Atjaunināts 2026. gadam
Audita verifikācijas problēma
Ārējiem recenzentiem jāpārbauda finanšu pārskatu pamatā esošie skaitļi. Tam viņiem vajadzīgi avota ieraksti.
Neatgriezeniskā aizrediģēšana neatgriezeniski izdzēš šos ierakstus. Pārbaudāmā informācija vairs nepastāv. Pārbaudes process tiek pārtraukts. Pastāvīgās dzēšanas rīki rada šo problēmu: tie aizsargā informāciju, iznīcinot tās lietderību.
Atgriezeniskā marķieru maskēšana novērš abus trūkumus. Sensitīvie lauki — klientu vārdi, darījumu nosacījumi, uzņēmumu ID — tiek aizstāti ar marķieriem. Recenzents saņem tīrus failus. Reālās vērtības paliek pieejamas ar laika ierobežojumu pieejamās atslēgas starpniecību.
Skatiet mūsu juridiskās atbilstības pārskatu un marķieru sistēmas rokasgrāmatu, lai uzzinātu, kā tas darbojas no sākuma līdz galam.
Kā darbojas ierobežotā piekļuve
Modelis piemērojams jebkuram audita uzdevumam.
Finanšu komanda aizstāj sensitīvos laukus pirms koplietošanas. Galvenais recenzents saņem ar konkrēto darbu saistītu piekļuves atslēgu. Audita laikā viņi var saskaņot marķierus ar reālajām vērtībām. Viņi var izsekot skaitļus līdz avota ierakstiem.
Kad audits noslēdzas, piekļuves atslēga tiek rotēta un atsaukta. Recenzenta kopijas nevar atšifrēt. Bijušie darbinieki, kas aizgāja pēc audita, nevar piekļūt ierakstiem.
Atbilstība SOX un GDPR prasībām
Sarbanes-Oxley 2. sadaļa nosaka, ka auditori var pārbaudīt visus materiālos ierakstus. SEC interpretē to kā pilnu piekļuvi nepieciešamajiem avota datiem. Maskēšana audita laikā ir pieļaujama tikai tad, ja pārbaudāmā informācija paliek pieejama ar autorizētu pieprasījumu. Atgriezeniskā šifrēšana atbilst šai prasībai: recenzents var pārbaudīt jebkuru skaitli jebkurā brīdī ar pareizajiem pilnvarojumiem.
GDPR 5(1)(e) panta prasības par datu minimizāciju sākotnēji šķiet pretrunā ar SOX revīzijas prasībām. Tomēr tās sader. Recenzentiem ir likumīgas intereses piekļūt datiem audita nolūkos saskaņā ar GDPR 6(1)(f) pantu. Atgriezeniskā šifrēšana nodrošina, ka piekļuve ir mērķtiecīga un ierobežota ar revīzijas periodu.
Starptautiskie ierobežojumi
Vairākas jurisdikcijas uzliek papildu ierobežojumus finanšu datiem.
Vācijā HGB 257. pants nosaka finanšu ierakstu glabāšanu 10 gadus. Attiecīgajos ierakstu elementos nedrīkst mainīt datus. Atgriezeniskā šifrēšana atbilst šai prasībai: sākotnējie dati saglabājas neskartus, maskēšana ietekmē tikai koplietošanas slāni.
Francijā Code de Commerce L.123-22. pants nosaka līdzīgas glabāšanas prasības. Tāpat kā Vācijā, šifrēšana nedrīkst mainīt ierakstu saturu — tā drīkst tikai regulēt, kas var tos redzēt.
Apvienotajā Karalistē FRC revīzijas standarti nosaka dokumentu pieejamību ASB pārskatīšanai piecus gadus pēc parakstīšanas. Piekļuves atslēgas drošai glabāšanai šajā periodā jābūt revīzijas plānā.
ISO 27001 konteksts
ISO 27001:2022 A.10.1.1. pielikums pārvalda kriptogrāfiskās atslēgas. Tas nosaka atslēgu dzīves cikla politiku: ģenerēšanu, glabāšanu, rotāciju un dzēšanu. Audita atslēgas atbilst tām pašām prasībām.
Praktiskajā nozīmē: atslēgas glabāšanas serverim jābūt ISO-sertificētam. Atslēgas rotācijai jāievēro definēts grafiks. Piekļuve atslēgai jāreģistrē: kurš pieprasīja, kad, kādam nolūkam.
Avoti
- Sarbanes-Oxley Act, 2. sadaļa — SEC
- ISO 27001:2022 A.10.1.1. pielikums — ISO katalogs
- VDAR 5(1)(e) pants — GDPR-Info
- IAPP: Finanšu pakalpojumu datu pārvaldība un atgriezeniskā anonimizācija — IAPP