ช่องโหว่รหัส EU: Steuer-ID, NIR, Personnummer
เครื่องมือ PII ที่สร้างจากสหรัฐฯ ถูกออกแบบมาสำหรับข้อมูลแบบอเมริกัน เครื่องมือเหล่านี้ตรวจจับ SSN รูปแบบโทรศัพท์สหรัฐฯ และใบขับขี่สหรัฐฯ ได้ดี แต่รหัสประจำตัว EU ทำงานแตกต่างออกไป มีโครงสร้างและกฎการตรวจสอบที่ต่างกัน รูปแบบ regex ของสหรัฐฯ ไม่สามารถจับคู่กับ German Steuer-ID ได้ ช่องโหว่เชิงโครงสร้างนี้ไม่ใช่ปัญหาเล็กน้อย
ทำไม EU รหัสประจำตัวจึงแตกต่าง
German Steuer-ID มี 11 ตำแหน่ง ตำแหน่งแรกต้องไม่เป็นศูนย์ ค่าในแต่ละตำแหน่งต้องไม่ซ้ำกันมากกว่าสามครั้งติดต่อกัน สูตรผลรวมตรวจสอบตำแหน่งสุดท้าย สูตรนี้ถูกเผยแพร่โดย Bundeszentralamt für Steuern ไม่มีรูปแบบ US SSN ใดที่จะตรวจพบสิ่งนี้ได้
French NIR มีทั้งหมด 15 ตำแหน่ง แต่ละตำแหน่งมีความหมาย ตำแหน่งที่ 1 บอกเพศ ตำแหน่งที่ 2–3 บอกปีเกิด ตำแหน่งที่ 4–5 บอกเดือนเกิด ตำแหน่งที่ 6–7 บอกแผนกที่เกิด ตำแหน่งที่ 14–15 เป็นรหัสตรวจสอบ ไม่มีรูปแบบสหรัฐฯ ใดที่จะตรวจพบ NIR ได้
Swedish Personnummer ใช้รูปแบบ YYMMDD-XXXX Norwegian Fødselsnummer มี 11 ตำแหน่งพร้อมผลรวมตรวจสอบสองชั้น รูปแบบเหล่านี้ไม่ใช่การแปรผันเล็กน้อยจากสหรัฐฯ แต่ถูกกำหนดโดยกฎหมายของชาติ ไม่มีรูปแบบเทียบเท่าในสหรัฐฯ
ช่องโหว่การปฏิบัติตามกฎในทางปฏิบัติ
แพลตฟอร์ม HR ที่ครอบคลุมยุโรปซึ่งใช้เครื่องมือ PII จากสหรัฐฯ สำหรับ 18 ประเทศ EU จะพลาดรหัสประจำชาติส่วนใหญ่ ทุกไฟล์ที่มี Steuer-ID, NIR, Personnummer หรือ Fødselsnummer จะผ่านไปโดยที่รหัสนั้นยังคงเปิดเผยอยู่
ช่องโหว่นี้เป็นระบบ ไม่ใช่ปัญหาการกำหนดค่า แต่เป็นเพราะเครื่องมือไม่ได้ถูกสร้างให้มองเห็นรูปแบบเหล่านี้
ข้อกำหนดความครอบคลุม EU อย่างสมบูรณ์
ความครอบคลุม EU ขั้นต่ำสำหรับการปฏิบัติตาม GDPR รวมถึงรหัสประจำตัวในหลายภูมิภาค
DACH: German Steuer-ID และ Reisepass; Austrian Sozialversicherungsnummer; Swiss AHV-Nr พร้อมค่าตรวจสอบ
ฝรั่งเศส: NIR, Carte Vitale, SIRET และ SIREN
สหราชอาณาจักร: NHS Number, หมายเลข National Insurance (รูปแบบ AA-NN-NN-NN-A) และ UTR
นอร์ดิก: Swedish Personnummer (YYMMDD-XXXX), Norwegian Fødselsnummer, Finnish Henkilötunnus (DDMMYY-XXXX) และ Danish CPR (DDMMYY-XXXX)
EU ใต้: Spanish DNI/NIE, Italian Codice Fiscale (ตัวอักษรและตัวเลข 16 ตัว), Polish PESEL และ Czech Rodné číslo
องค์กรที่เปลี่ยนจากเครื่องมือที่สร้างจากสหรัฐฯ ไปเป็นเครื่องมือที่ครอบคลุม EU อย่างสมบูรณ์มักพบว่าเครื่องมือก่อนหน้าตรวจจับรหัสประจำตัว EU ได้เพียง 30–40% เท่านั้น รหัสประจำชาติยุโรปส่วนใหญ่ไม่ถูกตรวจพบ
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับภาระผูกพันทางเทคนิคของ GDPR โปรดดู ทรัพยากรการปฏิบัติตาม GDPR
ความครอบคลุมอย่างสมบูรณ์มีลักษณะอย่างไร
ไลบรารีรหัสประจำตัว EU ที่มีการจัดการครอบคลุมรูปแบบทั้งหมดข้างต้น การอัปเดตจะส่งออกเมื่อรูปแบบของชาติเปลี่ยนแปลง ทีมของคุณไม่จำเป็นต้องเขียนโค้ดเองหรือส่ง pull request
สำหรับรหัสที่อยู่นอกไลบรารีมาตรฐาน ตัวสร้างรหัสประจำตัวแบบกำหนดเองช่วยให้คุณเพิ่มรูปแบบได้โดยไม่ต้องเขียนโค้ด ดู รายละเอียดความปลอดภัยและการปฏิบัติตาม สำหรับวิธีการทำงานของการอัปเดตและเส้นทางการตรวจสอบ