Clasificación de datos confidenciales en una aplicación nativa de nube
El primer paso para implementar el cumplimiento en una aplicación nativa de nube es clasificar los datos. La clasificación de datos es el proceso de identificación de los datos que usa la aplicación por su confidencialidad. La clasificación de datos se realiza mediante la asignación de una etiqueta a cada tipo de datos. Por ejemplo, puede etiquetar el nombre de un usuario como "confidencial" y la edad de un usuario como "no confidencial".
En esta unidad, explorará algunas de las características de cumplimiento de .NET. A continuación, aprenderá a clasificar datos en una aplicación nativa de nube.
¿Qué es el cumplimiento?
Las organizaciones deben cumplir sus propias directivas internas y con regulaciones externas. Por ejemplo, una empresa podría tener una directiva que indique que los datos del cliente no se pueden almacenar en un archivo de registro. O bien, un gobierno podría tener regulaciones para aplicar el control adecuado de los datos de los clientes. Estas directivas y regulaciones suelen denominarse requisitos de cumplimiento.
Los requisitos de cumplimiento se implementan mediante la creación de un conjunto de reglas que se aplican a las aplicaciones de una organización. Normalmente, un equipo de cumplimiento es responsable de implementar reglas de cumplimiento y, a continuación, asegurarse de que se siguen.
¿Qué es la clasificación de datos?
La clasificación de datos es un término que se usa en la ciberseguridad y la gobernanza de la información. La clasificación de datos describe el proceso de identificación, categorización y protección del contenido según su nivel de confidencialidad o impacto. La clasificación de datos protege los datos de las organizaciones frente a la divulgación, modificación o destrucción no autorizadas en función de la confidencialidad o impacto que tienen.
Su empresa decide implementar una directiva de clasificación de datos. Esta directiva clasifica los datos en dos taxonomías:
- Información de identificación del usuario final (EUII): información que se puede usar para identificar a una persona. Por ejemplo, el nombre, la dirección o el número de teléfono de un usuario.
- Identificadores seudónimos del usuario final (EUPI): información que se puede usar para identificar a un individuo, pero solo si los datos se combinan con otra información. Por ejemplo, el identificador de un usuario para sus datos en una base de datos o una dirección IP.
Clasificación de datos en una aplicación nativa de nube
Microsoft ha agregado una nueva extensión a .NET que facilita la implementación de la clasificación de datos. La extensión Microsoft.Extensions.Compliance.Classification permite definir propiedades DataClassification y DataClassificationAttribute.
Para usar la extensión en la solución, agregue el paquete NuGet Microsoft.Extensions.Compliance.Redaction al proyecto.
Por ejemplo, el código para crear las taxonomías anteriores podría tener este aspecto:
using Microsoft.Extensions.Compliance.DataClassification;
public static DataClassification EUIIDataClassification {get;} = new DataClassification("EUIIDataTaxonomy", "EUIIData");
public static DataClassification EUPDataClassification {get;} = new DataClassification("EUPDataTaxonomy", "EUPData");
public class EUIIDataAttribute : DataClassificationAttribute
{
public EUIIDataAttribute() : base(DataClassifications.EUIIDataClassification) { }
}
public class EUPDataAttribute : DataClassificationAttribute
{
public EUPDataAttribute() : base(DataClassifications.EUPDataClassification) { }
}
Con las taxonomías definidas, ahora puede anotar los tipos de datos con el atributo adecuado. Por ejemplo:
public class User
{
[EUIIData]
public string Name { get; set; }
[EUIIData]
public string Address { get; set; }
[EUPData]
public string UserId { get; set; }
}
Veamos cómo implementar la clasificación de datos en una aplicación nativa de nube de ejemplo.