Docs
...
Planning to author data protection rules

Planificación para crear reglas de protección de datos

Última actualización: 05 abr 2025
Planificación para crear reglas de protección de datos

El objetivo de este tema es establecer una directriz sobre diseño de reglas de protección de datos para maximizar la protección que utiliza datos y atributos de usuario. Explore los pasos para crear reglas basadas en particiones identificadas utilizadas para formar conjuntos disjuntos de activos que se pueden controlar de forma efectiva utilizando reglas de protección de datos.

Considere un caso de uso de ejemplo en el que los activos de datos pueden contener términos empresariales como, por ejemplo, información personal confidencial (SPI), información de identificación personal (PII) y clases de datos como, por ejemplo, el número de seguridad social (SSN). Además, los usuarios pueden pertenecer a grupos de usuarios como, por ejemplo, ADMINISTRATORS, DATA STEWARDS y DEVELOPERS. Para simplificar este ejemplo, se presupone que la pertenencia a grupos de usuarios es desconjunta y utiliza reglas de protección de datos sin depender de la prioridad.

Recuerde:

El término partición significa una división lógica de un grupo de objetos. Por ejemplo, particionar todos los activos o usuarios para que estén en determinados conjuntos significativos basándose en sus atributos asignados.

Ilustración de la partición de activos en conjuntos lógicos mediante conjuntos de atributos asignados:

Un diagrama de Venn que muestra la partición de activos por atributos asignados.

Realice las tareas siguientes para crear reglas de protección de datos:

  1. Configuración de valores de regla.
  2. Identificar o particionar el activo y el espacio de usuario.
  3. Elección del resultado para cada partición.
  4. Definición de reglas para cada partición.
  5. Opcional: Definición de meta reglas dinámicas para el proceso de excepciones de decisión.

Configuración de valores de regla

  1. Establezca el convenio de acceso a datos. Puede elegir entre las dos opciones de convenio siguientes:
Valor de API Valor de interfaz de usuario Convención
AEAD
(valor predeterminado)		 Desbloqueado Valor predeterminado. Sigue la convención allow todo author deny (AEAD). Permite el acceso a los datos a menos que una regla lo deniegue. Escriba reglas que denieguen el acceso a los datos, enmascare los datos y filtre las filas de los datos.
DEAA Bloqueado Sigue el convenio deny todo author allow (DEAA). Deniega el acceso a los datos a menos que una regla lo permita. Puede escribir reglas que permitan el acceso a datos, enmascarar datos y filtrar filas de datos.
Consejo:

Si no se puede evaluar ninguna regla de transformación, el resultado toma de forma predeterminada las siguientes decisiones de convenio:

  • Deny para Bloqueado
  • Allow para Desbloqueado

Si un usuario intenta acceder a un activo y no se desencadena ninguna regla, el convenio determina uno de los siguientes resultados:

Deny
Cuando el convenio de acceso a datos se establece en la interfaz de usuario como Bloqueado o se configura en la API como DEAA, el resultado es Deny.
Allow
Cuando el convenio de acceso a datos se establece en la interfaz de usuario como Desbloqueado o se configura en la API como AEAD, el resultado es Allow.
  1. Establezca la prioridad de acción de regla. Elija una de las opciones siguientes para determinar el curso de acción que se debe llevar a cabo si se desencadenan varias reglas en conflicto al mismo tiempo para un activo específico y un usuario específico:
La acción más segura gana (valor predeterminado)
  • Si el convenio de acceso a datos se establece en la interfaz de usuario como Bloqueado o se configura en la API como DEAA, el orden de prioridad es la regla Transform y, a continuación, la regla Allow .
  • Si el convenio de acceso a datos se establece en la interfaz de usuario como Desbloqueado o se configura en la API como AEAD, el orden de prioridad es la regla Deny y, a continuación, la regla Transform .
La acción más indulgente tiene prioridad
  • Si el convenio de acceso a datos se establece en la interfaz de usuario como Bloqueado o se configura en la API como DEAA, el orden de prioridad es la regla Allow y, a continuación, la regla Transform .
  • Si el convenio de acceso a datos se establece en la interfaz de usuario como Desbloqueado o se configura en la API como AEAD, el orden de prioridad es la regla Transform y, a continuación, la regla Deny .

En un ejemplo del convenio Bloqueado (DEAA), si un usuario intenta acceder a un activo y se desencadenan dos reglas de forma que una regla transforma una o más columnas y la otra regla permite el acceso completo al activo, y se selecciona La acción más indulgente gana , el usuario puede acceder a todo el activo porque la regla Allow altera temporalmente la regla Transform .

  1. Establezca la prioridad del método de enmascaramiento de reglas. Elija una de las opciones siguientes:
El método con más privacidad gana (valor predeterminado)
El orden de prioridad de transformación es Redact, Substitutey, a continuación, Obfuscate.
El método con más utilidad tiene prioridad
El orden de prioridad de transformación es Obfuscate, Substitutey, a continuación, Redact.

