Vaikimisi GDPR Rikkumine Teie Vaatlusvirnas
Enamik tehisintellekt meeskonde teavad, et nad käsitsevad isikuandmeid oma rakenduse andmebaasis. Vähemad auditeeritud oma juhtimine susteem sama rangusega.
GDPR artikkel 5(1)(e) nõuab, et isikuandmed salvestatud "mitte kauem kui on vajalik eesmärkidele, kusjuures isikuandmed töödeldakse" - salvestamise piirtamise põhimõte. Rakenduse andmebaaside jaoks on organisatsioonidel säilitamise poliitikud, kustutusotsused ja andmete vähendamise protsessid.
Rakenduse logidele on tüüpiline poliitika palju lihtsam: hoidke kõik 90 päevaks (või 6 kuud, või 1 aastaks) tegevuslikke ja turvakaitsete jaoks. Säilitamise periood juhitakse silumise ja auditi vajadustega, mitte isikuandmete analüüsimine.
Probleem: neid logisid sisaldavad isikuandmeid. Iga taotluse logi, mis sisaldab kasutaja e-posti aadressi, iga vealogi, mis jäädvustab valideerimise sisendi, iga juurdepääsu logi, mis kirjendab IP-aadressi - need on GDPR artikli 4(1) isikuandmeid. Organisatsioonil on GDPR õigus aluse küsimus vastamiseeks iga säilitamise perioodi.
Mida Tegelikult Satub Rakenduse Logidesse
Levinud veebirakendu logi formaatide uuring näitab PII laiust, mis koguneb:
Juurdepääsu logid (nginx/Apache):
- IP aadressid (otsene GDPR isikuandmed EDPB juhise alusel)
- Kasutaja agent stringid (võib kaasa aidata sõrmejälje tegemisele)
- Seanssi sõned (kui logitud)
Rakenduse logid (struktureeritud JSON):
- Kasutaja identifikaatorid (e-posti aadressid, kasutaja ID seotud profiilidega)
- Sisendi valideerimise vead (sageli sisaldavad vigane sisendiks - mis võib olla kasutaja päris andmed)
- Äri sündmuse logid (tellimuse ID seotud kliendi kontodele, toetus-pilete viiteid)
- Otsingu päringud (võib sisaldada isiku nimesid, aadressid)
API värava logid:
- Autoriseerimine päised (logitud osaliselt mõnes konfiguratsioonis)
- Päringu parameetrid (võib sisaldada kasutaja ID-sid, nimesid, e-postid)
- Taotluse/vastuse kehad (silumise logide konfiguratsioonis)
Andmebaasi päringu logid (aeglane päringu logid, audit logid):
- SQL päringud, k.a kus klausel e-mail = 'kasutaja@näide.com'
- Sõnasõnaline isikuandmed päringu parameetrite väärtus
Kogumine pole tahtlik. See on standardne logide harjumuste kõrvalmõju, mis oli disainitud silumine, mitte GDPR nõuetekohasuse jaoks.
EDPB Seisund IP Aadresside Logides
Euroopa andmete kaitse kaitsja on järjepidevalt hoitud, et IP aadressid on isikuandmed GDPR-i all - nad on "tuvastatavad", kuna internetiteenuse pakkujad saavad ühendada neid tellijatele, ja organisatsiooni konteksti, nad saavad tuua konkreetsetele kasutajatele.
Sel on otsene mõju logi säilitamise perioodil: juurdepääsu logid, millel on IP aadressid, on isikuandmete logid. Nginx juurdepääsu logide säilitamine 12 kuuks on isikuandmete säilitamine 12 kuuks. 12-kuune säilitamise nõuab õiguspärane alus artikkel 6 alusel, ja salvestamise piirtamise põhimõte nõuab, et säilitamise periood on vajalik konkreetse eesmärgi.
Enamik organisatsioone ei ole selgesõnaliselt analüüsinud oma logi säilitamise perioode selle raamistikul. "Me hoidame logisid 90 päevaks, kuna turvalisuse meeskond ütleb, et see on" on väide tegevusliku harjumuse kohta, mitte GDPR artikli 5(1)(e) analüüs.
Anonüümseerimise Tee GDPR Nõuetekohasusele
Praktilise tee logi GDPR nõuetekohasusele enamiku tehisintellekti meeskondade jaoks pole logi säilitamise vähendamine (millel on tegevuslik turvakaitsete õigustus), kuid anonüümseerimise logid enne pika tähtaja säilitamist.
Järguritatud säilitamise mudel:
0-7 päevad: Täielik toores logid säilitatud aktiivse silumine jaoks. Tegevuslik õigustus on selge; säilitamise periood on lühike piisavalt, et vältida salvestamise piirtamise probleeme enamiku organisatsioonidele.
7-90 päevad: Anonüümseeritud logid säilitatud trendi analüüsi ja turvalisuse seire jaoks. IP aadressid asendatud anonüümseeritud IP-dega; kasutaja meilid asendatud järjepidevate sõnedega; kontonumbrid maskeeritud. Tehniline metaandmed (ajatemplid, vea koodid, latentsus, järgud) säilitatud tegevuslik analüüsi jaoks.
90+ päevad (vajaduse korral): Ainult agregeeritud logi andmeid (sündmuse arv, vea määrad, latentsus jaotused) - pole individuaalse taseme kirjeid.
See mudel säilitab tegevuslik kasu iga säilitamise astmel sammal rahuldava salvestamise piirtamise põhimõtte: isikuandmete säilitamise periood on 7 päevaks; agregeeritud tegevuslik andmeid säilitatud kauem ilma isikuandmete avalikustamisele.
Struktuuri Säilitamine Vaatlus Kasutamiste Jaoks
Tehnilised nõuded logi anonüümseerimise jaoks, mis säilitab vaatluskasulik on strukturaalne säilitamine sisu asendamisega:
Säilitatud:
- JSON struktuuri ja võtme nimed
- Ajatemplid ja ajavahemike jadad
- Vea tüüpidele ja koodid
- HTTP meetodid, teed, staatuse koodid
- Latentsuse väärtused ja tegevuslik mõõdikud
- Äri sündmuse tüübid (tellimus paigutatakse, makse saab)
Asendatud:
- E-posti aadressid → kasutaja1@näide.com (järjepidev sõne päritolu e-posti kohta logi failis jooksul)
- IP aadressid → RFC 5737 dokumentatsiooni aadressed (192.0.2.x, 198.51.100.x)
- Konto numbrid → ACCT_XXXXX
- Telefoninumbrid → +XX XXX XXX XXXX
- Nimed vea kontekstist → [PERSON]
Järjepidevalt sõne asendamisega, tegevuslik analüüs on säilitatud: taotluse jälg järgi kasutaja1@näide.com kaudu 40 logi kirjed töötab identne selgemise jaoks sama e-posti aadressi - kuna sõne on järjepidev logi faili jooksul.
Agregeeritud mõõdikud on muulatud: vea määrad järgustiku kohta, latentsuse protsentiile, läbilaskevõime kalked - miski neid ei nõua teadmine päris e-posti aadressi kasutaja kes käivitas taotluse.
Praktiline Integreerimine Inseneride Meeskondade Jaoks
Django või Node.js rakenduse meeskonna jaoks, logi anonüümseerimise integreerimine näeb välja nagu:
Variant 1: Logi torujuhe integreerimine
- Fluentd/Logstash logi kohta viib lokaajid logisid
- Anonüümseerimise samm jookseb iga logi liin enne edastamist
- Vaatluse platvormi (Elastic/Datadog) saab anonüümseeritud logid
- Rakenduse logide kood muudatusi ei ole vaja
Variant 2: Öine köitega anonüümseerimise
- Toores logid kirjutatud kohaliku salvestusruumi
- Öine cron: anonüümitada eelmise päeva logid, kustuta toores versioon
- Anonüümseeritud logid laeva pika tähtaja salvestusruumi
- Toores logid säilitatud ainult 7 päevaks
Variant 3: Eelse jagamine anonüümseerimise
- Toores logid säilitatud sisemiselt asjakohasete juurdepääsu kontrollidega
- Kui jagamine välisele (pen testers, töövõtjad): käita anonüümseerimise enne juurdepääsu osutama
- Välised osapooled saab alati anonüümseeritud versioonid
GDPR nõuetekohasuse dokumentatsiooni: logi anonüümseerimise on "tehislik meede" GDPR artikli 32. Dokumenteerimine anonüümseerimise sammu - tööriist, konfiguratsiooni, säilitamise poliitika - on osa Töötlemise Tegevuste Kirjed (RoPA) nõutud artikkel 30.
Allikad: