Проблема накопления PII в документации
Внутренние базы знаний — Confluence, Notion, SharePoint, GitBook — накапливают специфический тип проблем с PII, практически полностью невидимый для стандартных инструментов соответствия: персональные данные клиентов, встроенные в скриншоты, используемые для документирования процессов.
Сценарий разворачивается в тысячах команд поддержки и операций:
Агент поддержки обнаруживает необычную конфигурацию аккаунта. Он делает скриншот страницы аккаунта клиента, чтобы задокументировать проблему для статьи в базе знаний. Скриншот содержит имя клиента в заголовке интерфейса, его адрес электронной почты в настройках аккаунта и данные подписки.
Статья базы знаний публикуется во внутренней вики. 150 агентов поддержки теперь могут получить к ней доступ. 12 подрядчиков, работающих из внешней службы поддержки, могут получить к ней доступ. Статья является полезной документацией того, как обрабатывать этот пограничный случай.
Три года спустя база знаний насчитывает 847 таких статей. Каждая содержит скриншоты аккаунтов клиентов. Клиенты, чьи данные аккаунта появляются в скриншотах, не давали согласия на это вторичное использование своих данных. Большинство не знает, что их данные хранятся во внутренней вики.
Воздействие GDPR: почему это не незначительная проблема
Анализ GDPR для скриншотов внутренней документации:
Минимизация данных (Статья 5(1)(c)): Персональные данные должны быть «адекватными, актуальными и ограниченными тем, что необходимо». Статья базы знаний о пограничных случаях конфигурации аккаунта не требует реального имени и адреса электронной почты клиента. Обезличенный скриншот (имя клиента размыто) будет столь же хорошо служить цели документирования. Включение реальных данных клиента не является необходимым.
Ограничение цели (Статья 5(1)(b)): Персональные данные, собранные для одной цели (взаимодействие с клиентом в сфере обслуживания), не могут быть перепрофилированы для другой цели (внутренняя документация процессов) без правового основания. Данные аккаунта клиента были собраны для предоставления услуг, а не для документирования внутренних пограничных случаев.
Контроль доступа (Статья 5(1)(f) и Статья 32): Надлежащие технические меры должны защищать персональные данные. Скриншоты аккаунтов клиентов в вики, доступной всем 150 агентам и подрядчикам — включая тех, кто может не иметь доступа к базовой системе аккаунтов клиентов — представляют собой ненадлежащий широкий доступ к персональным данным.
Право на стирание (Статья 17): Субъект данных, запрашивающий удаление своих персональных данных, имеет право на их удаление «без неоправданной задержки». Если его данные появляются в 23 статьях базы знаний в виде встроенных скриншотов, выполнение запроса на удаление требует поиска и обработки всех 23 статей — операционно сложная задача без систематического обнаружения.
Обход контроля доступа
Наиболее значимой проблемой соответствия со скриншотами в вики является создаваемый ими обход контроля доступа.
Организации поддержки обычно используют RBAC для контроля доступа к системам аккаунтов клиентов. Агенты уровня 1 имеют доступ к базовой информации аккаунта. Агенты уровня 2 имеют доступ к данным биллинга и технические детали. Менеджеры и администраторы имеют доступ к полному профилю аккаунта.
Когда агент уровня 2 создаёт статью базы знаний со скриншотом полного профиля аккаунта клиента, этот скриншот становится доступным всем пользователям вики — включая агентов уровня 1, которые не должны иметь доступ к данным биллинга, подрядчиков, у которых нет системного доступа вообще, и новых сотрудников во время адаптации.
Скриншот обходит RBAC-контроли системы аккаунтов клиентов. Персональные данные, которые RBAC был призван защищать, теперь доступны всем, кто имеет доступ к вики.
Практическое устранение: ретроспективное и перспективное
Для организаций, обнаруживших эту проблему в ходе аудита GDPR:
Ретроспективное устранение:
- Определить все страницы внутренней вики, включающие прикреплённые изображения
- Запустить обнаружение PII на изображениях для всех прикреплённых изображений
- Сортировка результатов: изображения с высокодостоверными обнаружениями PII помечаются для проверки
- Для помеченных изображений: заменить обезличенными версиями или добавить соответствующий контроль доступа к странице вики
- Задокументировать действия по устранению для записей подотчётности GDPR
Масштаб ретроспективного устранения зависит от размера базы знаний. Для трёхлетней базы знаний команды поддержки из 50 человек количество изображений может исчисляться тысячами. Пакетная обработка изображений делает это выполнимым; ключевым узким местом является проверка помеченных изображений людьми.
Перспективные меры контроля:
- Документирование процесса: все члены команды поддержки обучены обезличивать скриншоты перед использованием в вики
- Техническая поддержка: инструменты аннотирования скриншотов (размытие имён клиентов перед вставкой)
- Шаг проверки: назначенный рецензент утверждает статьи вики перед публикацией, специально проверяя наличие PII клиентов на изображениях
- Периодический аудит: ежеквартальное пакетное сканирование PII всех прикреплённых изображений вики
Минимально достаточная мера контроля (для команд с ограниченными ресурсами): Чек-лист публикации в вики, включающий «Удалите или размойте все имена клиентов, электронные почты и идентификаторы аккаунтов со скриншотов перед публикацией». Низкотехнологичный, неавтоматизированный, но создаёт документацию контроля.
Почему проблема усугубляется со временем
Без систематических мер контроля проблема PII во внутренней вики усугубляется со временем:
Объём: Каждая новая статья базы знаний со скриншотом клиента добавляется к общему воздействию PII. По мере роста команды поддержки и расширения базы знаний накопленный PII растёт пропорционально.
Забытые статьи: Статьи, документирующие устаревшие пограничные случаи, которые больше не встречаются, могут быть забыты в вики, но оставаться доступными — содержа PII от клиентов, которые с тех пор подали запросы на удаление.
Распространение между командами: Базы знаний часто становятся межфункциональными. Статья поддержки со скриншотами клиентов может быть передана команде продукта, инженерной команде или внешним подрядчикам в качестве контекста для запроса функции или отчёта об ошибке.
Накопление запросов на удаление: По мере накопления большего количества данных клиентов в вики реагирование на запросы на удаление становится более сложным. Без систематического обнаружения нет надёжного способа подтвердить, что все экземпляры информации субъекта данных были идентифицированы и удалены.
Для соответствия GDPR последовательный вывод: PII в базах знаний легче предотвратить, чем устранить. Перспективные меры контроля — внедрённые сейчас — позволяют избежать экспоненциально растущей проблемы устранения.
Источники: