anonym.legal
Itzuli BlogeraGDPR & Betetze

PII Tresnaren Fragmentazioaren Ezkutuko Kostua...

Lau tresna desberdin, lau workflow desberdin, hau da lau entitate-detekzio multzo desberdinek eta lau audit-trail desberdinek.

April 21, 20267 min irakurri
compliance audittool fragmentationISO 27001GDPR controlsPII tools

Zer Ikus Dezaketen Auditoreak PII Kontrolei Buruz Galdetzen Dutenean

GDPR gainbegiraleko autoritateak egiten dituzten audit-etan edo ISO 27001 ebaluazioetan, ohiko galdera bat honakoa da: "Zer kontrole teknikoak dituzue PII anonimizaziorako?"

Auditorea erantzun garbi eta defendagarri bat bilatzen dabil: kontrol bat zehatz-mehatz, konsistenteki aplikatua, nola dabil dokumentazioarekin eta hearen eraginkortasunaren froga.

Kompliantzaren arriskua sortu dezakeen erantzuna: "Kontestua arabera tresna desberdinak erabiltzen ditugu. Web-arakatzean Chrome Extensioa, Word dokumentuetan makro bat, bilduma fitxategia prozesuatzean gure datu-taldearen Python script-a, eta besterik gabe, web-aplikazioa."

Erantzun horrek ondoan galdera bat dakar: "Zer desberdintasunak daude tresna horien artean detekzioaren estentsioetan? Nola bermatzen duzue emaitzak konsistenteak izan daitezela tresnen artean? Non dago audit-trail-a, tresnen artean konsistenteki aplikatua dela frogatzeko?"

Hauek galderei fragmentatutako tresnentzako ez zaie erantzun garbi bat ematen.

Estentsio-Konsistentziaren Arazoa

PII detektatzeko tresna desberdinak detekzio-hurbilketa desberdinak erabiltzen dituzte:

Regex-bakarrik tresnak: Eredu zehatzak bilatzen dituzte (SSN formatua, email formatua, kreditu-txartelen formatua). NER oinarritutako entitateetan galtzen dira (nortasun-izenak, zerrenda ezaguna ez den erakundeak), kontestazko identifikatzaileak, eta ez-AEB formatuak.

NER-bakarrik tresnak: Trena ereduekin entitate-mota detektatzea. Eredu-oinarritutako entitateetan galtzen dira (IBAN, zenbaki-kontuak zenbaki-formatua duten), erakundeetako identifikatzaile pertsonalizatuak, eta entitate ez-tren datuetan.

Tresna A vs. Tresna B vs. Tresna C: Bakoitzak entitate-mota estentsio desberdina du, confidence-ataria desberdina, eta ertza-kasuak maneiatzeko modu desberdina. Tresna A eta C bidez prozesatzen den dokumentu bera emaitza-detekzio desberdinak ekar ditzake.

Kompliantzaren arazoa: Tresna A (PDF-entzako) jaiotze-data detektatzea, Tresna B (Excel-entzako) ez bada, gero datu-subjektuaren jaiotze-data anonimizatua dago PDF-ean, baina ez dago anonimizatua Excel-en. Kontrole sistematikoaren ariko hutsunea dokumentu-formatu araberako arazoa da.

DPA ikerketetan, ariko hori deskubritzeko dago. Datu-sartze bat gertatuz gero, eta ikerketak erakutzi badu Excel-en datu-subjektuaren erregistroak anonimizatu ez zirenaren bitartean PDF-ean zirenaren bitartean, tresnen arteko deskontsistentzia kontaminazioaren kontribuidore da.

Audit-Trail-aren Arazoa

Kompliantzaren dokumentazioak kontrolak konsistenteki aplikatua frogatzeko froga behar du. PII anonimizazioaren kasuan, froga hau audit-trail-a da: zer prozesatu zen, noiz, nork, zein tresna, eta zer zen emaitza.

Lau tresna desberdinak lau audit-trail formato desberdina sortzea — edo audit-trail-rik ez. Word makroak ez du sarbide-erregistrorik. Python script batek agian fitxategi lokal baten idatzia sortzea. Chrome Extensioak agian sarbidea-aldetako sarbidea sortzea, eta ez zaie compliance-dokumentaziori atzitzea. Web-aplikazio bakarrik agian zentratu egiten duen audit-trail-a.

DPA ikerketarik behar duen audit-trail-aren frogarik, erantzuna "dokumentu hau Word makroan prozesatu genuen, erregistro horiek garatzailearen ordenagailuan daude" ez da nahikoa. Erantzun nahikoa hau da: "Hona zentratutako audit-trail-a, anonimizazioaren prozesu guztiak mota desberdinean, eskatutako aldia."

