anonym.legal

By · Last updated 2026-06-05

بازگشت به وبلاگامنیت هوش مصنوعی

نشت اطلاعات شخصی از طریق اسکرین‌شات در ابزارهای داخلی

Slack، Teams، Jira و ایمیل به‌طور منظم اسکرین‌شات‌هایی با اطلاعات شخصی مشتریان دریافت می‌کنند. این نقض کنترل دسترسی، همه ابزارهای DLP را دور می‌زند.

June 5, 20266 دقیقه مطالعه
screenshot PIIinternal toolsGDPR compliancedata leakageJira Slack security

نقطه کور DLP که هنوز ممیزی نشده است

ابزارهای DLP ترافیک شبکه، فایل‌های ایمیل و انتقال فایل را رصد می‌کنند. صفحات گسترده با ستون‌های SSN را شناسایی می‌کنند. ایمیل‌هایی با لیست مشتریان را علامت می‌زنند. آپلودهای دارای سوابق پزشکی را مسدود می‌کنند.

اما اسکرین‌شات‌ها را شناسایی نمی‌کنند.

یک اسکرین‌شات یک فایل تصویری است. اطلاعات شخصی داخل آن به صورت پیکسل رسم شده است. به عنوان متن ذخیره نشده است. موتورهای DLP که الگوهای اطلاعات شخصی را اسکن می‌کنند هیچ چیزی پیدا نمی‌کنند.

هر روز، کارمندان اسکرین‌شات‌ها را در Slack، Jira، Teams و زنجیره‌های ایمیل می‌چسبانند. هیچ هشدار DLP فعال نمی‌شود.

نحوه گسترش اطلاعات شخصی از طریق اسکرین‌شات در محل کار

کار از راه دور و هیبریدی اشتراک‌گذاری اسکرین‌شات را رایج کرده است. ابزارهای داخلی هر روز پر از آن‌ها می‌شوند.

اعضای تیم اسکرین‌شات برای زمینه‌دهی سریع می‌فرستند:

  • عوامل پشتیبانی نمای حساب مشتری را برای اشتراک با سرپرستان می‌گیرند.
  • توسعه‌دهندگان گزارش‌های خطایی که شامل داده‌های ورودی کاربر است را به اشتراک می‌گذارند.
  • مدیران حساب برای دادن زمینه به تیم‌های مالی، رکوردهای CRM می‌فرستند.
  • مدیران IT نمای سیستم را برای مستندسازی تنظیمات برای پیمانکاران ضبط می‌کنند.

هر پیوست ممکن است اطلاعات شخصی داشته باشد. یک اسکرین‌شات حساب مشتری شامل نام، ایمیل، وضعیت و آدرس صورت‌حساب است.

مشکل کنترل دسترسی

اشتراک‌گذاری اسکرین‌شات‌ها همچنین یک مشکل کنترل دسترسی ایجاد می‌کند.

اکثر سازمان‌ها کنترل‌های دسترسی مبتنی بر نقش (RBAC) در سیستم‌های تولید اعمال می‌کنند. یک عامل پشتیبانی فقط رکوردهای صف خود را می‌بیند. یک پیمانکار فقط فایل‌های پروژه تخصیص‌داده‌شده را می‌بیند.

وقتی یک عامل یک رکورد مشتری می‌گیرد و آن را در یک کانال Slack با پیمانکاران می‌چسباند، کنترل دسترسی دور زده می‌شود. پیمانکار به اطلاعات شخصی دسترسی پیدا می‌کند که از مسیرهای عادی قادر به دسترسی به آن‌ها نبود. توافقنامه پردازش داده برای کار پیمانکاری ممکن است این انتقال را پوشش ندهد.

این دور زدن یک مسئله ماده ۵(۱)(ف) GDPR است. یکپارچگی و محرمانگی را پوشش می‌دهد. همچنین ممکن است مشکلات همراستایی ماده ۲۸ ایجاد کند اگر پیمانکاران اطلاعات شخصی بدون توافقنامه‌های پردازش داده مناسب دریافت کنند. راهنمای انطباق GDPR ما را برای چک‌لیست وظایف ماده ۲۸ ببینید.

شناسایی اطلاعات شخصی در تصویر به عنوان حفاظ فنی

حفاظ فنی برای مواجهه با نشت اطلاعات شخصی از طریق اسکرین‌شات، OCR به علاوه شناسایی NLP است. مراحل ساده هستند:

  1. کارمند یک صفحه از رابط مشتری را اسکرین‌شات می‌گیرد.
  2. قبل از اشتراک‌گذاری: اسکرین‌شات را به یک ابزار شناسایی آپلود می‌کند.
  3. ابزار متن قابل مشاهده را از طریق OCR استخراج می‌کند.
  4. NLP موجودیت‌های اطلاعات شخصی را در متن پیدا می‌کند.
  5. کارمند گزارشی می‌بیند: «این اسکرین‌شات شامل: [نام مشتری]، [آدرس ایمیل]، [شناسه حساب] است."
  6. کارمند سپس اطلاعات شخصی را حذف می‌کند، دامنه اشتراک‌گذاری را محدود می‌کند، یا با یک دلیل مکتوب ادامه می‌دهد.

