وہ DLP اندھا مقام جس کا آپ نے آڈٹ نہیں کیا
DLP ٹولز نیٹ ورک ٹریفک، ای میل فائلیں، اور file transfers کو دیکھتے ہیں۔ وہ SSN columns والی spreadsheets پکڑتے ہیں۔ وہ customer lists والی ای میلز flag کرتے ہیں۔ وہ medical records والی uploads بلاک کرتے ہیں۔
وہ screen captures نہیں پکڑتے۔
ایک screen capture ایک تصویری فائل ہے۔ اس میں موجود ذاتی معلومات pixels کے طور پر کھینچی گئی ہیں۔ یہ متن کے طور پر محفوظ نہیں ہے۔ DLP انجن جو PII patterns تلاش کرتے ہیں، انہیں کچھ نہیں ملتا۔
ہر روز ملازمین Slack، Jira، Teams، اور ای میل chains میں screen captures paste کرتے ہیں۔ کوئی DLP الرٹ نہیں آتا۔
کام میں Screen Captures کس طرح ذاتی معلومات پھیلاتے ہیں
remote اور hybrid کام نے captures شیئر کرنا عام کر دیا ہے۔ اندرونی ٹولز ہر روز ان سے بھرتے ہیں۔
ٹیم کے اراکین فوری context کے لیے captures شیئر کرتے ہیں:
- Support agents ٹیم لیڈز کے ساتھ شیئر کرنے کے لیے customer account views حاصل کرتے ہیں۔
- Developers error logs شیئر کرتے ہیں جن میں user-input data شامل ہوتا ہے۔
- Account managers finance teams کو context دینے کے لیے CRM records بھیجتے ہیں۔
- IT admins contractors کے لیے setups document کرنے کو system views capture کرتے ہیں۔
- Product teams stakeholder updates میں dashboard views شیئر کرتی ہیں۔
ہر attachment میں ذاتی معلومات ہو سکتی ہیں۔ ایک customer account capture میں نام، ای میل، status، اور billing address ہوتا ہے۔ ایک error log file میں نام، پتے، یا فون نمبر شامل ہو سکتے ہیں جو users نے enter کیے ہوں۔
Access Control کا مسئلہ
Screen captures شیئر کرنا ایک access control مسئلہ بھی پیدا کرتا ہے۔
زیادہ تر تنظیمیں production systems تک رسائی محدود کرنے کے لیے role-based access controls (RBAC) نافذ کرتی ہیں۔ ایک support agent صرف اپنی queue records دیکھتا ہے۔ ایک contractor صرف مختص project فائلیں دیکھتا ہے۔
جب کوئی agent customer record حاصل کرتا ہے اور اسے contractors والے Slack channel میں paste کرتا ہے، تو access control نظرانداز ہو جاتا ہے۔ contractor کو وہ ذاتی ڈیٹا مل جاتا ہے جو وہ عام راستوں سے نہیں پا سکتا تھا۔ contractor کام کے لیے DPA اس transfer کا احاطہ نہیں کر سکتا۔ customer کے GDPR حقوق اس contractor پر لاگو نہیں ہو سکتے۔
یہ bypass GDPR Article 5(1)(f) کا مسئلہ ہے جو integrity اور confidentiality کا احاطہ کرتا ہے۔ Article 28 alignment کے مسائل بھی پیدا ہو سکتے ہیں اگر contractors کو مناسب DPAs کے بغیر PII ملے۔ Article 28 کی ذمہ داریوں کی checklist کے لیے ہماری GDPR conformance گائیڈ دیکھیں۔
Image PII Detection بطور Technical Safeguard
capture پر مبنی PII exposure کا technical safeguard OCR اور NLP detection ہے۔ مراحل سادہ ہیں۔
- ملازم customer interface کی screen capture کرتا ہے۔
- شیئر کرنے سے پہلے: capture کو detection ٹول پر upload کرتا ہے۔
- ٹول OCR کے ذریعے نظر آنے والا متن نکالتا ہے۔
- NLP متن میں PII entities تلاش کرتی ہے۔
- ملازم رپورٹ دیکھتا ہے: "اس capture میں موجود ہیں: [customer name]، [email address]، [account ID]۔"
- ملازم پھر PII redact کرتا ہے، sharing scope محدود کرتا ہے، یا تحریری وجہ کے ساتھ آگے بڑھتا ہے۔
یہ تمام sharing بلاک نہیں کرتا۔ یہ ذاتی معلومات کو منتقل ہونے سے پہلے دکھاتا ہے۔ پھر لوگ باخبر انتخاب کر سکتے ہیں۔ دیکھیں کہ یہ آپ کے protection stack on the safeguards page میں کیسے فٹ ہوتا ہے۔
استعمال کا معاملہ: SaaS Helpdesk Jira Capture پالیسی
ایک SaaS company کی help desk Jira استعمال کرتی تھی account issues log کرنے کے لیے۔ ان tickets سے منسلک فائلوں میں user PII تھی۔ خاص طور پر:
- account management screens سے user ای میل addresses۔
- Subscription plan details۔
- Billing amounts اور dates۔
- کچھ cases میں partial payment data۔
ایک GDPR آڈٹ میں 18 مہینوں میں بنائے گئے 847 Jira tickets ملے۔ سب میں PII attachments تھیں۔ Jira تمام 200 engineers کے لیے کھلا تھا۔ کچھ customer billing records کے لیے DPAs کے بغیر contractors تھے۔
اصلاح کے اقدامات:
- پسپائی آڈٹ: تمام موجودہ attachments پر PII detection۔ 312 tickets DPO جائزے کے لیے flag کی گئیں۔
- Ticket صفائی: 89 tickets میں فائلیں دوبارہ منسلک کرنے سے پہلے obscure کی گئیں۔
- عمل تبدیلی: Jira attachment سے پہلے PII check کرنے کا نیا workflow۔
- تربیت: تمام help desk staff کے لیے 15 منٹ کا session۔
90 دنوں کے بعد نتائج:
- Jira میں PII واقعات: 90 فیصد کم۔
- باقی واقعات: وہ cases جہاں staff نے تحریری diagnostic وجہ کے ساتھ آگے بڑھے۔
- DPA دائرہ کار: contractors کے لیے غیر ضروری ذاتی ڈیٹا exposure کم کرنے کے لیے اپ ڈیٹ کیا گیا۔