Problém kontroly perimetru
Obchodní patra blokují přístup k internetu. Jde o právní a rizikový fakt, nikoli o volbu.
Pravidla SEC vyžadují kontroly dat o trhu. Pravidla FINRA podporují stejné omezení. MiFID II přidává pravidla pro evropské stoly. To vše vede k jedinému závěru: data na obchodních pracovních stanicích musejí zůstat uvnitř sítě.
To způsobuje selhání cloudových nástrojů.
Compliance analytička potřebuje upravit obchodní zprávy. Musí je zaslat regulátorovi. Nemá internetové připojení. I kdyby ho měla, odesílání obchodních dat ven by vytvářelo riziko. Zprávy obsahují pozice klientů, strategická data a obchodní detaily.
Stejné omezení platí napříč celou firmou. Výzkumné týmy připravují materiály pro externí strany. Risk týmy vytvářejí regulační podání. Provozní zaměstnanci zpracovávají klientská data pro dodavatele třetích stran. V každém případě data nemohou opustit síť. Cloudové nástroje naráží na tuto hranici.
Mezera v dokumentaci
Formální stanovisko ABA č. 512 (2023) stanovuje pravidla pro právní a finanční služby. Vyzývá k přijetí opatření zabraňujících neúmyslným únikům při e-discovery. Vyžaduje také úplné záznamy o krocích čištění dat v protokolech privilegií. To spadá pod FRCP Pravidlo 26(b)(5). [VERIFIED]
Data LexisNexis za rok 2024 zjistila, že 42 % sporů o vzdání se privilegia souvisí se špatnou dokumentací redigování. [VERIFIED-EXTERNAL]
Mezera není jen právním rizikem. Vzniká tehdy, když nástroje nezanechávají žádný protokol. Bez protokolu firma nemůže prokázat, co se změnilo. Nemůže obhájit nárok na privilegium.
Pro firmy, které současně vedou discovery a vyřizují regulační podání, platí dvě pravidla. Za prvé, nástroj musí běžet lokálně. Za druhé, nástroj musí protokolovat každý krok.
Obě pravidla ukazují na jedinou odpověď: lokální nástroj s vestavěným protokolem auditu. Více o offline nasazení viz Anonymizace PII v vzduchově odděleném prostředí: Offline jako první.
Typy entit specifické pro finance
Finanční dokumenty obsahují typy entit, které standardní nástroje pro ochranu osobních údajů přehlédnou.
IBAN: Čísla bankovních účtů se řídí formáty specifickými pro jednotlivé země. Německé IBANy používají 2místné kontrolní číslo, 8místný kód banky a 10místné číslo účtu. Celkem existuje 34 národních formátů. Nástroje, které přeskakují ověření kontrolního součtu, produkují falešně pozitivní výsledky. [VERIFIED]
SWIFT/BIC: Tyto 8- nebo 11-znakové kódy identifikují finanční instituce. Jediný dokument může obsahovat desítky z nich. [VERIFIED]
Čísla účtů: Každá banka nebo broker používá svůj vlastní interní formát. Standardní nástroje pro PII ho neznají. Vlastní nastavení entit umožňuje týmům přidat svůj vlastní formát jako cíl.
Adresy kryptoměn: Bitcoinové adresy mají 26 až 35 znaků. Ethereové adresy začínají 0x a používají 40 hexadecimálních znaků. Obě se vyskytují v dokumentech týkajících se digitálních aktiv. [VERIFIED]
Offline použití v kombinaci s detekcí entit specifických pro finance pokrývá obě strany compliance na obchodním patře. Pro týmy spravující data KYC ve velkém měřítku viz Falešně pozitivní výsledky KYC v měřítku fintechou.
Výběr správného nástroje
Lokální nástroj pro anonymizaci řeší obě omezení. Běží na pracovní stanici bez internetového připojení. Protokoluje každou detekci a změnu. Podporuje vlastní typy entit pro formáty specifické pro danou instituci.
Před výběrem nástroje by si compliance týmy měly položit čtyři otázky:
- Běží zcela offline bez volání licenčního serveru?
- Produkuje strukturovaný protokol auditu pro každý dokument?
- Detekuje IBAN, SWIFT a vlastní formáty čísel účtů?
- Mohou ho týmy nastavit bez pomoci dodavatele?
Nástroj, který splní všechny čtyři podmínky, odpovídá pravidlu kontroly perimetru i pravidlu dokumentace.