Al diseñar una regla de protección de datos, debe decidir los criterios para aplicar la regla y la acción de ejecución correspondiente. Los criterios pueden incluir los usuarios que se ven afectados, la clasificación del activo de datos u otros metadatos asignados al activo de datos. La acción de imposición puede ser denegar el acceso a todos los datos del activo, enmascarar partes de los datos o filtrar filas de los datos.
- Permisos necesarios
- Propiedades de las reglas de protección de datos
- Criterios
- Actions
- Directrices de nombre de columna dentro de la acción de enmascaramiento o filtrado
- Predicados personalizados
- Más información
Permisos necesarios
Debe tener estos permisos de usuario:
- Para crear reglas de protección de datos, debe tener el permiso Gestionar reglas de protección de datos.
- Para incluir artefactos de gobierno en las reglas, debe tener el permiso Acceder a artefactos de gobierno y debe ser colaborador en las categorías de los artefactos de gobierno que desea utilizar en la regla.
Si le faltan permisos, solicite al administrador de la plataforma que se los asigne.
Propiedades de las reglas de protección de datos
Las propiedades y el comportamiento de las reglas de protección de datos difieren significativamente de otros artefactos de gobierno.
| Propiedad o comportamiento | ¿Soporte? | Explicación |
|---|---|---|
| ¿Debe tener nombres exclusivos? | Sí | Cada regla de protección de datos debe tener un nombre exclusivo. |
| ¿Descripción? | Sí | Describir lo que hace la regla en lenguaje natural para que sea fácil de entender. Incluir palabras y términos estándares para facilitar la búsqueda de esta regla. |
| ¿Añadir relaciones con otras reglas? | Nee | Las reglas de protección de datos no tienen relaciones entre sí. |
| ¿Añadir relaciones con otros artefactos de gobierno? | Sí | Puede añadir artefactos de gobierno en las definiciones de reglas de protección de datos. La regla de protección de datos aparece en la pestaña Contenido relacionado de los artefactos de gobierno que se incluyen en su definición. También puede añadir reglas de protección de datos a políticas. Sin embargo, las reglas de protección de datos se aplican independientemente de si se incluyen en cualquier política publicada. |
| ¿Añadir relación a activo? | Sí | Consulte Relaciones de activos en catálogos. |
| ¿Añadir propiedades personalizadas? | Nee | Las reglas de protección de datos no dan soporte a propiedades personalizadas. |
| ¿Añadir relaciones personalizadas? | Nee | Las reglas de protección de datos no dan soporte a relaciones personalizadas. |
| ¿Organizar en categorías? | Nee | Las reglas de protección de datos no se controlan por categorías. Se aplican en todos los catálogos gobernados en la plataforma y son visibles para todos los usuarios. |
| ¿Importar desde un archivo? | Nee | Debe crear cada regla de protección de datos individualmente. |
| ¿Exportar a un archivo? | Nee | No puede exportar una regla de protección de datos. |
| ¿Gestionado por flujos de trabajo? | Nee | Las reglas de protección de datos se publican y se activan después de la creación. |
| ¿Especificar fechas de inicio y finalización? | Nee | Las reglas de protección de datos están activas después de la creación y hasta que se suprimen. |
| ¿Asignar un representante? | Nee | Las reglas de protección de datos no tienen representantes. |
| ¿Añadir etiquetas? | Sí | Aunque no puede añadir etiquetas como propiedades a las reglas de protección de datos, puede incluir etiquetas en las definiciones de reglas de protección de datos. |
| ¿Asignar a un activo? | Sí | Aunque no puede asignar manualmente reglas de protección de datos a activos, las reglas se aplican para los activos cuando los activos coinciden con los criterios de la regla. |
| ¿Asignar a una columna de un activo de datos? | Sí | Aunque no puede asignar manualmente una regla de protección de datos a una columna de un activo, las reglas de protección de datos pueden enmascarar los valores de una columna cuando la columna coincide con los criterios y las directivas de bloque de acción de la regla. |
| ¿Asignación automatizada durante la elaboración de perfiles o enriquecimiento? | Nee | Las reglas de protección de datos se aplican cuando un usuario intenta acceder a un activo de datos. |
| ¿Artefactos predefinidos en la categoría [sin categorizar] ? | Nee | Debe crear todas las reglas de protección de datos. |
Las reglas de protección de datos constan de dos componentes:
Criterios
El criterio identifica condiciones para aplicar la regla de protección de datos. Un criterio consiste en una o más condiciones. Cada condición consta de un predicado, un operador de comparación y uno o más valores de entrada.
