Classificar dados confidenciais em um aplicativo nativo de nuvem
A primeira etapa para implementar a conformidade em um aplicativo nativo de nuvem é classificar os dados. A classificação de dados é o processo de identificação dos dados que seu aplicativo usa de acordo com sua confidencialidade. A classificação de dados é feita atribuindo um rótulo a cada tipo de dados. Por exemplo, você pode rotular o nome de um usuário como "confidencial" e a idade de um usuário como "não confidencial".
Nesta unidade, você explorará alguns dos recursos de conformidade do .NET. Em seguida, você aprenderá a classificar os dados em um aplicativo nativo de nuvem.
O que é conformidade?
As organizações precisam estar em conformidade com suas políticas internas e com regulamentos externos. Por exemplo, uma empresa pode ter uma política que diz que os dados do cliente não podem ser armazenados em um arquivo de log. Ou um governo pode ter criado regulamentos para impor o tratamento adequado dos dados dos clientes. Essas políticas e regulamentos são frequentemente chamados de requisitos de conformidade.
Os requisitos de conformidade são implementados criando um conjunto de regras que são aplicadas aos aplicativos de uma organização. Normalmente, uma equipe de conformidade é responsável por implementar regras de conformidade e, depois, garantir que elas sejam seguidas.
O que é classificação de dados?
A classificação de dados é um termo usado em segurança cibernética e governança da informação. A classificação de dados descreve o processo de identificação, categorização e proteção do conteúdo de acordo com sua confidencialidade ou nível de impacto. A classificação de dados protege os dados da sua organização contra alteração, destruição ou divulgação não autorizadas com base no seu nível de confidencialidade ou impacto.
Sua empresa decide implementar uma política de classificação de dados. Esta política classifica os dados em duas taxonomias:
- (EUII) Informações de Identificação do Usuário Final: informações que podem ser usadas para identificar um indivíduo. Por exemplo, o nome, endereço ou número de telefone de um usuário.
- EUPI (Identificadores Pseudônimos de Usuário Final): informações que podem ser usadas para identificar um indivíduo, mas somente se os dados forem combinados com outras informações. Por exemplo, a ID de um usuário para seus dados em um banco de dados ou endereço IP.
Como classificar dados em um aplicativo nativo de nuvem
A Microsoft adicionou uma nova extensão ao .NET que facilita a implementação da classificação de dados. A extensão Microsoft.Extensions.Compliance.Classification permite que você defina as propriedades DataClassification e DataClassificationAttribute.
Para usar a extensão em sua solução, adicione o pacote NuGet Microsoft.Extensions.Compliance.Redaction ao seu projeto.
Por exemplo, o código para criar as taxonomias acima poderia ter a seguinte aparência:
using Microsoft.Extensions.Compliance.DataClassification;
public static DataClassification EUIIDataClassification {get;} = new DataClassification("EUIIDataTaxonomy", "EUIIData");
public static DataClassification EUPDataClassification {get;} = new DataClassification("EUPDataTaxonomy", "EUPData");
public class EUIIDataAttribute : DataClassificationAttribute
{
public EUIIDataAttribute() : base(DataClassifications.EUIIDataClassification) { }
}
public class EUPDataAttribute : DataClassificationAttribute
{
public EUPDataAttribute() : base(DataClassifications.EUPDataClassification) { }
}
Com suas taxonomias definidas, agora você pode anotar seus tipos de dados com o atributo apropriado. Por exemplo:
public class User
{
[EUIIData]
public string Name { get; set; }
[EUIIData]
public string Address { get; set; }
[EUPData]
public string UserId { get; set; }
}
Vamos ver como implementar a classificação de dados em um exemplo de aplicativo nativo de nuvem.