Presidio'nun Kaçırdığı: GDPR Uyumlu PII Tespiti için Gerekli 220+ Varlık Türü
Microsoft Presidio, yaklaşık 40 varsayılan varlık tanıyıcısı ile birlikte gelir. ABD merkezli belgeleri işleyen ABD tabanlı dağıtımlar için bu, temel kategorileri kapsar: SSN'ler, ABD pasaportları, ABD sürücü belgeleri, kredi kartları, e-posta adresleri, telefon numaraları ve kişi isimleri.
AB dağıtımları için kapsama açığı önemli. GDPR, milliyetine bakılmaksızın tüm AB kişisel verilerine uygulanır. Kendi vatandaşlarının verilerini işleyen AB kuruluşları, Presidio'nun kutudan çıktığı gibi sağlamadığı tanıyıcılara ihtiyaç duyar.
Varsayılan Presidio Varlık Kütüphanesi
Presidio'nun varsayılan tanıyıcıları şunları içerir:
ABD merkezli tanıyıcılar:
- ABD Sosyal Güvenlik Numarası (SSN)
- ABD Pasaport Numarası
- ABD Sürücü Belgesi Numarası (birden fazla eyalet formatı)
- ABD Banka Hesap Numarası
- ABD ITIN (Bireysel Vergi Mükellefi Kimlik Numarası)
- ABD Tıbbi Lisans Numarası
Evrensel tanıyıcılar:
- E-posta Adresi
- Telefon Numarası (ABD merkezli format önceliği)
- IP Adresi
- Kredi Kartı Numarası (Luhn algoritması)
- Kripto Cüzdan Adresi
- URL
Genel metin varlıkları:
- KİŞİ (NER tabanlı)
- LOKASYON (NER tabanlı)
- ORGANİZASYON (NER tabanlı)
- TARİH_ZAMAN (NER tabanlı)
Sınırlı uluslararası kapsama:
- Birleşik Krallık NHS Numarası
- Birleşik Krallık Ulusal Sigorta Numarası (NINO)
- Finansal Varlık tanıyıcıları (bazıları)
Toplam: ~40 tanıyıcı
AB Kuruluşlarının Gerçekten İhtiyaç Duyduğu Şeyler
Finansal tanıyıcılar: IBAN (Uluslararası Banka Hesap Numarası), ödemeler, havaleler, faturalama ve maaş ödemeleri içeren hemen hemen her AB iş belgesinde yer alır. IBAN formatları ülkeye göre değişir ancak uluslararası bir standardı (ISO 13616) takip eder. Presidio'nun varsayılan IBAN tanıyıcısı yoktur.
Bir Alman fintech, müşteri ödeme kayıtlarını işleyerek her işlem belgesinde IBAN numaralarını işler. IBAN tanıma olmadan, bu belgeler kredi kartı tespiti aktifken (kart numaralarını tespit eder) işlenir ancak IBAN alanları (birincil AB ödeme tanıyıcısı) tamamen göz ardı edilir.
Ulusal vergi tanıyıcıları:
- Alman Steueridentifikationsnummer: 11 haneli sayısal
- Fransız NIR (Numéro d'Inscription au Répertoire): 13 karakter alfanümerik
- İtalyan Codice Fiscale: Yapısal doğrulama ile 16 karakter alfanümerik
- İspanyol NIF/NIE: Harf ek/prefiksi ile 9 karakter
- Hollanda BSN: 11 doğrulama ile 9 haneli
Bunların hiçbiri Presidio'nun varsayılan varlık kütüphanesinde yoktur. Bir AB bordro işleyicisi, birden fazla üye devletten gelen çalışan belgelerini işlerken en hassas finansal tanıyıcılarına karşı etkili bir şekilde kördür.
Ulusal sağlık tanıyıcıları:
- Birleşik Krallık NHS Numarası: Modulus-11 kontrolü ile 10 haneli
- Fransız Numéro de Sécurité Sociale (NIR): Ayrıca sağlık kimliği olarak kullanılır
- Alman Krankenkassennummer: Alfanümerik, sigorta şirketine özgü
- İtalyan Codice Fiscale: Ayrıca sağlık kimliği olarak kullanılır
- Hollanda BSN: Ayrıca sağlık sigortası için kullanılır
AB genelindeki sağlık kuruluşları, HIPAA eşdeğeri sağlık verisi koruması için bu tanıyıcılara ihtiyaç duyar. Presidio, Birleşik Krallık NHS Numarasını sağlar ancak kıtasal Avrupa sağlık kimliklerini kaçırır.
AB sürücü belgesi formatları: Presidio, ABD sürücü belgesi tanıyıcılarına sahiptir (eyalet spesifik). AB sürücü belgesi formatları, 2006/126/EC Direktifi altında standartlaştırılmıştır ancak alfanümerik yapıları üye devlete göre değişir. Presidio'nun varsayılanlarında AB sürücü belgesi tanıyıcıları yoktur.
KDV kayıt numaraları: AB KDV numaraları, her işten işe işlemde yer alır. Format: ülke kodu (2 harf) + 8-12 alfanümerik rakam. Presidio'nun KDV numarası tanıyıcısı yoktur. AB işletmeleri fatura, sözleşme ve ticari belgeleri paylaşırken, KDV numaraları kayıtlı işletme varlıklarına ve yöneticilerine bağlanan tanıyıcılardır.
