anonym.legal

By · Last updated 2026-04-13

Bumalik sa BlogTeknikal

Air-Gapped na Privacy: Mag-Anonymize nang Offline

Ang mga kapaligiran ng FedRAMP at ITAR ay may isang bagay na magkatulad — ang cloud ay hindi isang opsyon. Ang reversible na pseudonymization sa ilalim ng GDPR Art.

April 13, 20269 min basahin
air-gapped anonymizationSCIF document processingITAR complianceFedRAMP offline toolsoffline PII detection

Ang Panuntunan sa Air-Gap

Ang ilang network ay walang internet. Hindi ayon sa patakaran — ayon sa disenyo.

Ang isang SCIF (Sensitive Compartmented Information Facility) ay isang silid na nakabalot ng Faraday cage. Walang wireless signal na pumapasok o lumalabas. Ipinagbabawal ng ITAR (International Traffic in Arms Regulations) ang pagpapadala ng saklaw na teknikal na nilalaman sa mga hindi naaprubahang partido. Ang mga cloud provider ay hindi ITAR-cleared. Para sa mga grupong ito, ang "cloud SaaS" ay hindi isang panganib na dapat pamahalaan.

Para sa mga site na ito, ang mga tool sa cloud ay hindi gumagana. Ganap na pagtanggal.

Ang isang tool na nangangailangan ng live na network link ay hindi maaaring tumakbo dito. Ang isang tool na tumatawag sa isang license server ay nabo-block. Ang isang tool na nagpapadala ng mga file sa isang cloud API para sa deteksyon ay hindi maaaring gumana sa loob ng isang SCIF. Hindi ito mga edge case. Ito ay mga araw-araw na hadlang para sa mga koponan ng depensa.

Ang Kaso ng ITAR

Ang isang data scientist sa isang kumpanya ng depensa ay may mga talaan ng tauhan sa ilalim ng ITAR. Kailangan niyang alisin ang mga pangalan at ID bago ibahagi ang mga file. Ang kanyang network ay air-gapped.

Walang solusyon sa cloud. Ang tanging landas ay isang tool na tumatakbo sa lokal na device. Dapat itong mag-imbak ng mga modelo nito nang lokal. Dapat itong gumawa ng malinis na output nang walang mga panlabas na tawag.

Ginagawa ito ng Desktop App na batay sa Tauri 2.0. Pagkatapos ng pag-install, walang mga network call na nangyayari sa panahon ng isang run. Ang mga modelo ng spaCy NER at mga pattern ng regex ay tumatakbo sa lokal na CPU. Ang output ay nananatili sa device hanggang i-export ito ng gumagamit.

Bakit Mahalaga ang Reversibility

Kadalasan ay nangangailangan ng reversible na pseudonymization ang classified na trabaho. Ang mga koponan ay nagpapalit ng mga tunay na pangalan ng mga code. Pinapanatili nilang kapaki-pakinabang ang mga talaan. Pinoprotektahan nila ang mga tunay na pagkakakilanlan.

Tinutukoy ng GDPR Article 4(5) ang pseudonymization bilang isang pormal na hakbang sa privacy. Nagpapababa ito ng panganib. Ang mga pseudonymized na talaan ay nagdadala ng mas kaunting mga legal na obligasyon — kung ang lookup token ay nakaimbak nang hiwalay mula sa dataset.

Natuklasan ng pananaliksik ng IAPP (2024) na tanging 23% ng mga tool lamang ang sumusuporta sa tunay na reversibility. Karamihan ay gumagawa ng isang-daan na masking o ganap na pagpapalit. Kapag na-overwrite ang isang talaan, ito ay wala na.

Ang ilang koponan ng gobyerno ay hinihiwalay ang kanilang trabaho ayon sa compartment. Ang isang koponan ay nakakakuha ng mga pseudonymized na file. Ginagawa nila ang pagsusuri. Ang isang pangalawang koponan ay may hawak ng lookup token. Muling kinikikilala nila ang mga talaan lamang kapag kinakailangan ng batas. Ang split na disenyo na ito ay ang tanging ligtas na diskarte para sa multi-team na classified na workflow.

Ang zero-knowledge na modelo ay isa pang hakbang pa. Ang lookup token ay nililikha sa client device. Hindi ito kailanman ipinapadala palabas. Kung ang vendor ay sumubpoena, hindi nila maaaring ibigay ang token. Hindi nila ito nagkaroon. Natutugunan nito ang mga panuntunan sa chain-of-custody sa maraming classified na kapaligiran.

Paghihiwalay ng Token ng EDPB

Ang EDPB Guidelines 05/2022 ay nagsasabing ang pseudonymization token ay dapat na hawakan nang hiwalay. Hindi ito dapat makasama sa parehong partido na humahawak ng mga pseudonymized na talaan. O dapat itong naka-lock sa likod ng mga kontrol na pumipigil sa partidong iyon sa pagbabasa ng parehong talaan at token nang sabay.

Tatlong bagay na magkasama ang nakakatugon sa panuntunang ito:

  • Token na nililikha sa client device — hindi kailanman ipinapadala palabas
  • Lahat ng pagproseso ay ginagawa nang lokal — walang anumang lumalabas sa air-gapped na site
  • Output at token ay ini-export nang hiwalay — dalawang hiwalay na file, dalawang hiwalay na landas

Ang disenyong ito ay nakakatugon sa panuntunan ng EDPB at sa hadlang ng air-gap nang sabay-sabay.

Para sa buong larawan, ipinapakita ng aming pangkalahatang-ideya ng seguridad kung paano nagbabawas ang lokal na pagproseso sa third-party na chain. Ang aming gabay sa compliance ay sumasaklaw sa mga panuntunan sa paglilipat ng GDPR. Tingnan ang aming FAQ para sa tulong sa setup.

Angkinakatawan ng anonym.legal Desktop App ang lahat ng PII detection sa lokal na device. Hindi kailangan ng internet pagkatapos ng pag-install. Sinusuportahan nito ang Windows, macOS, at Linux. Ang mga bundled na modelo ng NLP ay sumasaklaw ng 24 na wika.

Na-update para sa 2026

Mga Pinagmulan

Mga Kaugnay na Artikulo

Teknikal

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

Teknikal

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

Teknikal

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

Handa nang protektahan ang iyong data?

Simulan ang anonymization ng PII gamit ang 285+ uri ng entidad sa 48 wika.

Simulan ang Libreng PagsubokTingnan ang Mga Tampok

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.