این همه اشتراک‌گذاری‌ها را مسدود نمی‌کند. اطلاعات شخصی را قبل از انتقال نمایش می‌دهد. مردم می‌توانند تصمیم‌های آگاهانه بگیرند. ببینید این چطور در صفحه حفاظ‌های امنیتی با stack حفاظتی شما متناسب است.

مطالعه موردی: خط‌مشی اسکرین‌شات Jira یک میزخدمت SaaS

میزخدمت یک شرکت SaaS از Jira برای ثبت مشکلات حساب استفاده می‌کرد. فایل‌های پیوست‌شده به آن تیکت‌ها حاوی اطلاعات شخصی کاربران بود:

  • آدرس‌های ایمیل کاربران از صفحات مدیریت حساب
  • جزئیات پلان اشتراک
  • مبالغ و تاریخ‌های صورت‌حساب
  • داده‌های پرداخت جزئی در برخی موارد

یک ممیزی GDPR ۸۴۷ تیکت Jira را در طول ۱۸ ماه پیدا کرد. همه دارای پیوست‌های اطلاعات شخصی بودند. Jira برای همه ۲۰۰ مهندس باز بود. برخی پیمانکارانی بودند که توافقنامه پردازش داده برای سوابق صورت‌حساب مشتری نداشتند.

مراحل اصلاح:

  1. ممیزی گذشته‌نگر: شناسایی اطلاعات شخصی در همه پیوست‌های موجود. ۳۱۲ تیکت برای بررسی DPO علامت‌گذاری شد.
  2. پاکسازی تیکت: ۸۹ تیکت قبل از پیوست مجدد تاریک شدند.
  3. تغییر فرآیند: جریان کاری جدید نیازمند بررسی اطلاعات شخصی قبل از پیوست Jira.
  4. آموزش: یک جلسه ۱۵ دقیقه‌ای برای همه کارکنان میزخدمت.

نتایج پس از ۹۰ روز:

  • حوادث اطلاعات شخصی در Jira: کاهش ۹۰ درصدی
  • حوادث باقیمانده: مواردی که کارکنان با دلیل تشخیصی مکتوب ادامه دادند
  • دامنه توافقنامه پردازش داده: بروزرسانی برای کاهش قرار گرفتن غیرضروری پیمانکاران در معرض اطلاعات شخصی

ادغام بررسی اسکرین‌شات در جریان‌های کاری تیم

برای سازمان‌هایی که کنترل‌های اطلاعات شخصی می‌خواهند بدون کند کردن عملیات، چندین گزینه وجود دارد.

گزینه سبک: یک ابزار مرورگر که کارمندان قبل از چسباندن در Slack یا Jira استفاده می‌کنند. اسکرین‌شات را بکشید، در پنج ثانیه گزارش اطلاعات شخصی دریافت کنید، سپس ادامه دهید یا حذف کنید.

هوک Jira یا ServiceNow: شناسایی که قبل از رسیدن فایل‌ها به تیکت‌ها اجرا می‌شود. مثل اسکن ویروس قبل از آپلود فایل عمل می‌کند.

ربات Slack: یک ربات که پیوست‌های اسکرین‌شات در کانال‌های انتخاب‌شده را دریافت می‌کند. شناسایی اطلاعات شخصی را اجرا می‌کند. یک پاسخ در رشته با موجودیت‌های شناسایی‌شده ارسال می‌کند.

هنجار تیم به علاوه نمونه‌گیری: یک بررسی خودکار هفتگی. ۱۰ درصد از اسکرین‌شات‌ها در ابزارهای همکاری را نمونه‌گیری کنید. شناسایی را اجرا کنید. یافته‌ها را به سرپرست تیم گزارش دهید.

برای سوابق GDPR: کنترل اطلاعات شخصی اسکرین‌شات به عنوان یک «اقدام سازمانی» تحت ماده ۳۲ محسوب می‌شود. صفحه انطباق ما را برای چارچوب حقوقی گسترده‌تر ببینید.

منابع

مقالات مرتبط

امنیت هوش مصنوعی

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

امنیت هوش مصنوعی

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

امنیت هوش مصنوعی

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

آماده‌اید داده‌های خود را محافظت کنید؟

شروع به ناشناس‌سازی PII با بیش از ۲۸۵ نوع نهاد در ۴۸ زبان.

آغاز دوره آزمایشی رایگانمشاهده ویژگی‌ها

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.