Por ejemplo, si un usuario intenta acceder a un activo y se desencadenan dos reglas de forma que una regla redacta una columna determinada y la otra enmascara la misma columna, y se selecciona el Método con más ganancias de privacidad , dicha columna se redacta porque la regla Redact altera temporalmente la regla Obfuscate .

Para obtener más información sobre los valores de regla, consulte el tema Gestión de valores de regla . Además, consulte la siguiente captura de pantalla de la ventana Gestionar valores de regla donde puede configurar la interfaz de usuario.

Una captura de pantalla de la ventana Gestionar valores de regla

Identificación o particionamiento del activo y el espacio de usuario

  1. Anote los atributos del espacio de activos y los valores de los atributos que desea enmascarar o proteger para formar la base de las reglas de protección de datos. Ejemplos de atributos en el espacio de activos son clases de datos, términos empresariales, etiquetas y nombres de columna.
  2. Tome nota de los atributos del espacio de usuario y de los valores de los atributos que desea enmascarar o proteger para formar la base de las reglas de protección de datos. Ejemplos de atributos en el espacio de usuario son roles de usuario y grupos de usuarios.

Por ejemplo, considere la posibilidad de crear reglas basadas en los términos empresariales SPI y PII. Además, el atributo de usuario user group con los valores ADMINISTRATORS, DATA STEWARDSy DEVELOPERS. El espacio de activo y el espacio de usuario se pueden particionar tal como se ilustra en la tabla siguiente:

Término empresarial Grupo de usuarios
SPI ADMINISTRATORS
SPI DATA STEWARDS
SPI DEVELOPERS
SPI --
PII ADMINISTRATORS
PII DATA STEWARDS
PII DEVELOPERS
PII --
-- ADMINISTRATORS
-- DATA STEWARDS
-- DEVELOPERS
-- --
SPI, PII ADMINISTRATORS
SPI, PII DATA STEWARDS
SPI, PII DEVELOPERS
SPI, PII --

Un diagrama de Venn que ilustra este ejemplo con los activos particionados:

Diagrama de Venn que muestra este ejemplo con los activos divididos.

Elección del resultado para cada partición

Decida cuál es el resultado para cada combinación de los atributos y valores de ejemplo.

Término empresarial Grupo de usuarios Acción o resultado seleccionado
SPI ADMINISTRATORS ALLOW
SPI DATA STEWARDS REDACT (SPI)
SPI DEVELOPERS DENY
SPI -- DENY
PII ADMINISTRATORS ALLOW
PII DATA STEWARDS OBFUSCATE (PII)
PII DEVELOPERS REDACT (PII)
PII -- DENY
-- ADMINISTRATORS ALLOW
-- DATA STEWARDS ALLOW
-- DEVELOPERS ALLOW
-- -- DENY
SPI, PII ADMINISTRATORS ALLOW
SPI, PII DATA STEWARDS REDACT (SPI), OBFUSCATE (PII)
SPI, PII DEVELOPERS DENY
SPI, PII -- DENY

Un conjunto de resultados de ejemplo donde el verde indica Allow, el rojo indica Deny, el amarillo indica Obfuscatey el marrón indica Redact en los siguientes diagramas de Venn para cada grupo de usuarios:

Diagramas de Venn para cada grupo de usuarios.

La tabla de ejemplo y los diagramas ayudan a proporcionar claridad al comportamiento seleccionado para todas las particiones.

Definición de reglas para cada partición

En función del convenio, se pueden diseñar las reglas adecuadas Desbloqueado (AEAD) o Bloqueado (DEAA) para aplicar los requisitos de resultados. Por ejemplo, considere un escenario en el que se eligen los siguientes valores de regla:

  • Convenio: Bloqueado (DEAA) donde sin ninguna regla, ningún usuario obtiene acceso a ningún dato.
  • Prioridad de acción de regla: La acción más segura gana
  • Prioridad de método de enmascaramiento de reglas: El método con más privacidad gana

Con los valores y resultados especificados, las reglas se pueden diseñar con las reglas siguientes:

Regla 1
Condición
IF (userGroup contains ADMINISTRATORS)
Acción
ALLOW
Regla 2
Condición
IF (userGroup contains DATA STEWARDS) AND (businessTerm contains SPI)
Acción
REDACT (SPI)
Regla 3
Condición
IF (userGroup contains DATA STEWARDS) AND (businessTerm contains PII)
Acción
OBFUSCATE (PII)

Regla 4 Las reglas siguientes 4.1 y 4.2 son dos reglas diferentes para cada grupo de usuarios DEVELOPERS y DATA STEWARDS:

