Classificar dados confidenciais em um aplicativo nativo da nuvem

Concluído

A primeira etapa para implementar a conformidade em um aplicativo nativo da nuvem é classificar os dados. A classificação de dados é o processo de identificação de dados que seu aplicativo usa por sua sensibilidade. A classificação de dados é feita atribuindo um rótulo a cada tipo de dados. Por exemplo, você pode rotular o nome de um usuário como "sensível" e a idade de um usuário como "não sensível".

Nesta unidade, você explorará alguns dos recursos de conformidade do .NET. Em seguida, você aprenderá como classificar dados em um aplicativo nativo da nuvem.

O que é compliance?

As organizações precisam estar em conformidade com suas próprias políticas internas e com regulamentos externos. Por exemplo, uma empresa pode ter uma política que diz que os dados do cliente não podem ser armazenados em um arquivo de log. Ou um governo pode ter criado regulamentos para impor o tratamento adequado dos dados dos clientes. Estas políticas e regulamentos são frequentemente referidos como requisitos de conformidade.

Os requisitos de conformidade são implementados criando um conjunto de regras que são aplicadas aos aplicativos de uma organização. Normalmente, uma equipe de conformidade é responsável por implementar regras de conformidade e, em seguida, garantir que elas sejam seguidas.

O que é a classificação de dados?

Classificação de dados é um termo usado em cibersegurança e governança da informação. A classificação de dados descreve o processo de identificação, categorização e proteção de conteúdo de acordo com sua sensibilidade ou nível de impacto. A classificação de dados protege os dados da sua organização contra divulgação, alteração ou destruição não autorizada com base na sua sensibilidade ou impacto.

A sua empresa decide implementar uma política de classificação de dados. Esta política classifica os dados em duas taxonomias:

  • Informações de Identificação do Utilizador Final (IIUE) - Informações que podem ser utilizadas para identificar um indivíduo. Por exemplo, o nome, endereço ou número de telefone de um usuário.
  • Identificadores pseudónimos do utilizador final (EUPI) - Informações que podem ser utilizadas para identificar uma pessoa, mas apenas se os dados forem combinados com outras informações. Por exemplo, o ID de um usuário para seus dados em um banco de dados ou endereço IP.

Como classificar dados em um aplicativo nativo da nuvem

A Microsoft adicionou uma nova extensão ao .NET que facilita a implementação da classificação de dados. A Microsoft.Extensions.Compliance.Classification extensão permite definir DataClassification e DataClassificationAttribute propriedades.

Para usar a extensão em sua solução, adicione o Microsoft.Extensions.Compliance.Redaction pacote NuGet ao seu projeto.

Por exemplo, o código para criar as taxonomias acima pode ter esta aparência:

using Microsoft.Extensions.Compliance.DataClassification;

public static DataClassification EUIIDataClassification {get;} = new DataClassification("EUIIDataTaxonomy", "EUIIData");

public static DataClassification EUPDataClassification {get;} = new DataClassification("EUPDataTaxonomy", "EUPData");

public class EUIIDataAttribute : DataClassificationAttribute
{
    public EUIIDataAttribute() : base(DataClassifications.EUIIDataClassification) { }
}

public class EUPDataAttribute : DataClassificationAttribute
{
    public EUPDataAttribute() : base(DataClassifications.EUPDataClassification) { }
}

Com suas taxonomias definidas, agora você pode anotar seus tipos de dados com o atributo apropriado. Por exemplo:

public class User
{
    [EUIIData]
    public string Name { get; set; }

    [EUIIData]
    public string Address { get; set; }

    [EUPData]
    public string UserId { get; set; }
}

Vamos ver como implementar a classificação de dados em um exemplo de aplicativo nativo da nuvem.