Küresel Tanımlayıcı Parçalanma Problemi
45 ülkede satıcıları olan bir pazar yeri platformu, satıcının menşei ülkesine bağlı olarak tamamen farklı görünen onboarding belgelerini işler. Brezilyalı bir satıcı bir CPF (Cadastro de Pessoas Físicas) sunar — belirli bir ağırlık algoritması kullanılarak hesaplanan iki kontrol rakamı ile birlikte 11 haneli bir vergi kimlik numarası. Hindistan'dan bir satıcı bir PAN (Permanent Account Number) sağlar — belirli bir konumsal desen içinde harf ve rakamları birleştiren 10 karakterli alfanümerik bir format. Alman bir satıcı bir Steuer-ID (11 haneli Luhn kontrolü ile) sağlar. Hollandalı bir satıcı bir BSN (Burger Service Nummer, 9 haneli mod-11 doğrulaması ile) sunar.
Her formatın farklı uzunluk, yapı ve doğrulama algoritması vardır. Bir format için tasarlanmış tek bir regex, diğerlerini eşleştirmez. Genel bir "10-12 haneli sayısal dize" deseni, fiyatlar, miktarlar, tarihler ve referans numaraları içeren finansal belgelerde yasaklayıcı sahte pozitif oranları üretir.
Uyum yükümlülüğü ülkeye göre farklılık göstermez. GDPR, AB satıcılarının verilerini kapsar. LGPD, Brezilyalı satıcının verilerini kapsar. DPDP Yasası, Hindistanlı satıcının verilerini kapsar. Her düzenleyici çerçeve, o çerçeve tarafından kapsanan kişisel verilerin uygun şekilde korunmasını gerektirir — ve "uygun" demek, tanımlayıcının tespit edilip korunması anlamına gelir, sadece bir tespit girişiminde bulunulması değil.
40-Tanımlayıcı Açığı
Çoğu kurumsal PII tespit aracı, yaklaşık 40 yaygın tanımlayıcı türü için tanıyıcılarla birlikte gelir. Bunlar genellikle şunları içerir:
- ABD Sosyal Güvenlik Numarası
- ABD pasaport formatı
- ABD sürücü belgesi (eyalet bazında)
- Genel kredi kartı formatları (Luhn doğrulaması)
- E-posta adresleri
- Telefon numaraları (NANP formatı)
- IP adresleri
Bu kapsama seviyesindeki araçlar, İngilizce konuşan Kuzey Amerika uyum gereksinimlerini oldukça iyi karşılar. Küresel olarak faaliyet gösteren kuruluşların tanımlayıcı manzarasını kapsamazlar.
40 tanımlayıcı ile küresel uyum arasındaki boşluk önemli:
Güney Amerika tanımlayıcıları: Brezilyalı CPF (bireysel) ve CNPJ (kurumsal), Brezilya'nın mali otorite formatına özgü kontrol rakamı doğrulaması gerektirir. Arjantin CUIT, farklı bir ağırlıklı toplam algoritması izler. Kolombiya NIT, başka bir doğrulama yöntemi kullanır.
Asya tanımlayıcıları: Hindistan PAN, Aadhaar (12 haneli biyometrik kimlik), Hindistan GSTIN (GST kimlik) ve Seçmen Kimliği her biri farklı formatlara sahiptir. Japon My Number (12 haneli ulusal kimlik), Güney Kore İkamet Kaydı Numarası ve Çin ulusal kimliği (kontrol rakamı ile 18 karakter) ayrı tanıyıcılara ihtiyaç duyar.
AB tanımlayıcıları: Yaygın olarak tanınan formatların ötesinde, kapsamlı AB kapsaması, tüm 27 AB üye devletinin IBAN formatlarını (her biri ülkeye özgü uzunluk ve formatta) ve her üye devlet için ulusal kimlik formatlarını (Alman Steuer-ID, Fransız NIR, Hollandalı BSN, Polonya PESEL, İsveç Personnummer ve daha fazlası) gerektirir.
260+ Varlık Türü Gerçekten Neleri Kapsar
260+ türden oluşan kapsamlı bir varlık kütüphanesi şunları kapsar:
- Tüm 27 AB üye devletinin ulusal tanımlayıcıları (daha az kapsananlar: Slovenya EMŠO, Hırvatistan OIB, Bulgaristan EGN, Romanya CNP dahil)
- Tüm AB IBAN formatları (27 ülkeye özgü formatla doğrulama)
- Önemli Güney Amerika tanımlayıcıları (Brezilya CPF/CNPJ, Arjantin CUIT, Kolombiya NIT)
- Önemli Asya tanımlayıcıları (Hindistan PAN/Aadhaar/GSTIN, Japonya My Number, Kore RRN)
- Brexit sonrası Birleşik Krallık'a özgü tanımlayıcılar (Birleşik Krallık NI Numarası, NHS Numarası, NINO varyantları)
- Yargı alanları arasında tıbbi tanımlayıcılar (ABD NPI, DEA numaraları, NHS numaraları, hastane MRN formatları)
- Finansal tanımlayıcılar (SWIFT kodları, BIC formatları, çeşitli hesap numarası desenleri)
45 ülkeden satıcılara hizmet veren Londra merkezli bir pazar yeri için, 260+ varlık kapsamı, tek bir dağıtımın tüm yargı alanlarında satıcı kişisel verilerinin tanımlanmasını ve korunmasını sağlaması anlamına gelir — ayrı bölgesel araçlar, ayrı işleme hatları veya 40 tanıyıcı aracın kaçırdığı ulusal tanımlayıcı türleri için manuel zenginleştirme gerektirmeden.
Uyum durumu, "yaygın tanımlayıcıları koruyoruz" dan "gerçek verilerimizde mevcut olan tanımlayıcıları koruyoruz" a değişir. Küresel operasyonlar için bu ayrım, kısmi uyum ile gerçek koruma arasındaki farktır.
Kaynaklar: