzregeln sind nach der Erstellung publiziert und aktiv. |
| Start- und Enddatum angeben? | Nein | Datenschutzregeln sind ab der Erstellung und bis zum Löschen aktiv. |
| Steward zuweisen? | Nein | Datenschutzregeln verfügen nicht über Stewards. |
| Tags hinzufügen? | Ja | Sie können zwar keine Tags als Eigenschaften zu Datenschutzregeln hinzufügen, können jedoch Tags in den Definitionen von Datenschutzregeln einfügen. |
| Einem Asset zuordnen? | Ja | Sie können zwar keine Datenschutzregeln manuell zu Assets zuordnen, Regeln werden jedoch für Assets durchgesetzt, wenn die Assets den Kriterien der jeweiligen Regeln entsprechen. |
| Einer Spalte in einem Datenasset zuordnen? | Ja | Sie können eine Datenschutzregel zwar nicht manuell zu einer Spalte in einem Asset zuordnen, Datenschutzregeln führen jedoch zu einer Maskierung der Werte einer Spalte, wenn die jeweilige Spalte den Kriterien und Aktionsblockanweisungen der Regel entspricht. |
| Automatisierte Zuweisung bei Profilerstellung oder Aufbereitung? | Nein | Datenschutzregeln werden durchgesetzt, wenn ein Benutzer versucht, auf ein Datenasset zuzugreifen. |
| Vordefinierte Artefakte in der Kategorie [uncategorized] ? | Nein | Sie müssen alle Datenschutzregeln erstellen. |
Datenschutzregeln bestehen aus zwei Komponenten:
Kriterien
Das Kriterium gibt die Bedingungen für die Durchsetzung der Datenschutzregel an. Ein Kriterium besteht aus mindestens einer Bedingung. Jede Bedingung besteht aus einem Vergleichselement, einem Vergleichsoperator und mindestens einem Eingabewert.
Der Prozess der Konfiguration eines Kriteriums umfasst die Auswahl des Typs des Vergleichselements, um das Asset-oder Benutzerattribut, den Vergleichsoperator und die spezifischen Werte des Vergleichselements für den Vergleich zu definieren. Anschließend können Sie Vergleichselemente und Bedingungen mit den booleschen Operatoren AND oder OR verknüpfen, um verschachtelte logische Strukturen mit präzisen Kriterien zu erstellen.
Vergleichselementtypen
| Vergleichselement | Beschreibung | Eingabewerte |
|---|---|---|
| Asset | Die global eindeutige ID (GUID) des Assets, z. B. 4899251b-6073-4f25-9601-fc70fca1f9a9. |
Geben Sie eine oder mehrere Asset-IDs ein, die durch Kommas getrennt sind, indem Sie die Data and AI Common Core API verwenden. |
| Assetname | Der Name des Assets, z. B. SALES_LEADS. |
Geben Sie einen oder mehrere Assetnamen getrennt durch Kommas ein. |
| Asseteigner | Die E-Mail-Adresse des Benutzers, der Eigner des Assets im Katalog ist, z. B. [email protected]. |
Suchen Sie nach E-Mail-Adressen und wählen Sie dann die gewünschten Adressen aus. |
| Assetschema | Das Schema des verbundenen Assets, z. B. db2_conn1. |
Geben Sie ein oder mehrere Assetschemas durch Kommas getrennt ein. |
| Geschäftsbegriff | Ein Geschäftsbegriff, der dem Asset oder einer Spalte zugeordnet ist, z. B. work phone number. |
Suchen Sie nach einem veröffentlichten Geschäftsbegriff und wählen Sie ihn aus. |
| Katalog | Die GUID (Globally Unique Identifier) des Katalogs, der das Asset enthält, z. B. 46a19524-bfbf-4810-a1f0-b131f12bc773 |
Geben Sie eine oder mehrere Katalog-IDs ein, die durch Kommata getrennt sind, und verwenden Sie die Data and AI Common Core API. |
| Klassifikation | Der Typ der sensiblen Informationen im Asset, z. B. Confidential oder Personally Indentifiable Information. |
Suchen Sie nach mindestens einer Klassifikation und wählen Sie sie aus. |
| Spaltenname | Der Name einer Spalte in einem Asset, beispielsweise FNAME, LNAME, CLAIM_ID. |
Geben Sie einen oder mehrere durch Kommas getrennte Spaltennamen ein. |
| Datenklasse | Die Datenklasse, die einer Spalte zugeordnet ist, die den Inhalt der Daten klassifiziert, z. B. Customer Number, Date of Birthoder City |
Suchen Sie nach einer veröffentlichten Datenklasse und wählen Sie sie aus. |
| Tag | Ein Tag, der dem Asset bzw. einer Spalte zugewiesen ist (z. B. Marketing, Client Informationoder Claim) |
Geben Sie einen Tag oder mehrere durch Kommas getrennte Tags ein. |
| Benutzername | Der Name oder die E-Mail-Adresse eines Benutzers, z. B. [email protected]. |
Suchen Sie nach E-Mail-Adressen und wählen Sie dann die gewünschten Adressen aus. |
| Benutzergruppe | Der Name einer Benutzergruppe, die ein Katalogmitarbeiter ist, z. B. people managers oder finance group. |
Suchen Sie nach Benutzergruppen und wählen Sie dann die gewünschten Gruppen aus. |
| Angepasste Vergleichselemente | Ein benutzerdefiniertes Vergleichselement, das einem angepassten Benutzerattribut oder einem angepassten Datenassetattribut zugeordnet wird. | Erstellen Sie benutzerdefinierte Prädikate mit der IBM Knowledge Catalog API. |
Vergleichsoperatoren
| Operator | Beschreibung | Eingabewerte |
|---|---|---|
| Gleichungen | Ein Vergleich der exakten Übereinstimmung, der normalerweise für IDs von Attributen wie Katalog-IDs oder Asset-IDs verwendet wird. Zum Beispiel "Kreditgenehmigungen" und "Finanzierung". | Suchen Sie nach den IDs eines oder mehrerer Werte und geben Sie diese durch Kommata getrennt ein, indem Sie die Data and AI Common Core API für Asset-IDs oder Katalog-IDs verwenden. |
| Folgendes enthält | Filtert den Vergleichselementtyp für Assets, die einen der aufgelisteten Werte für dieses Attribut enthalten Beispielsweise Assets, die einen Tag "confidential", "sensitive" oder "financial" enthalten. | Suchen Sie nach mindestens einem Wert, der durch Kommas getrennt ist, und geben Sie ihn ein. |
| enthält nicht | Filtert den Vergleichselementtyp für Assets, die keinen der aufgelisteten Werte für das Attribut enthalten Beispielsweise Assets, die keinen Tag "confidential", "sensitive" oder "financial" enthalten. | Suchen Sie nach mindestens einem Wert, der durch Kommas getrennt ist, und geben Sie ihn ein. |
| like | Filtert den Prädikatswert für ein Muster, das als regulärer Ausdruck angegeben ist, z. B. "FINANCE. *" oder "(USER | CUSTOMER). +" | Geben Sie reguläre Ausdrücke durch Kommas getrennt ein. |
Eine unterschiedliche Verschachtelung in den Kriterien kann beispielsweise zu verschiedenen Ergebnissen mit denselben Vergleichselementen führen.
Mit dem folgenden Kriterium wird eine Regel erstellt, die Daten mit einer bestimmten Klassifikation sowie einer bestimmten Datenklasse oder einem bestimmten Geschäftsbegriff maskiert.
Mit dem folgenden Kriterium wird eine Regel für die Maskierung von Daten erstellt, die eine bestimmte Klassifikation sowie eine bestimmte Datenklasse oder einen bestimmten Geschäftsbegriff aufweisen:
Aktionen
Die Aktion der Datenschutzregel definiert die Auswirkung der Durchsetzung der Regel. Die Aktion verhindert gemäß den Bedingungen, dass betroffene Katalogmitglieder auf die Originaldaten zugreifen oder diese anzeigen. Der Asseteigner ist keinen Datenschutzregeln unterworfen.
Sie können aus den folgenden Aktionstypen auswählen.
| Aktion | Bereich | Ergebnis |
|---|---|---|
| Zugriff verweigern | Alle Datenwerte in allen Spalten des Datenassets | Betroffene Benutzer können Assetmetadaten anzeigen, aber keine Datenwerte voranzeigen, die Daten verwenden oder Aktionen für das Asset ausführen. Benutzer können die Assets auch nicht herunterladen oder zu einem Projekt hinzufügen. |
| Spalten redigieren | Die Werte in der Spalte, die dem Maskierungskriterium entsprechen | Betroffene Benutzer sehen, dass Werte durch eine Zeichenfolge mit einem wiederholten Zeichen ersetzt werden. Siehe Daten mit Datenschutzregeln maskieren. Die Maskierung kann auf Projekte erweitert werden. Siehe In Projekten maskieren. |
| Spalten unkenntlich machen | Die Werte in der Spalte, die dem Maskierungskriterium entsprechen | Betroffene Benutzer sehen Daten, die durch ähnliche Werte und in demselben Format ersetzt wurden. Siehe Daten mit Datenschutzregeln maskieren. Die Maskierung kann auf Projekte erweitert werden. Siehe In Projekten maskieren. |
| Spalten ersetzen | Die Werte in der Spalte, die dem Maskierungskriterium entsprechen | Betroffene Benutzer sehen, dass Daten durch einen Hashwert ersetzt werden. Siehe Daten mit Datenschutzregeln maskieren. Die Maskierung kann auf Projekte erweitert werden. Siehe In Projekten maskieren. |
| Zeilen filtern | Alle Zeilen, die einem bestimmten Kriterium entsprechen | Betroffene Benutzer können alle Werte in bestimmten Zeilen entsprechend ihren Katalotrollen und dem ausgewählten Filtertyp entweder anzeigen oder blockieren. Die Zeilenfilterung ist abhängig von den Anforderungen des Datenassets entweder ein Einschluss oder ein Ausschluss. Siehe Zeilen filtern. |
Richtlinien für Spaltennamen in Maskierungs-oder Filteraktion
Spaltennamen müssen exakt mit dem Namen im Datenassetschema übereinstimmen. Andernfalls wird die Regel nicht angewendet. Darüber hinaus muss bei Spaltennamen die Groß-/Kleinschreibung beachtet werden. Wenn Sie beispielsweise eine Regel zum Filtern von Zeilen auf der Basis des Spaltennamens COLUMN9erstellen, filtert die Regel keine Zeilen, die in Spalten mit dem Namen column9 angegeben sind, und filtert nur Zeilen auf der Basis von Spaltennamen, die genau mit COLUMN9übereinstimmen.
Angepasste Vergleichselemente
Sie können angepasste Vergleichselemente verwenden, wenn die Standardvergleichselemente, wie z. B. Eigenschaften von Datenassets oder identifizierende Benutzer, nicht ausreichen oder Ihre Geschäftsanforderungen nicht erfüllen.
Die von Ihnen erstellten Vergleichselemente werden den Eigenschaften von Datenassets zugeordnet.
Um eigene Prädikate zu erstellen oder zu löschen, müssen Sie die IBM Knowledge Catalog API verwenden. Wenn Sie später ein angepasstes Vergleichselement aktualisieren möchten, müssen Sie zuerst alle vorhandenen Regeln mit dem angepassten Vergleichselement löschen und anschließend die neuen Regeln mit dem aktualisierten angepassten Vergleichselement erneut erstellen.
Weitere Informationen
- Daten maskieren
- Zeilen filtern
- Bewertung durch Datenschutzregeln
- Datenschutzregeln verwalten
- IBM Knowledge Catalog API
Übergeordnetes Thema: Datenschutzregeln