El proceso de configuración de un criterio implica seleccionar el tipo de predicado para definir el activo o atributo de usuario, el operador de comparación y los valores específicos del predicado con el que comparar. Luego puede unir predicados y condiciones con los operadores booleanos AND u OR para crear estructuras lógicas anidadas con criterios precisos.
Tipos de predicado
| Predicado | Descripción | Valores de entrada |
|---|---|---|
| Activo | Identificador exclusivo global (GUID) del activo, por ejemplo, 4899251b-6073-4f25-9601-fc70fca1f9a9. |
Introduzca uno o varios identificadores de activos, separados por comas, utilizando la API de datos y de IA del núcleo común. |
| Nombre de activo | El nombre del activo, por ejemplo, SALES_LEADS. |
Especifique uno o más nombres de activos, separados por comas. |
| Propietario de activo | La dirección de correo electrónico del usuario propietario del activo en el catálogo, por ejemplo, [email protected]. |
Busque y seleccione una o más direcciones de correo electrónico. |
| Esquema de activo | El esquema del activo conectado, por ejemplo, db2_conn1. |
Especifique uno o más esquemas de activos, separados por comas. |
| Término empresarial | Término empresarial que se asigna al activo o a una columna, por ejemplo work phone number. |
Busque y seleccione un término empresarial publicado. |
| Catálogo | Identificador exclusivo global (GUID) del catálogo que contiene el activo, por ejemplo, 46a19524-bfbf-4810-a1f0-b131f12bc773. |
Introduzca uno o varios identificadores de catálogo, separados por comas, utilizando la API de datos y de IA del núcleo común. |
| Clasificación | El tipo de información confidencial en el activo, por ejemplo, Confidential o Personally Indentifiable Information. |
Busque y, a continuación, seleccione una o varias clasificaciones. |
| Nombre de columna | El nombre de una columna en un activo, por ejemplo FNAME, LNAME, CLAIM_ID. |
Especifique uno o más nombres de columna separados por comas. |
| Clase de datos | La clase de datos que se asigna a una columna que clasifica el contenido de los datos, por ejemplo, Customer Number, Date of Birtho City. |
Busque y seleccione una clase de datos publicada. |
| Etiqueta | Una etiqueta que se asigna al activo o a una columna, por ejemplo Marketing, Client Informationo Claim. |
Especifique una o más etiquetas, separadas por comas. |
| Nombre de usuario | El nombre o la dirección de correo electrónico de un usuario, por ejemplo, [email protected]. |
Busque y seleccione una o más direcciones de correo electrónico. |
| Grupo de usuarios | El nombre de un grupo de usuarios que es un colaborador de catálogo, por ejemplo people managers o finance group. |
Busque y seleccione uno o varios grupos de usuarios. |
| Predicados personalizados | Predicado definido por el usuario que se correlaciona con un atributo de usuario personalizado o un atributo de activo de datos personalizado. | Cree predicados definidos por el usuario utilizando la API de IBM Knowledge Catalog. |
Operadores de comparación
| Operador | Descripción | Valores de entrada |
|---|---|---|
| es igual a | Una comparación de coincidencia exacta, normalmente utilizada para los ID de atributos como los ID de catálogo o los ID de activo. Por ejemplo, "Aprobaciones de préstamos" y "Financiación". | Busque y, a continuación, introduzca los ID de uno o varios valores separados por comas utilizando la API común de datos y AI para ID de activos o ID de catálogos. |
| contiene cualquiera | Filtra el tipo de predicado para los activos que contienen cualquiera de los valores listados para ese atributo. Por ejemplo, los activos que contienen cualquier etiqueta de "confidencial", "sensible" o "financiera". | Busque y, a continuación, especifique uno o más valores separados por comas. |
| no contiene cualquiera | Filtra el tipo de predicado para activos que no contienen ninguno de los valores listados para ese atributo. Por ejemplo, los activos que no contienen ninguna etiqueta de "confidencial", "sensible" o "financiero". | Busque y, a continuación, especifique uno o más valores separados por comas. |
| como | Filtra el valor de predicado para un patrón especificado como expresión regular, por ejemplo "FINANCIERO. *" o "(USER | CUSTOMER). +" | Especifique expresiones regulares separadas por comas. |
Por ejemplo, la anidación de diferentes formas en los criterios puede producir resultados diferentes con los mismos predicados.
