anonym.legal

By · Last updated 2026-06-05

Rudi kwa BlogUsalama wa AI

PII za Picha za Skrini: Uvujaji katika Zana za Ndani

Slack, Teams, Jira, na barua pepe mara kwa mara hupokea picha za skrini zenye PII za wateja. Ukiukaji huu wa udhibiti wa ufikiaji unapita zana zote za DLP.

June 5, 20266 dakika kusoma
screenshot PIIinternal toolsGDPR compliancedata leakageJira Slack security

Pengo la DLP Ambalo Haujafanya Ukaguzi

Zana za DLP zinafuatilia trafiki ya mtandao, faili za barua pepe, na uhamishaji wa faili. Zinanasa lahajedwali zenye safu za SSN. Zinaashiria barua pepe zenye orodha za wateja. Zinazuia upakiaji wa rekodi za matibabu.

Hazinasi picha za skrini.

Picha ya skrini ni faili ya picha. PII ndani yake imechorwa kama pikseli. Haihifadhiwi kama maandishi. Injini za DLP zinazotafuta mifumo ya PII hazipati chochote.

Kila siku, wafanyakazi hubandika picha za skrini kwenye Slack, Jira, Teams, na minyororo ya barua pepe. Hakuna tahadhari za DLP zinazotumwa.

Jinsi Picha za Skrini Zinavyoeneza PII Kazini

Kazi ya mbali na ya mseto ilifanya kushiriki picha za skrini kuwa jambo la kawaida. Zana za ndani zimejaa nazo kila siku.

Wanachama wa timu hushiriki picha za skrini kwa muktadha wa haraka:

  • Mawakala wa msaada huchukua maoni ya akaunti za wateja ili kushiriki na viongozi wa timu.
  • Wasanidi programu hushiriki kumbukumbu za makosa ambazo zinajumuisha data iliyoingizwa na mtumiaji.
  • Wasimamizi wa akaunti hutuma kumbukumbu za CRM kutoa muktadha kwa timu za fedha.
  • Wasimamizi wa IT hupiga picha za maoni ya mfumo ili kuandika usanidi kwa wakandarasi.
  • Timu za bidhaa hushiriki maoni ya dashibodi katika masasisho ya wadau.

Kila kiambatisho kinaweza kubeba taarifa za kibinafsi. Picha ya akaunti ya mteja ina jina, barua pepe, hali, na anwani ya malipo. Faili ya kumbukumbu ya makosa inaweza kujumuisha majina, anwani, au nambari za simu zilizoingizwa na watumiaji. Picha ya kumbukumbu ya CRM ina wasifu kamili wa akaunti. Faili ya dashibodi inaweza kuonyesha vitambulisho vya mtumiaji katika lebo za chati.

Tatizo la Udhibiti wa Ufikiaji

Kushiriki picha za skrini pia huunda tatizo la udhibiti wa ufikiaji.

Mashirika mengi yanatekeleza udhibiti wa ufikiaji kulingana na jukumu kwenye mifumo ya uzalishaji. Wakala wa msaada huona kumbukumbu za foleni yake peke yake. Mkandarasi huona faili za mradi zilizopewa peke yake.

Wakati wakala anachukua kumbukumbu ya mteja na kuibandika kwenye kituo cha Slack chenye wakandarasi, udhibiti wa ufikiaji unapitwa. Mkandarasi anapata data ya kibinafsi ambayo hangeweza kuifikia kupitia njia za kawaida. DPA ya kazi ya mkandarasi haiwezi kufunika uhamisho huu. Haki za GDPR za mteja zinaweza kutotumika kwa mkandarasi huyo.

Upitishaji huu ni tatizo la Ibara ya 5(1)(f) ya GDPR. Inashughulikia uadilifu na usiri. Inaweza pia kuunda matatizo ya ufuatano wa Ibara ya 28 ikiwa wakandarasi wanapata PII bila DPA sahihi. Angalia mwongozo wetu wa ufuatano wa GDPR kwa orodha ya majukumu ya Ibara ya 28.

Ugunduzi wa PII kwenye Picha kama Usalama wa Kiufundi

Ulinda wa kiufundi kwa mfiduo wa PII unaotegemea picha za skrini ni OCR pamoja na ugunduzi wa NLP. Hatua ni rahisi.

  1. Mfanyakazi anapiga picha ya skrini ya kiolesura cha mteja.
  2. Kabla ya kushiriki: anapakia picha kwa zana ya ugunduzi.
  3. Zana inakata maandishi yanayoonekana kupitia OCR.
  4. NLP inapata viumbe vya PII katika maandishi.
  5. Mfanyakazi anaona ripoti: "Picha hii ina: [jina la mteja], [anwani ya barua pepe], [kitambulisho cha akaunti]."
  6. Mfanyakazi kisha anakata PII, anapunguza wigo wa kushiriki, au anaendelea na sababu iliyoandikwa.