Plataforma bakarraren prozesua zentratutako audit-trail estentsio batentzat. Fragmentatutako tresna zentratu audit-trail ezinezkoa da.

Konfigurazioaren Deribaren Arazoa

Denbora-galera zehar, tresna desberdinak erabiltzen dituzte talde-kideen konfigurazio desberdinak garatzen:

  • Chrome Extensioa erakundaren entitate-mota pertsonalizatuarekin konfiguratu da
  • Python script-a ez da eguneratu entitate-mota pertsonalizatuak gehitzean
  • Word makroa talde-kideren batek ez dakarren gaur konfiguratu da, eta inoiz ez daki ezarri gaur daudela
  • Web-aplikazio preset-a hilabete bat atzean eguneratu zen kontratista-izenetik baztertzeko, baina egite ez eguneratu da tresna gainera

Konfigurazioen deribak deskontsistentziaren arazoa sortzea dagozkalea: nahiz eta tresna guztiekin emaitzak antzakoak izanez gero, eskolapena errakuntza tresna batean ez eguneratzioak beste tresnen bezperan garapena sor dezake.

ISO 27001 kontrolentzat, konfigurazio-dokumentazioaren eskakizunak honakoa bereziki berandu. ISO auditor bat "PII anonimizazioaren kontrolen konfigurazioa erakutsi" eskatuz, ezin zara "lau tresna lau konfigurazio desberdin ditugu, ez gaude nola eziaren» erantzut berean.

ISO 27001 Aurkikuntzaren Kasua

Compliance kontsulta-enpresa baten 15 pertsona-taldeak lau tresna ezberdina erabiltzen zuen: web-datuak online datuetan, Windows desktop tresna bularren fitxategientzat, Word makro auzitegi-dokumentuentzat, eta Chrome extensioa AI tresnentzat.

ISO 27001 auditak aurkikuntzak sortu zuten: "Plataformen artean anonimizazio-prozedurak deskontsistentzeak. Tresna desberdinak kontestua arabera erabiltzen ez dituzte detekzio emaitza desberdinak sortzea eta zentratutako audit-trail-a ez. Honek kontrole-ariko hutsunea sortzea ISO/IEC 27001:2022 Annexa A 8.11 (Datu-maskara) — kontrola ez zaie konsistenteki aplikatua frogatzea ahaldetzen."

Auditaren aurkikuntzak zuzentzeko konpromesua eskatzen zuen. Zuzentzea sortu zuen: konsolidatzea anonimizazio-plataforma baterako benetako erabilera kasuen guztientzat.

Emaitzak konsolidazioaren ondoren:

  • Mota-detekzio-motore bera plataformen guztien artean (Web App, Desktop App, Office Add-in, Chrome Extension)
  • Preset bera aplikatua kontestua arabera
  • Zentratutako audit-trail guztien anonimizazioaren prozesua
  • ISO 27001 aurkikuntzak itxita hurrengo kontrolaren auditan

6 asteko konsolidazio proiektuak ariko aurkikuntzarik ez egitearen hartua 12 orrialde-erantzunaena.

Kompliantzaren Narratiboen Proba

Proba baliagarri honakoa PII tresnen fragmentazioa ebaluatzeko: honako galderei erantzun garbi bat eman dezakete?

  1. Zer entitate-motak detektatu egiten dira zure plataforma guztien artean PII anonimizaziorentzat erabiltzen dituztela?
  2. Zer da detekzio-threshold-a (confidence mailoa) entitate-mota bakoitzerako, konsistenteki plataforma guztien artean?
  3. Non dago zentratutako audit-trail-a anonimizazio-prozesu guztientzat 12 hilabetean?
  4. Nola bermatzen duzue konfigurazio-aldaketa konsistenteki aplikatua den plataforma guztien artean?

Galdeetatik bat hesitazio-erantzun bat sortzen badu, fragmentazioa kompliantzaren arriskua sortzen ari da. Erantzun garbi honakoa lau galdeekin ahaldetzen da — baina benetako motor batekin plataformen artean bakarrik.

Iturriak:

Lotutako Artikuluak

GDPR & Betetze

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR & Betetze

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR & Betetze

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Prest zure datuak babesteko?

Hasi PII anonimizatzen 285+ entitate mota 48 hizkuntzatan.

Hasi Probako BertsioaIkusi Ezaugarriak