anonym.legal

By · Last updated 2026-05-29

חזרה לבלוגטכני

צינור GDPR: אנונימיזציה לפני אחסון

תגיות עמודות dbt אינן ציות GDPR. נתוני לקוחות גולמיים מגיעים למחסן ה-Snowflake שלך בלתי מוסתרים לפני שמדיניות מבוססת-תגיות חלה.

May 29, 20268 דקות קריאה
data pipelinedbtSnowflakedata warehouseELT anonymizationGDPR engineering

צינור נתונים בטוח ל-GDPR: אנונימיזציה של PII לפני אחסון

עודכן ל-2026

תייגת את עמודות ה-PII שלך ב-dbt. הגדרת מיסוך דינמי ב-Snowflake. אתה מרגיש תואם GDPR.

תוכן המקור שלך עדיין נוחת במחסן בלתי מוסתר. מיסוך פועל בזמן שאילתה. התוכן הלא מוסתר יושב בסכמה הגולמית שלך. כל מי שיש לו גישה לסכמה גולמית יכול לקרוא אותו. מודלי ה-dbt שלך רצו לפני שמדיניות מיסוך הייתה קיימת. טבלאות שנובדו בעבר מעולם לא מוסכו.

הפער בין "יש לנו מדיניות מיסוך" ל"הצינור שלנו בטוח" הוא המקום שבו קורות הפרות GDPR.

ראו את סקירת הציות שלנו לאופן שבו anonym.legal תומכת ב-GDPR.

כיצד צינורות ELT חושפים PII

דפוס Extract-Load-Transform (ELT) הוא כעת הנורמה. הוא טוען נתוני מקור למחסן תחילה. טרנספורמציות מגיעות לאחר מכן. השלבים נראים כך:

  1. חילוץ: מערכות מקור מייצאות את כל השדות. Salesforce CRM, תשלומי Stripe, תמיכת Intercom — הכל יוצא.
  2. טעינה: נתוני מקור נוחתים בסכמת קליטת המחסן. Snowflake, BigQuery, Redshift — כולם פועלים באותו אופן. כל שדה PII כלול.
  3. טרנספורמציה: מודלי dbt מנקים ומצרפים נתונים לניתוח.

שכבת הקליטה מחזיקה מידע אישי מלא. שמות, כתובות אימייל, מספרי טלפון, פרטי תשלום, טקסט כרטיס תמיכה. בצוותים רבים, למהנדסים ולאנליסטים יש גישה לסכמה גולמית. הם יכולים לשאול בטבלאות אלה בכל עת.

מיסוך מבוסס-תגיות ב-Snowflake מסייע בזמן שאילתה. אך רק למודלים שהוגדרו כראוי. הוא לא מסתיר טבלאות שנובדו בעבר. הוא לא חוסם שאילתות סכמה ישירות. כל מודל ולוח מחוונים חייב להיות מתויג. הנטל הזה גדל ככל שהסכמה גדלה.

אנונימיזציה לפני טעינה

אנונימיזציה של PII ברמת הצינור מסירה סיכון שכבה גולמית. עשו זאת לפני שהתוכן נוחת במחסן.

גישת ETL (אנונימיזציה לפני טעינה):

  1. חילוץ ממערכות מקור
  2. הפעלה דרך שלב אנונימיזציה
  3. טעינת פלט נקי למחסן

המחסן לעולם לא מקבל PII לא מוסתר. סכמת הקליטה מחזיקה רק תוכן נקי. מודלים, לוחות מחוונים ושאילתות ישירות — כולם עובדים עם פלט נקי.

יש לכם שני מסלולים עיקריים.

אפשרות 1 — שילוב API:

למערכות עם webhooks או ייצוא הזרמה, נתבו ערכים דרך ה-API של anonym.legal תחילה. כרטיסי תמיכה שעוזבים את Intercom עוברים דרך ה-API לפני המחסן. ייצוא Stripe עושה את אותו הדבר.

POST /api/anonymize
{
  "text": "Customer John Smith (john@example.com) reported...",
  "entities": ["PERSON", "EMAIL_ADDRESS", "PHONE_NUMBER"],
  "method": "replace"
}

אפשרות 2 — עיבוד מקדים באצווה:

לייצוא קבצי CSV/JSON יומי או שבועי, הפעילו קבצים דרך עיבוד אצווה לפני הטעינה.

מבנה DAG של Airflow:

extract_task >> anonymize_batch_task >> load_to_warehouse_task

משימת האנונימיזציה מעלה קבצים ומקבלת בחזרה גרסאות נקיות. משימת הטעינה מטפלת בשאר.

ראו את דף נוהלי האבטחה שלנו לפרטי תהליך הנתונים וה-sub-processor.

מה תגיות עמודות dbt עושות ולא עושות

dbt מאפשר לכם לתייג עמודות PII:

models:
  - name: stg_customers
    columns:
      - name: email
        tags: ['pii', 'email']
      - name: full_name
        tags: ['pii', 'personal_data']

תגיות מאפשרות לכם:

  • לתעד היכן נמצא PII
  • להפעיל מדיניות מיסוך (דורש הגדרה ברמת המחסן)
  • לעקוב אחר שרשרת שימוש עם כלים כמו Secoda

תגיות לא:

  • מסתירות טבלאות שנובדו בסכמה הגולמית
  • חוסמות שאילתות טבלה ישירות
  • מאנונימיזות נתונים בזמן טעינה
  • מסתירות נתונים ישנים למפרע

תגיות עמודות dbt הן כלי ממשל. הן מראות לכם היכן נמצא PII. הן לא מיישמות "אמצעים טכניים מתאימים" שסעיף 32 ל-GDPR מחייב.

פער המיסוך של Snowflake

המיסוך הדינמי של Snowflake מסתיר תוכן עמודות ממשתמשים בזמן שאילתה. זהו בקרה חזקה לשימוש בייצור. אך יש לה מגבלות ברורות.

מגבלות עיקריות:

  • כל עמודה חדשה צריכה מדיניות מפורשת
  • שינויי סכמה עלולים להשאיר עמודות חדשות לא מוסתרות עד שתעדכנו מדיניות
  • תפקידי SYSADMIN ו-ACCOUNTADMIN יכולים לעקוף מיסוך
  • משרות ייבוא פועלות לעתים קרובות עם הרשאות גבוהות שמדלגות על מיסוך
  • נתונים ישנים שנטענו לפני שמדיניות הוגדרה מאוחסנים בצורה גלויה — מדיניות פועלת בזמן קריאה, לא בזמן כתיבה

מיסוך בזמן שאילתה אינו מספיק. נתונים חייבים להיות נקיים לפני שהם מאוחסנים.

תיעוד ציות

כלל האחריות של GDPR מחייב הוכחה. מילים אינן מספיקות. לצוותי הנדסה זה אומר תיעוד כתוב.

רשומות פעילויות עיבוד (ROPA): תעדו שמידע לקוחות מאנונימיז לפני שהוא נטען למחסן הניתוח. שלב האנונימיזציה הוא פעילות עיבוד לפי GDPR.

הערות אמצעים טכניים: כתבו אילו סוגי ישויות הצינור שלכם מכוון אליהם. ציינו שיטת האנונימיזציה שנעשה בה שימוש. יומני הפעלות אצווה נותנים לכם זאת בחינם.

שרשרת נתונים: Secoda או שרשרת ה-lineage המובנית של dbt יכולות להראות שטבלאות מקור זורמות דרך שלב אנונימיזציה לפני שהן מגיעות למודלי ניתוח. זהו שרשרת הביקורת שלכם.

רשימת ספקים: שירות האנונימיזציה הוא sub-processor. ה-DPA ומדיניות הפרטיות שלהם חייבות להיות ברשימת הספקים שלכם.

שלבי יישום

לצינור dbt ו-Snowflake:

שלב 1: בדיקת שכבת הגלם שלכם

מצאו אילו טבלאות מחזיקות מידע אישי. שאלו את תגיות עמודות dbt שלכם או את הקטלוג שלכם לטבלאות מתויגות PII.

שלב 2: הגדרת היקף האנונימיזציה

לכל טבלת מקור, החליטו אילו עמודות מחזיקות PII. ואז החליטו אילו צריכות אנונימיזציה ואילו פסאודונימיזציה. גוף כרטיס תמיכה: אנונימיזציה. מזהה הזמנה: פסאודונימיזציה לשמירת מפתחות צירוף. חותמת זמן: השאירו כפי שהיא לניתוח סדרות זמן.

שלב 3: בחירת מסלול יישום

צוות קטן עם ייצוא אצווה: השתמשו בעיבוד קבצי אצווה לפני הטעינה. צוות הנדסה זמין: בנו שילוב API ב-Airflow או Prefect.

שלב 4: בדיקה ואימות

הריצו אנונימיזציה על מדגם לפני הפעלה חיה. בדקו שמודלי dbt עדיין עובדים. חלק מהמודלים מצטרפים על אימייל. אלה צריכים ערכי החלפה עקביים. פסאודונימיזציה שומרת מפתחות צירוף. Redact שוברת אותם.

שלב 5: טיפול בטבלאות גולמיות ישנות

תוכן שנטען לפני שאנונימיזציה הייתה במקום דורש עיבוד מפרע. ייצאו, אנונימיזציה, טענו מחדש. זוהי משימה חד-פעמית לכל טבלה.

מסקנה

מיסוך מבוסס-תגיות מראה לכם היכן נמצא PII. הוא לא עוצר משתמשים עם גישה לסכמה מלקרוא אותו. לציות GDPR אמיתי, PII חייב להיות נקי לפני שהוא מגיע למחסן. זה הופך את שכבת הקליטה לבטוחה כמו שכבת הייצור.

זה קשה יותר מתיוג עמודות. אך זה מה ש"אמצעים טכניים מתאימים" אומר בפועל.

מקורות

מאמרים קשורים

טכני

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

טכני

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

טכני

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

מוכן להגן על הנתונים שלך?

התחל לאנונימיזציה של PII עם 285+ סוגי ישויות ב-48 שפות.

התחל ניסיון חינםצפה בתכונות

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.