Hii haizuii kushiriki kwa ujumla. Inaonyesha taarifa za kibinafsi kabla hazijahamia. Watu wanaweza kisha kufanya maamuzi sahihi. Angalia jinsi hii inavyolingana na mkoba wako wa ulinzi kwenye ukurasa wa usalama.

Matumizi: Sera ya Picha za Jira ya Msaada wa SaaS

Mezani ya msaada ya kampuni ya SaaS ilitumia Jira kurekodi masuala ya akaunti. Faili zilizowekwa kwenye tikiti hizo zilikuwa na PII za mtumiaji. Hasa:

  • Anwani za barua pepe za mtumiaji kutoka kwa skrini za usimamizi wa akaunti.
  • Maelezo ya mpango wa usajili.
  • Kiasi cha malipo na tarehe.
  • Data ya malipo ya sehemu katika baadhi ya matukio.

Ukaguzi wa GDPR ulibaini tikiti 847 za Jira zilizotengenezwa kwa miezi 18. Zote zilikuwa na viambatisho vya PII. Jira ilikuwa wazi kwa wahandisi wote 200. Baadhi walikuwa wakandarasi bila DPA za kumbukumbu za malipo za wateja.

Hatua za kurekebisha:

  1. Ukaguzi wa nyuma: ugunduzi wa PII kwenye viambatisho vyote vilivyopo. Tikiti 312 ziliashiriwa kwa ukaguzi wa DPO.
  2. Usafi wa tikiti: faili katika tikiti 89 zilifichwa kabla ya kuwekwa tena.
  3. Mabadiliko ya mchakato: mtiririko mpya wa kazi unaohitaji ukaguzi wa PII kabla ya kuambatisha Jira.
  4. Mafunzo: kikao cha dakika 15 kwa wafanyakazi wote wa mezani ya msaada.

Matokeo baada ya siku 90:

  • Matukio ya PII katika Jira: yameshuka asilimia 90.
  • Matukio yaliyobaki: hali ambapo wafanyakazi waliendelea na sababu ya uchunguzi iliyoandikwa.
  • Wigo wa DPA: umesasishwa kupunguza mfiduo usio wa lazima wa data ya kibinafsi kwa wakandarasi.

Tikiti 312 za kihistoria zilikuwa matokeo ya ufuatano. Kushuka kwa asilimia 90 kulitumika kama uthibitisho wa kurekebisha katika jibu la ukaguzi.

Kujenga Ukaguzi wa Picha kwenye Mtiririko wa Kazi wa Timu

Kwa mashirika yanayotaka udhibiti wa PII bila kupunguza kasi ya uendeshaji, chaguo kadhaa zipo.

Chaguo nyepesi: Zana ya kivinjari wafanyakazi wanayotumia kabla ya kubandika kwenye Slack au Jira. Vuta picha, pata ripoti ya PII ndani ya sekunde tano, kisha endelea au katia.

Ndoano ya Jira au ServiceNow: Ugunduzi unaofanyika kabla ya faili kufikia tikiti. Inafanya kazi kama ukaguzi wa virusi kabla ya kupakia faili.

Bot ya Slack: Bot inayopokea upakiaji wa picha katika vituo vilivyochaguliwa. Inafanya ugunduzi wa PII. Inachapisha jibu la uzi pamoja na viumbe vilivyogunduliwa. Hii inafanya taarifa za kibinafsi kuonekana bila kuzuia mtiririko wa kazi.

Kawaida ya timu pamoja na sampuli: Ukaguzi wa kiotomatiki wa kila wiki. Sampuli asilimia 10 ya picha katika zana za ushirikiano. Endesha ugunduzi. Ripoti matokeo kwa kiongozi wa timu. Hii inajenga uwajibikaji bila kuzuia mtiririko wowote wa kazi.

Kwa kumbukumbu za GDPR: udhibiti wa PII wa picha unahesabika kama "kipimo cha shirika" chini ya Ibara ya 32. Andika usalama — sera pamoja na zana ya kiufundi. Ongeza uthibitisho wa matumizi. Hii inakidhi kanuni ya uwajibikaji ya Ibara ya 5(2). Angalia ukurasa wetu wa ufuatano na ingizo la faharasa la Ibara ya 32.

Unataka kuona jinsi anonym.legal inavyoshughulikia hili kwa timu yako? Tembelea ukurasa wetu wa mipango au soma taarifa ya mwanzilishi kuhusu kutokujulikana.

Vyanzo

Makala Zinazohusiana

Usalama wa AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Usalama wa AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Usalama wa AI

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

Tayari kulinda data yako?

Anza kuanonymisha PII na aina 285+ za vitu katika lugha 48.

Anza Jaribio la BureTazama Vipengele

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.