Regla 4.1
Condición
IF (userGroup contains DEVELOPERS) AND NOT (businessTerm CONTAINS {SPI, PII})
Acción
ALLOW
Regla 4.2
Condición
IF (userGroup contains DATA STEWARDS) AND NOT (businessTerm CONTAINS {SPI, PII})
Acción
ALLOW
Opcional La regla siguiente combina las reglas 4.1 y 4.2 en una sola regla:
Condición
IF (userGroup contains {DATA STEWARDS, DEVELOPERS}) AND NOT (businessTerm CONTAINS {SPI, PII})
Acción
ALLOW
Regla 5
Condición
IF (userGroup contains DEVELOPERS) AND (businessTerm CONTAINS PII) AND NOT (businessTerm CONTAINS SPI)
Acción
REDACT (PII)

Si se incluyen más atributos de activo o de usuario cuando se diseña la protección de datos, la tabla de resultados requiere columnas adicionales para enumerar todas las posibilidades.

Una captura de pantalla de Regla 2 en una interfaz de usuario:

Captura de pantalla de la Regla 2 en una interfaz de usuario.

Continuando con el ejemplo, considere la posibilidad de incluir otro atributo de activo, como una clase de datos con el valor SSN en el espacio de reglas. Para diseñar reglas en este escenario, repita las siguientes tareas anteriores con este nuevo particionamiento del espacio de activos:

Término empresarial Clase de datos Grupo de usuarios Acción o resultado seleccionado
SPI SSN ADMINISTRATORS ALLOW
SPI SSN DATA STEWARDS REDACT (SPI, SSN)
SPI SSN DEVELOPERS DENY
SPI SSN -- DENY
PII SSN ADMINISTRATORS ALLOW
PII SSN DATA STEWARDS OBFUSCATE (PII), REDACT (SSN)
PII SSN DEVELOPERS REDACT (PII, SSN)
PII SSN -- DENY
-- SSN ADMINISTRATORS ALLOW
-- SSN DATA STEWARDS REDACT (SSN)
-- SSN DEVELOPERS REDACT (SSN)
-- SSN -- DENY
SPI -- ADMINISTRATORS ALLOW
SPI -- DATA STEWARDS REDACT (SPI)
SPI -- DEVELOPERS DENY
SPI -- -- DENY
PII -- ADMINISTRATORS ALLOW
PII -- DATA STEWARDS OBFUSCATE (PII)
PII -- DEVELOPERS REDACT (PII)
PII -- -- DENY
-- -- ADMINISTRATORS ALLOW
-- -- DATA STEWARDS ALLOW
-- -- DEVELOPERS ALLOW
-- -- -- DENY
SPI, PII SSN ADMINISTRATORS ALLOW
SPI, PII SSN DATA STEWARDS REDACT (SPI, SSN), OBFUSCATE (PII)
SPI, PII SSN DEVELOPERS DENY
SPI, PII SSN -- DENY
SPI, PII -- ADMINISTRATORS ALLOW
SPI, PII -- DATA STEWARDS REDACT (SPI), OBFUSCATE (PII)
SPI, PII -- DEVELOPERS DENY
SPI, PII -- -- DENY

Diagramas de Venn para cada grupo de usuarios que incluye una clase de datos con el valor SSN en el espacio de reglas:

Diagramas Venn para cada grupo de usuarios que incluye una clase de datos con valor para el espacio de reglas.

Con el atributo añadido y los resultados seleccionados correspondientes, se modifican las reglas siguientes en el espacio de reglas:

Regla 6
Condición
IF (userGroup contains DATA STEWARDS) AND (dataClass contains SSN)
Acción
REDACT (SSN)
Regla 7
Condición
IF (userGroup contains DEVELOPERS) AND (dataClass contains SSN) AND NOT (businessTerm CONTAINS SPI)
Acción
REDACT (SSN)
Regla 4 ' (modificación de Regla 4)
Condición
IF (userGroup contains {DATA STEWARDS, DEVELOPERS}) AND NOT (businessTerm CONTAINS {SPI, PII}) AND NOT (dataClass CONTAINS SSN)
Acción
ALLOW

En su lugar, si el convenio elegido es Desbloqueado (AEAD), las reglas se pueden diseñar en los valores siguientes:

  • Convenio: Desbloqueado (AEAD) donde sin reglas, todos los usuarios obtienen acceso a todos los datos.
  • Prioridad de acción de regla: La acción más segura gana
  • Prioridad de método de enmascaramiento de reglas: El método con más privacidad gana
Término empresarial Grupo de usuarios Acción o resultado seleccionado
SPI ADMINISTRATORS ALLOW
SPI DATA STEWARDS REDACT (SPI)
SPI DEVELOPERS DENY
SPI -- DENY
PII ADMINISTRATORS ALLOW
PII DATA STEWARDS OBFUSCATE (PII)
PII DEVELOPERS REDACT (PII)
PII -- DENY
-- ADMINISTRATORS ALLOW
-- DATA STEWARDS ALLOW
-- DEVELOPERS ALLOW
-- -- DENY
SPI, PII ADMINISTRATORS ALLOW
SPI, PII DATA STEWARDS REDACT (SPI), OBFUSCATE (PII)
SPI, PII DEVELOPERS DENY
SPI, PII -- DENY
Regla 1
Condición
IF (userGroup contains DATA STEWARDS) AND (businessTerm contains SPI)
Acción
REDACT (SPI)
Regla 2
Condición
IF (userGroup contains DATA STEWARDS) AND (businessTerm contains PII)
Acción
OBFUSCATE (PII)
Regla 3
Condición
IF (userGroup contains DEVELOPERS) AND (businessTerm CONTAINS SPI)
Acción
DENY
Regla 4
Condición
IF (userGroup contains DEVELOPERS) AND (businessTerm CONTAINS PII)
Acción
REDACT (PII)
Regla 5
Condición
IF NOT (userGroup contains {ADMINISTRATORS, DATA STEWARDS, DEVELOPERS})
Acción
DENY

Si el atributo de activo, como la clase de datos con el valor SSN , se añade al espacio de reglas, las reglas se pueden modificar basándose en este nuevo particionamiento del espacio de activos.

Término empresarial Clase de datos Grupo de usuarios Acción o resultado seleccionado
SPI SSN ADMINISTRATORS ALLOW
SPI SSN DATA STEWARDS REDACT (SPI, SSN)
SPI SSN DEVELOPERS DENY
SPI SSN -- DENY
PII SSN ADMINISTRATORS ALLOW
PII SSN DATA STEWARDS OBFUSCATE (PII), REDACT (SSN)
PII SSN DEVELOPERS REDACT (PII, SSN)
PII SSN -- DENY
-- SSN ADMINISTRATORS ALLOW
-- SSN DATA STEWARDS REDACT (SSN)
-- SSN DEVELOPERS REDACT (SSN)
-- SSN -- DENY
SPI -- ADMINISTRATORS ALLOW
SPI -- DATA STEWARDS REDACT (SPI)
SPI -- DEVELOPERS DENY
SPI -- -- DENY
PII -- ADMINISTRATORS ALLOW
PII -- DATA STEWARDS OBFUSCATE (PII)
PII -- DEVELOPERS REDACT (PII)
PII -- -- DENY
-- -- ADMINISTRATORS ALLOW
-- -- DATA STEWARDS ALLOW
-- -- DEVELOPERS ALLOW
-- -- -- DENY
SPI, PII SSN ADMINISTRATORS ALLOW
SPI, PII SSN DATA STEWARDS REDACT (SPI, SSN), OBFUSCATE (PII)
SPI, PII SSN DEVELOPERS DENY
SPI, PII SSN -- DENY
SPI, PII -- ADMINISTRATORS ALLOW
SPI, PII -- DATA STEWARDS REDACT (SPI), OBFUSCATE (PII)
SPI, PII -- DEVELOPERS DENY
SPI, PII -- -- DENY
Regla 6
Condición
IF (userGroup contains {DATA STEWARDS, DEVELOPERS}) AND (dataClass contains SSN)
Acción
REDACT (SSN)
Consejo:

Para el convenio Desbloqueado (AEAD), si los activos con una etiqueta public y sin PII, SPIo SSN eran preferidos para ser accesibles para todos los usuarios, como por ejemplo el resultado seleccionado era Allow, la Regla 5 existente tendría que modificarse añadiendo los predicados adicionales siguientes:

Regla 5 ' (modificación del artículo 5)
Condición
IF NOT (userGroup contains { ADMINISTRATORS, DATA STEWARDS, DEVELOPERS } ) AND NOT (tag CONTAINS PUBLIC) AND ((businessTerm CONTAINS {SPI, PII}) OR (dataClass CONTAINS SSN))
Acción
DENY

(Opcional) Definición de meta reglas dinámicas para el proceso de excepciones de decisión

Las meta reglas dinámicas se crean para añadir excepciones para determinados superusuarios. Cuando se define una meta regla dinámica para un determinado usuario o grupo de usuarios, se omiten todas las reglas de protección de datos definidas en la sección Definición de reglas para cada partición y se otorga acceso a todos los activos a los usuarios de la meta regla dinámica. Por ejemplo, si un grupo de usuarios de SUPERADMINS necesita un acceso de superusuario, se puede definir la siguiente meta regla dinámica:

Meta regla dinámica
Condición
IF (userGroup contains SUPERADMINS)
Acción
ALLOW

Una meta regla dinámica sólo se define con la acción ALLOW en los sistemas Bloqueado y Desbloqueado .

Más información

Tema padre: Planificación de la implementación del gobierno de datos