Egy eszköz, 45 ország: 260+ entitástípus
A globális platformok egyszerre sok ország személyes adatait dolgozzák fel. Minden országnak saját azonosítóformátumai vannak. Minden formátumnak megvannak a maga szabályai. Egyetlen felderítő eszköznek mindet kezelnie kell. A legtöbb eszköz erre nem képes.
Az azonosítók fragmentációjának problémája
Egy 45 országban jelenlévő piactér nagyon különböző regisztrációs dokumentumokat kap. Egy brazil eladó CPF-számot ad meg. Ez 11 számjegyből áll, kettő közülük ellenőrző számjegy, amelyek egy meghatározott súlyozási képlet alapján működnek. Egy indiai eladó PAN-kártyát ad be. Ez 10 karaktert tartalmaz, ahol a betűk és számok rögzített pozíciókban szerepelnek. Egy német eladó Steuer-ID-t nyújt be, amely 11 számjegyből áll és Luhn-ellenőrzőösszeget használ. Egy holland eladó BSN-számot ad, amely 9 számjegyű és mod-11 validációt alkalmaz.
Mindegyik formátumnak eltérő hossza és felépítése van. Egy adott formátumra épített regex nem fogja megtalálni a többit. Egy széles „10–12 számjegy” minta túl sokat talál. Árakat, dátumokat és hivatkozási számokat is jelöl. A téves találatok gyorsan szaporodnak nagy mennyiségű adatnál.
A 40 azonosítós hézag
A legtöbb vállalati PII-eszköz körülbelül 40 azonosítótípussal érkezik. A leggyakoribbak:
- US társadalombiztosítási szám
- US útlevélformátum
- US jogosítvány
- Általános hitelkártya-formátumok Luhn-validációval
- E-mail-címek
- NANP formátumú telefonszámok
- IP-címek
Ezek jól lefedik az észak-amerikai megfelelőséget, de nem elegendők a globális működéshez.
Hogyan néz ki a hézag régiónként
Dél-Amerika: A brazil CPF és CNPJ a brazil adóhatóság ellenőrzőösszeg-algoritmusait használja. Az argentin CUIT egy másik súlyozott összegzési képletet alkalmaz. A kolumbiai NIT-nek saját validációs módszere van. Ezek egyike sem illeszkedik az USA-mintákhoz.
Ázsia: Az indiai PAN, Aadhaar, GSTIN és a Voter ID mindegyikének egyedi formátuma van. A japán My Number 12 számjegyből áll. A dél-koreai Resident Registration Number és a kínai személyi igazolvány szintén saját felismerőt igényel.
EU tagállamok: A teljes EU-lefedettséghez szükség van az összes 27 tagállam IBAN-formátumára, ahol mindegyiknek országspecifikus hossza és szerkezete van. Emellett szükséges az egyes nemzeti azonosítóformátum is: a német Steuer-ID, a francia NIR, a holland BSN, a lengyel PESEL, a svéd Personnummer, a szlovén EMŠO, a horvát OIB, a bolgár EGN és a román CNP.
Mit fed le a 260+ entitástípus
Egy 260+ entitásos könyvtár lefedi az összes 27 EU tagállam személyi igazolványát, validálja az összes EU IBAN-formátumot, és kiterjed a dél-amerikai azonosítókra: brazil CPF és CNPJ, argentin CUIT, kolumbiai NIT. Fedi az ázsiai azonosítókat: indiai PAN, Aadhaar, GSTIN, japán My Number, koreai RRN. Tartalmazza az UK azonosítóit: NI Number, NHS Number, NINO variánsok. Lefedi az egészségügyi azonosítókat: US NPI, DEA-számok, kórházi MRN formátumok. Fedi a pénzügyi azonosítókat: SWIFT kódok, BIC formátumok, számlaszám-minták.
Miért megfelelőségi kérdés a felderítési lefedettség
Minden szabályozási keret megköveteli, hogy az azonosítóit megtalálják és védjék. A GDPR az EU-s eladók adatait fedi. Az LGPD a brazil eladók adatait védi. India DPDP-törvénye az indiai eladók adatait szabályozza.
„Megfelelő védelem” azt jelenti, hogy az eszköz megtalálta az azonosítót. Egy elmaradt Aadhaar nem konfigurációs hiba – hanem lefedettségi hiba. Globális platformok esetén ez a különbség a részleges megfelelés és a valódi védelem között.
Egy 260+ entitással bíró, egyszeri telepítéssel mindezek a joghatóságok kezelhetők. Nincs szükség külön regionális eszközökre, külön feldolgozási folyamatokra, illetve kézi kiegészítésre azon formátumokhoz, amelyeket egy 40 felismerős eszköz kihagyna.
A lefedettség és a GDPR-kötelezettségek kapcsolatáról részleteket a GDPR megfelelőségi forrásokban talál. Az auditnaplóról és frissítési szabályzatról lásd a biztonsági és megfelelőségi részleteket.