Глосар на PII и Защита на Данните
Ясни определения на ключови термини за поверителност, съответствие и защита на данните, използвани в индустрията.
Термини за Поверителност и Съответствие
Лично Идентифицируема Информация (PII)
Всякакви данни, които могат да идентифицират конкретно лице, като имена, имейл адреси, социални осигурителни номера или телефонни номера.
Анонимизация
Необратим процес на изменение на данни, така че индивидите да не могат да бъдат идентифицирани, директно или индиректно.
Псевдонимизация
Замяна на идентифицируеми данни с изкуствени идентификатори (псевдоними), така че повторната идентификация да изисква отделно задържан ключ.
Деидентификация
Премахване или затъмняване на лични идентификатори от данни, така че те вече да не могат да бъдат свързани с конкретно лице без допълнителна информация.
Субект на Данни
Идентифицирано или идентифицируемо физическо лице, чиито лични данни се обработват от администратор или обработващ.
Администратор на Данни
Субектът, който определя целите и средствата за обработка на лични данни.
Обработващ Данни
Субект, който обработва лични данни от името на администратор на данни, следвайки инструкциите на администратора.
Съгласие
Свободно дадено, конкретно, информирано и недвусмислено указание за съгласието на субекта на данни за обработката на техните лични данни.
Законна Основа
Правна основа, на която е разрешена обработката на лични данни, като съгласие, необходимост от договор, правно задължение или легитимен интерес.
Минимизиране на Данни
Принципът, че събраните лични данни трябва да бъдат адекватни, релевантни и ограничени до необходимото за предвидената цел.
Право на Изтриване
Правото на субекта на данни да поиска изтриването на личните им данни, когато те вече не са необходими, известно още като 'правото да бъдеш забравен' по GDPR.
Преносимост на Данни
Правото на субектите на данни да получат личните си данни в структуриран, общо използван формат и да ги прехвърлят на друг администратор.
Офицер по Защита на Данните (DPO)
Назначено лице, отговорно за наблюдение на стратегията за защита на данните на организацията и осигуряване на съответствие с регулациите за защита на личните данни.
Оценка на Въздействието върху Защитата на Данните (DPIA)
Процес за идентифициране и минимизиране на рисковете за защитата на данните на проект, изискван по GDPR за дейности с висок риск.
Нарушение на Данните
Сигурностен инцидент, при който личните данни са достъпени, разкрити, изменени или унищожени без разрешение.
Регулаторни Рамки
GDPR (Общ Регламент за Защита на Данните)
Регламент на ЕС, управляващ обработката на лични данни на лица в Европейското икономическо пространство, в сила от май 2018.
CCPA (Закон за Поверителността на Потребителите в Калифорния)
Закон на щата Калифорния, предоставящ на потребителите права върху личната им информация, събирана от бизнеса, в сила от януари 2020.
HIPAA (Закон за Портируемост и Отчетност на Здравното Осигуряване)
Федерален закон на САЩ, установяващ стандарти за защита на чувствителна информация за здравето на пациентите от разкритие без съгласие.
ISO 27001
Международен стандарт за системи за управление на информационната сигурност (ISMS), определящ изисквания за установяване, прилагане и непрекъснато подобряване на контролите за сигурност.
SOC 2 (Системни и Организационни Контроли 2)
Рамка за одит на обслужващи организации, която оценява контролите, свързани със сигурността, наличността, целостта на обработката, конфиденциалността и поверителността.
Технически Термини
Разпознаване на Именувани Субекти (NER)
Техника на NLP, която идентифицира и класифицира именувани субекти в текст в предварително определени категории, като имена на хора, местоположения и организации.
Обработка на Естествен Език (NLP)
Клон на изкуствения интелект, който позволява на компютрите да разбират, интерпретират и генерират човешки език.
Разпознавател на Шаблони
Детектор, базиран на правила, който използва регулярни изрази и контекстуални подсказки за идентифициране на специфични шаблони от данни, като номера на кредитни карти или социални осигурителни номера.
Оценка на Достоверността
Числена стойност между 0 и 1, указваща колко сигурен е детекционният двигател, че даден текст съответства на конкретен тип субект.
Регулярен Израз (Regex)
Последователност от символи, определяща шаблон за търсене, обикновено използвана за валидиране и откриване на структурирани формати на данни, като телефонни номера или имейл адреси.
AES-256-GCM
Алгоритъм за удостоверено криптиране, използващ 256-битов ключ с режим на работа Galois/Counter, осигуряващ както конфиденциалност, така и проверка на целостта на криптираните данни.
Криптиране с Нулеви Знания
Архитектура на криптиране, при която само потребителят притежава ключа за декриптиране, което означава, че дори доставчикът на услуги не може да получи достъп до нешифрованите данни.
Токенизация
Замяна на чувствителни данни с нечувствителни заместители, които могат да бъдат свързани обратно с оригиналните данни чрез сигурно търсене.
Маскиране на Данни
Затъмняване на специфични данни в набор от данни, така че чувствителната информация да бъде скрита, докато данните остават използваеми за тестване или анализ.
Редактиране
Постоянно премахване на чувствителна информация от документ или набор от данни, заменяйки я с маркер като [REDACTED].
Методи за Анонимизация
Замяна
Замества откритата PII с общ заместител от същия тип субект, например замяна на 'Джон Смит' с '<PERSON>'.
Маскиране
Частично затъмнява PII, като заменя символи с маскиращи символи, например превръщайки '123-45-6789' в '***-**-6789'.
Редактиране
Напълно премахва откритата PII от текста, оставяйки без следа от оригиналната стойност.
Хеширане
Преобразува PII в криптографски хеш с фиксирана дължина, позволявайки последователна замяна, докато прави обратното преобразуване изчислително невъзможно.
Криптиране
Преобразува PII с помощта на криптиране AES-256-GCM с ключ, притежаван от потребителя, позволявайки авторизирано обратно преобразуване (деанонимизиране), когато е необходимо.
Често Задавани Въпроси
Каква е разликата между анонимизация и псевдонимизация?
Анонимизация необратимо премахва всички идентифициращи данни, така че повторната идентификация е невъзможна. Псевдонимизацията заменя идентификаторите с изкуствени, като същевременно запазва отделен ключ, който позволява повторна идентификация, когато е разрешено. Според GDPR, псевдонимизираните данни все още се считат за лични данни.
Защо откритията на PII използват както NLP, така и разпознавателите на шаблони?
Моделите на NLP откриват контекстно зависими субекти, като имена на хора и местоположения, които нямат фиксиран формат. Разпознавателите на шаблони използват регулярни изрази, за да уловят структурирани идентификатори като социални осигурителни номера, номера на кредитни карти и телефонни номера. Комбинирането на двата подхода максимизира точността на откритията за всички типове субекти.
Какво е криптиране с нулеви знания и защо е важно?
Криптирането с нулеви знания означава, че само вие притежавате ключа за декриптиране — доставчикът на услуги не може да прочете вашите данни. Това е важно, защото дори в случай на нарушение на сървъра, вашите криптирани данни остават нечетими без вашия ключ, осигурявайки най-силната възможна защита на данните.
Как се различава обратимото криптиране от хеширането?
Хеширането е трансформация в една посока — след като данните са хеширани, оригиналът не може да бъде възстановен. Обратимото криптиране (с помощта на AES-256-GCM) позволява на упълномощени потребители с правилния ключ да декриптират и възстановят оригиналните данни, позволявайки работни потоци, при които деанонимизацията е необходима.