Baze de date hipocratice

Noțiunea de baze de date hipocratice se referă la conservarea datelor private ale persoanelor în bazele de date computerizate. Amintiți-vă că legile, în multe țări, și autoreglementarea obligă companiile să considere că informațiile personale aparțin persoanei și că compania este pur și simplu custodia acestora.

Amenințare

Amenințările sunt numeroase:

• Indiscreție din partea angajaților. De exemplu, administratorul poate consulta aproape întotdeauna tot conținutul bazelor de date; utilizatorii avansați au adesea acces complet la aceste baze de date;
• Defecte ale sistemului informațional  : de exemplu, în cazul unei erori, mesajul poate afișa date care sunt în mod normal private;
• Furt de date;
• Vânzarea de date în scopul exploatării datelor  ;
• Utilizarea acestor date într-un scop diferit de cel promis inițial.

Problematic

Problema protecției vieții private impune două concepte principale:

• Notificare: utilizatorul trebuie să fie notificat cu privire la modul în care sunt utilizate datele sale.
• Consimțământ: utilizatorul este de acord cu utilizarea datelor sale în acest caz de utilizare.

Cerințe preliminare: acest articol solicită cunoștințe în administrarea bazelor de date.

Descriere

Definiție

O bază de date poate fi numită „Hipocrate” dacă sunt îndeplinite două cerințe:

• sistemul hipocratic gestionează preferințele individuale ale utilizatorilor. De exemplu, unul va fi de acord ca datele lor să fie utilizate pentru statisticile grupelor sanguine, celălalt nu.
• sistemul hipocratic se protejează împotriva accesului ilegal al tuturor actorilor din sistem: utilizatorul de bază nu poate vedea date de la alții și nici utilizatorul avansat (de exemplu medicul, pe care îl considerăm pentru cineva). „un serios și onest), nici administratorul bazei de date , nici administratorul de sisteme (persoana din companie care este responsabilă de instalarea, configurarea sau administrarea aplicațiilor pe servere), nici directorul general ... care își poate exercita puterea asupra administratorilor bazei de date pentru a cere să vadă anumite înregistrări private .

Două cerințe:

• Preferințele sunt individuale
• Protecția este consecventă

Primii corolari

• Managementul hipocratic ar trebui să fie gestionat în centrul sistemului de gestionare a bazelor de date și nu într-un cadru sau la un nivel superior. Numai prin acest mijloc vom putea aplica o politică de confidențialitate uniformă și coerentă împotriva tuturor actorilor sistemului.
• Este necesar să adăugați un control al contextului : un cercetător în statistici poate accesa identitatea subiecților săi într-un anumit context (de exemplu, să le verifice onestitatea) și la variabila pe care au fost de acord să o furnizeze (dacă s-ar fi întâmplat să mintă) un judecător de exemplu), dar nu are dreptul de acces la ambele în același timp.
• Este necesar să recuperăm preferințele oamenilor. Aici sunt utile limbi precum EPAL și P3P . Aceste limbi asigură comunicarea între un server web și un client web ( de exemplu, Mozilla ) și oferă utilizatorului funcția „notificare și consimțământ”. Prin urmare, facilitează transmiterea preferințelor personale către baza de date.
  • P3P este un limbaj gratuit creat împreună cu mai mulți jucători IT.
  • EPAL este un limbaj IBM care asigură comunicarea către Tivoli Privacy Manager , interfața IBM pentru gestionarea securității în DB2 (DBMS IBM).
• Este necesar să efectuați audituri de securitate. Astfel, dacă un director obligă un DBA să livreze conținutul bazei sale de date, ceea ce va fi întotdeauna posibil, asociațiile de consumatori vor fi alertate consultând rapoartele auditurilor de securitate efectuate de o terță parte.

Care este diferența cu gestionarea actuală a drepturilor?

Gestionarea actuală a drepturilor se bazează pe următoarele definiții:

• Utilizatori
• Roluri
• Privilegii

Un utilizator își asumă mai multe roluri. De exemplu, un manager de vânzări este o persoană de vânzări (deci toate drepturile vânzătorilor în ceea ce privește accesul la aplicațiile lor) și un director (deci drepturi pe care toți directorii de companii le au asupra managementului angajaților lor, finanțelor etc.). Fiecare rol este asociat cu un set de privilegii. De exemplu, agentul de vânzări va avea acces la întregul catalog din punct de vedere al prețului de vânzare, al stimulentului etc. dar nu va putea vedea prețurile de achiziție ale acelorași produse.

Deci, diferența dintre o gestionare a drepturilor ca aceasta și una „hipocratică” este că a doua se bazează pe:

• managementul contextului
• și gestionarea linie cu linie a preferințelor

Ce permite conceptul „hipocratic”

• împiedicați persoanele / aplicațiile să acceseze date în afara studiilor justificate.
• face posibilă, în timpul exploatării datelor și revânzării fișierelor, să eviți extragerea datelor atât de personale încât să poată fi identificată identitatea majorității indivizilor.
• pentru a da credibilitate gestionării datelor private.

Originea numelui

Noțiunea a fost inventată în principal de Rakesh Agrawal , cercetător la Centrul Almaden IBM (Silicon Valley).

Tehnici și metode

Propunere a cercetătorilor Rakesh Agrawal, Jerry Kiernan, Ramakrishnan Srikant și Yirong Xu

Propuneri actuale de la furnizorii de SGBD

Vezi și tu

• P3P și EPAL, care permit interfața cu utilizatorul cu privire la preferințele de confidențialitate.

Legături interne

• Protecția vieții private

linkuri externe

• Curriculum-ul Agrawal pe site-ul IBM
• Articol omonim, care raportează cercetările actuale din domeniul „Baze de date hipocratice” în raportul celei de-a 28- a  conferințe VLDB [PDF]