Problemet med US-Centrerade PII-verktyg
De flesta PII-detekteringsverktyg byggdes i USA för amerikanska dataformat. Social Security Number — 9 siffror i formatet AAA-BB-CCCC, med dokumenterade områdesnummer, gruppnummer och serienummer — var det primära designmålet. Verktyg som byggts kring SSN-detektering upptäcker pålitligt SSN. De kan också upptäcka telefonnummer, e-postadresser och amerikanska körkortformat. De missar systematiskt identifierarformat som används i alla andra länder.
GDPR erkänner inte US-centrering som en efterlevnadsundantag. En tysk Steuer-ID (Steuerliche Identifikationsnummer) är ett 11-siffrigt skatteidentifikationsnummer utfärdat av Bundeszentralamt für Steuern, med en specifik kontrollsumma-algoritm validerad mot en kontrollsiffra. Det identifierar tyska medborgare lika personligt som ett SSN identifierar amerikaner. GDPR Artikel 4 definierar personuppgifter som "all information som rör en identifierad eller identifierbar fysisk person" — en Steuer-ID är personuppgifter enligt GDPR oavsett om ditt PII-verktyg känner till formatet.
GDPR-böter har utfärdats för EU-landsspecifik PII-exponering i datasystem som behandlade EU-medborgares data med verktyg som endast var konfigurerade för amerikanska format. Efterlevnadsgapet är inte teoretiskt — det har lett till verkställighetsåtgärder.
Den Europeiska Identifierarlandskapet
Omfattningen av det europeiska identifierartäckningsgapet:
Tyskland: Steuer-ID (11-siffrigt, kontrollsumma), Sozialversicherungsnummer (12-siffrigt, strukturellt format), Reisepass (10-siffrigt pass med specifika utfärdande myndighetskoder)
Frankrike: NIR/Numero de Securite Sociale (15 siffror som kodar kön [1], födelseår [2], födelsemånad [2], avdelning [2], kommun [3], registreringsnummer [3], kontrollnyckel [2]), Carte Vitale (kort med 15-siffrigt NIR), SIRET (14-siffrigt företagsidentifierare), SIREN (9-siffrigt)
Sverige: Personnummer (10-siffrigt, format YYMMDD-XXXX med de två sista siffrorna som identifierar födelsekommun i äldre nummer), Samordningsnummer (samordningsnummer för icke-residenter, liknande format med dag + 60)
Norge: Fodselsnummer (11-siffrigt, format DDMMYYNNNKK med kön i mitten siffror), D-nummer (samordningsnummer, dag + 40)
Brasilien: CPF (Cadastro de Pessoas Fisicas, 11-siffrigt med två kontrollsiffror), CNPJ (14-siffrigt företagsidentifierare)
Indien: Aadhaar (12-siffrigt biometriskt identitet, med Verhoeff-algoritm kontrollsiffra), PAN (10-teckens alfanumerisk för inkomstskatt)
Förenade Arabemiraten: Emirates ID (15-siffrigt: 784-födelseår-sekvens-kontroll)
En global HR-chef som behandlar löneuppgifter för anställda i 12 länder behöver ett verktyg som upptäcker alla 12 länders nationella ID-format i ett enda steg — utan att konfigurera 12 separata landspecifika verktyg eller underhålla 12 separata regex-bibliotek.
Arkitekturen för 285+ Entitetstyper
Biblioteket med 285+ entitetstyper täcker hela uppsättningen av identifierare för EU-medlemsstater, stora APAC-identifierare (Aadhaar, PAN, CPF, CNPJ, Emirates ID, thailändsk medborgar-ID) och amerikanska identifierare (SSN, EIN, körkort per stat) i en enda detektionsmotor. Biblioteket underhålls och uppdateras i takt med att landspecifika format utvecklas.
Källor: