Ochrona danych
Tryby wykrywania, biblioteka 60 detektorów, wykrywanie nazwisk, powiadomienie modelu i retencja.
Ochrona danych działa na każdym żądaniu przed wysyłką. Domyślny tryb to tokenize: każda wykryta wartość jest zamieniana na stabilny typizowany token, taki jak «EMAIL_1». Do dostawcy trafiają wyłącznie tokeny, a w drodze powrotnej do Ciebie odpowiedź jest przywracana do prawdziwych wartości, niezależnie od tego, czy jest strumieniowana. Mapa tokenów żyje w pamięci przez czas trwania żądania i nigdy nie jest utrwalana.
Inne tryby: mask nieodwracalnie przepisuje wykryte wartości, block odrzuca żądanie z kodem 422, a allow_log przepuszcza je, oznaczając wpis w audycie.
60 wbudowanych detektorów działa od ręki: 28 dla danych osobowych, w tym walidowany sumą kontrolną pakiet krajowych numerów identyfikacyjnych UE, oraz 32 dla sekretów i poświadczeń. Każdy można włączać per organizacja, a terminy własne (zwykłe lub regex) obejmują wszystko, co specyficzne dla Twojej firmy:
Wykrywanie nazwisk
Nazwiska to najtrudniejsza klasa PII: nie pasuje do nich żaden wzorzec. Sluis dodaje cztery opcjonalne warstwy: heurystyki kontekstowe (tytuły grzecznościowe, zwroty, podpisy), korelację e-mail (wyprowadza nazwiska z adresów w tym samym tekście), katalog nazwisk tenanta oraz NER, własny wielojęzyczny model rozpoznawania Sluis, który jest dostarczany razem z wdrożeniem i działa w jego obrębie, więc tekst nigdy nie opuszcza Twojego perymetru w celu przeskanowania.
Powiadomienie dla modelu
Gdy tokenizacja przepisała żądanie, Sluis wstrzykuje na początku wiadomość systemową informującą model, że tokeny «…» to nieprzezroczyste symbole zastępcze, które musi zachować w nienaruszonym stanie; to właśnie zapewnia niezawodne przywracanie. Domyślnie włączone; dostosuj lub wyłącz per organizacja.
Retencja i wierność audytu
Retencja treści (body żądań i odpowiedzi dla dziennika audytu) jest domyślnie włączona i szyfrowana w spoczynku; wierność audytu decyduje, czy zachowana treść przechowuje tokeny, czy wartości oryginalne. Wyłącz retencję, by mieć rejestr wyłącznie z metadanymi; to wyłącza także cache'e odpowiedzi.