Los criterios siguientes crean una regla que enmascara datos que tienen una clasificación específica más una clase de datos específica o un término de negocio específico.
Los criterios siguientes crean una regla que enmascara datos que tienen una clasificación específica más una clase de datos específica o un término empresarial específico.
Acciones
La acción de la regla de protección de datos define el efecto de aplicar la regla. La acción impide que los miembros del catálogo afectados accedan o vean los datos originales, tal como se especifica en las condiciones. El propietario del activo no se ve afectado por las reglas de protección de datos.
Puede elegir entre los siguientes tipos de acciones.
| Acción | Ámbito | Resultado |
|---|---|---|
| Denegar acceso | Todos los valores de datos de todas las columnas del activo de datos | Los usuarios afectados pueden ver metadatos de activos, pero no pueden obtener una vista previa de ningún valor de datos, utilizar los datos o realizar acciones en el activo. Los usuarios tampoco pueden descargar los activos ni añadirlos a un proyecto. |
| Ocultar columnas | Los valores de la columna que coinciden con los criterios de enmascaramiento | Los usuarios afectados ven los valores sustituidos por una serie de un carácter repetido. Consulte Máscara de datos con reglas de protección de datos. El enmascaramiento puede extenderse a los proyectos. Consulte Enmascaramiento en proyectos. |
| Enmascarar columnas | Los valores de la columna que coinciden con los criterios de enmascaramiento | Los usuarios afectados ven los datos sustituidos por valores similares y en el mismo formato. Consulte Máscara de datos con reglas de protección de datos. El enmascaramiento puede extenderse a los proyectos. Consulte Enmascaramiento en proyectos. |
| Sustituir columnas | Los valores de la columna que coinciden con los criterios de enmascaramiento | Los usuarios afectados ven los datos sustituidos por un valor hash. Consulte Máscara de datos con reglas de protección de datos. El enmascaramiento puede extenderse a los proyectos. Consulte Enmascaramiento en proyectos. |
| Filtrar filas | Todas las filas que coinciden con un criterio específico | Los usuarios afectados pueden ver, o se les bloquea la visualización, todos los valores de filas específicas según sus roles de catálogo y el tipo de filtrado elegido. El filtrado de filas es una inclusión o una exclusión en función de los requisitos del activo de datos. Consulte Filtrado de filas. |
Directrices de nombre de columna dentro de la acción de enmascaramiento o filtrado
Los nombres de columna deben coincidir exactamente con el nombre del esquema de activo de datos o la regla no se aplica. Además, los nombres de columna distinguen entre mayúsculas y minúsculas. Por ejemplo, si crea una regla para filtrar filas basándose en el nombre de columna de COLUMN9, la regla no filtra las filas especificadas en las columnas con el nombre column9 y sólo filtra las filas basadas en nombres de columna que coinciden exactamente con COLUMN9.
Predicados personalizados
Puede utilizar la personalización de predicados cuando los predicados estándar, como las propiedades de activos de datos o la identificación de usuarios, son insuficientes o no satisfacen sus necesidades empresariales.
Los predicados que cree se correlacionan con las propiedades de los activos de datos.
Para crear o eliminar predicados personalizados, debe utilizar la API de IBM Knowledge Catalog. Si decide más adelante actualizar un predicado personalizado, primero debe suprimir todas las reglas existentes utilizando el predicado personalizado y, a continuación, volver a crear las nuevas reglas utilizando el predicado personalizado actualizado.
Más información
- Enmascaramiento de datos
- Filtrado de filas
- Evaluación de reglas de protección de datos
- Gestión de reglas de protección de datos
- API IBM Knowledge Catalog
Tema principal: Reglas de protección de datos