AB pasaport formatları: Presidio'da ABD pasaport tanıma var, ancak AB pasaport formatları (özellikle Makine Okunabilir Bölge formatı) kapsanmamaktadır.
Özel Tanıyıcı Geliştirme Maliyeti
AB kuruluşları Presidio'yu dağıttıklarında ve varlık kapsama açığını keşfettiklerinde, yanıt genellikle özel tanıyıcı geliştirmedir. Maliyet:
Tanıyıcı başına geliştirme süresi:
- Tanıyıcı formatını araştırma: 1-2 saat
- PatternRecognizer Python sınıfını yazma: 2-4 saat
- Doğrulama mantığı ile regex uygulama: 2-4 saat
- Kesinlik iyileştirmesi için bağlam kelimelerini yapılandırma: 1-2 saat
- Test yazma: 2-3 saat
- Dağıtımda entegrasyon ve test: 1-2 saat
Tanıyıcı başına: 9-17 saat.
IBAN + Steuer-ID + AB sürücü belgesi + Alman KDV + IBAN gereksinimi olan bir Alman fintech için:
- 4 özel tanıyıcı × 13 saat ortalama = 52 mühendislik saati
- Saatte €100: €5,200 özel tanıyıcı geliştirme maliyeti
Ayrıca formatlar değiştikçe, yeni test senaryoları ortaya çıktıkça ve Presidio API güncellemeleri tanıyıcı değişiklikleri gerektirdikçe sürekli bakım maliyeti.
Presidio'nun üzerine AB GDPR kapsama maliyeti: €5,200+ başlangıç + sürekli bakım
Alternatif: Yönetilen Varlık Kütüphaneleri
anonym.legal, Presidio temelini 285+ varlık türü ile genişletir ve bu varlık türleri, Presidio'nun varsayılanlarının kaçırdığı AB'ye özgü tanıyıcıları içerir:
Presidio varsayılanlarının ötesindeki kapsama vurguları:
- IBAN (tüm AB üye devlet formatları)
- AB üye devlet vergi tanıyıcıları (Steuer-ID, NIR, Codice Fiscale, NIF/NIE, BSN, PESEL ve diğerleri dahil)
- AB ulusal sağlık tanıyıcıları
- KDV numaraları (AB formatı)
- AB sürücü belgesi formatları
- Avrupa pasaport formatları
- Tüm 48 desteklenen dil varlık varyasyonları
Bakım: Varlık kütüphanesi güncellemeleri, yönetilen hizmetin bir parçası olarak itilir. Almanya yeni bir vergi tanıyıcı formatı tanıttığında, kullanıcılar tanıyıcıyı bir pull request vermeden alır.
Özel uzantı: Kütüphanede yer almayan kuruluş spesifik tanıyıcılar için, özel varlık oluşturucu, Python kodu olmadan desen eklemeye olanak tanır.
Alman Fintech Örneği
Bir Alman fintech, müşteri belgelerinde IBAN'ları, BIC'leri, Alman vergi kimliklerini (Steuer-ID) ve Alman ticaret kayıt numaralarını (Handelsregisternummer) tespit etmesi gerekiyor.
Bu 4 varlık türü için Presidio varsayılan tespit oranı: %0
Düşük kesinlik değil, yanlış pozitif değil — sıfır tespit. Bu 4 varlık türü, Presidio'nun varsayılan varlık kütüphanesinde yer almıyor.
Özel tanıyıcılar yazma: 4 tanıyıcı × 13 saat = 52 saat = mühendislik oranlarında €5,200.
Tüm 4'ü kapsayan yönetilen varlık kütüphanesini kullanma: €180/yıl (Profesyonel plan).
Bu Alman finansal tanıyıcılarının GDPR uyumlu tespitini sağlama maliyeti:
- Presidio yolu: €5,200 mühendislik + Presidio operasyonel maliyetleri
- Yönetilen hizmet yolu: €180/yıl, kutudan çıkan tüm 4'ü tespit etme
Açık fark, birinci yılda 28 kat. Her yıl operasyon için, özel tanıyıcı bakımına harcanan mühendislik süresi, Presidio maliyetine eklenirken, yönetilen hizmet maliyeti sabit kalır.
Sonuç
Presidio'nun ~40 varsayılan tanıyıcısı, ABD merkezli kullanım senaryolarını iyi bir şekilde karşılamaktadır. Üye devletlere özgü tanıyıcılarda GDPR uyumu gerektiren AB dağıtımları için kutudan çıkan kapsama yetersizdir. Açık, ya özel tanıyıcı geliştirme (pahalı, zaman alıcı) ya da abonelik kapsamında AB varlık kapsamasını sürdüren bir yönetilen hizmet aracılığıyla doldurulur.
Uyumun müzakere edilemez olduğu ve mühendislik kaynaklarının kısıtlı olduğu AB kuruluşları için, yönetilen hizmetin önceden oluşturulmuş AB varlık kütüphanesi, ilk belge anonimleştirmeden önce 50+ saatlik özel geliştirme projesini ortadan kaldırır.
Kaynaklar: