Criar regras de privacidade para avaliações de privacidade (versão prévia)
No Microsoft Priva Avaliações de Privacidade (versão prévia), você pode criar regras de privacidade para que as avaliações possam ser atribuídas automaticamente quando as condições de regra forem atendidas com base no estado do Mapa de Dados do Purview. Usando um construtor de condições simples, você cria uma regra com base em classificações de dados, SITs (tipos de informações confidenciais) no Mapa de Dados do Microsoft Purview ou outros metadados como atributos. A regra examina rotineiramente seu mapa de dados para determinar se algum dos estados atende às condições das regras definidas. Quando as condições da regra são atendidas, uma avaliação pode ser atribuída automaticamente a esses projetos sem precisar ser atribuída manualmente.
Há principalmente dois tipos de regras de privacidade. O primeiro tipo de regra avalia seus ativos de negócios (por exemplo, projetos) no contexto dos ativos de dados ou processos de dados relacionados a ele. O segundo tipo de regra identifica processos de dados ativos (por exemplo, pipelines) que atendem às condições da regra com base nas classificações de dados ou SITs processadas.
Ponta
As classificações de dados disponíveis para definir regras de privacidade incluem as classificações fornecidas no mapa de dados, bem como quaisquer classificações personalizadas criadas pela sua organização.
Componentes de regra
Uma regra de privacidade é composta por três partes:
Finalidade: determina se sua regra identifica um ativo comercial (por exemplo, projeto) e dados relacionados ou processos de dados ativos (por exemplo, um pipeline Azure Data Factory) que atendam às condições da regra.
Destino: o tipo de entidade atribuída a uma avaliação se as condições de regra forem atendidas; por exemplo, o tipo de ativo comercial ou o tipo de processo de dados que deve ser avaliado.
Condições: define o estado para o qual a regra será avaliada. Quando eles são verdadeiros, a ação especificada na próxima etapa é tomada.
Etapas para criar uma regra de privacidade
Em avaliações de privacidade, acesse a página Regras de privacidade e selecione Novo. Adicione um nome de regra e uma Descrição e, em seguida, progrida pelas etapas listadas abaixo.
Etapa 1. Selecione a finalidade desta regra: Designe o que a regra avalia:
Identificar usos comerciais de dados pessoais ou confidenciais que exigem avaliação (mais comum): use essa opção para avaliar ativos de negócios lógicos no mapa de dados, como um projeto ou um processo de negócios. Se o ativo comercial ou dados físicos ou processos estiver relacionado a atender às condições definidas nesta regra, uma avaliação de privacidade escolhida será atribuída automaticamente ao ativo comercial.
Identifique processos ativos em seu patrimônio de dados que usam dados pessoais ou confidenciais: essa opção permite que a regra de privacidade identifique processos de dados ativos em todo o seu patrimônio de dados. Os processos podem ser pipelines de dados, copiar ou transformar atividades ou outros conjuntos de ações que afetam seu patrimônio de dados, mas não são necessariamente representados com uma associação a um ativo comercial lógico que indica seu uso. Se esses processos atenderem à condição da regra, você poderá identificá-los, atribuir automaticamente uma avaliação e avaliar por que estão processando dados no escopo.
Acesse a guia abaixo que se alinha com a finalidade de sua regra para exibir o restante das etapas.
- Identificar usos comerciais de dados pessoais ou confidenciais que exigem avaliação
- Identificar processos ativos em seu patrimônio de dados que usam dados pessoais ou confidenciais
Etapa 2. Selecione o tipo de ativo comercial que essa regra avaliará
Selecione o tipo de ativo ao qual a regra se aplica. Se sua organização criou tipos de ativos personalizados, eles aparecerão na seleção de menu suspenso junto com os tipos de ativos padrão do Microsoft Purview.
Nota
As regras de privacidade só podem se aplicar a um tipo de ativo comercial por vez. Se você quiser avaliar vários tipos de ativos, precisará criar várias regras.
Etapa 3. Definir condições de regra
Crie as condições que, quando atendidas, atribuirão uma avaliação. Você pode adicionar várias condições, uma de cada vez, selecionando Adicionar condição.
Use o menu suspenso para selecionar se a regra se aplica quando Todas ou Qualquer uma das condições que você está prestes a definir são atendidas. No construtor de condições:
Definir uma relação específica no mapa de dados (opcional) é uma etapa opcional. Deixar a alternância Desativada é provavelmente a configuração comum. Se você deixar a alternância desativada, faça as seguintes seleções:
No tipo de condição , selecione uma das seguintes opções:
- Classificação de dados: define a condição com base em classificações de dados conhecidas em um ativo no escopo.
- Atributo: define a condição com base em campos de metadados padrão para cada tipo de ativo, como nome, descrição e datas de início e término.
- Atributos gerenciados: atributos personalizados adicionados ao mapa de dados por sua organização.
- SITs (tipos de informações confidenciais): define a condição com base em SITs conhecidos em um ativo no escopo.
No Escopo:
Selecione Inclui para a regra mais simples e amplamente inclusiva.
Se você quiser adaptar a condição a apenas dados processados ativamente, selecione Processar somente como entrada, Processos somente como saída ou Processos para entrada e saída.
No Operador, selecione qualquer um dos.
No tipo De dados, selecione um ou mais itens na lista. Os valores de lista são determinados com base na sua seleção para tipo de condição.
Alternar: selecione a opção alternar para a posição On se uma relação ou tipo de ativo específico for fundamental para a condição definida. Por exemplo, instâncias em que uma regra deve avaliar apenas um DataPipeline associado a um projeto exclusivo de outros ativos que também podem estar relacionados. Em seguida, faça as seguintes seleções:
Selecione uma Relação definida no mapa de dados entre o ativo escolhido na etapa 2 e outros tipos de ativos relacionados em seu patrimônio de dados.
Faça suas seleções para tipo de condição, escopo, operador e tipo de dados de acordo com as instruções acima.
Etapa 4. Selecione avaliações para atribuir automaticamente quando todas as condições dessa regra forem atendidas
Selecione uma das avaliações da sua organização no menu suspenso Avaliação , que será atribuído depois que as condições definidas forem atendidas.
Criar regra e executar uma avaliação de impacto
Quando terminar as etapas 1-4, você terá duas opções para criar a regra:
Selecione Criar e ativar regra para criar a regra e ativá-la. A regra é executada, identifica todos os ativos no escopo e atribui avaliações.
Selecione Criar como rascunho e execute a avaliação de impacto para criar a regra e salvá-la em um estado de rascunho. Você pode visualizar como isso afeta qualquer uma de suas atividades comerciais exibindo a avaliação de impacto de uma regra de rascunho:
- Selecione a regra que você criou na página Regras de privacidade .
- Selecione a guia Histórico de impactos .
- Exiba os detalhes de cada vez que a regra foi executada em seu estado de rascunho.
Nota
A avaliação de impacto não atribuirá nenhuma avaliação até que a regra seja ativada.
A coluna Resultados na guia Histórico de Impacto mostra quantas atividades que atenderam às condições da regra foram identificadas. Selecione Ver resultados para exibir mais detalhes no painel de sobrevoo de estimativa de impacto da regra . Se você estiver satisfeito com os resultados, selecione Ativar regra para ativá-la e executá-la ou selecionar Editar para fazer alterações na regra.
Verifique se a regra funciona
Você pode verificar se a regra funciona como projetada vendo se um ativo que atende às condições da regra tem a avaliação pretendida atribuída a ela.
Acesse a página Gerenciamento de avaliação em avaliações de privacidade e selecione a guia Ativos . Selecione o nome do ativo na lista, vá para sua página Privacidade e procure a avaliação listada na página. Se você não vir a avaliação esperada, volte e edite a regra.
Ponta
As regras são executadas em uma cadência. Se você não vir uma avaliação atribuída como esperado, marcar de volta após várias horas. Se o histórico de impacto ou os resultados de uma regra não estiver refletindo um ativo que você acredita estar no escopo, avalie o ativo e quaisquer ativos de dados relacionados para garantir que eles atendam às condições definidas na regra. Avalie todas as condições de regra para garantir que uma condição de exclusão não tenha sido criada por erro.