I dati PII (Personally Identifiable Information) si riferiscono a qualsiasi dato che possa essere utilizzato per identificare un individuo, direttamente o indirettamente. Le PII sono considerate dati sensibili e sono spesso oggetto di furto d'identità e di altre attività maligne. Le organizzazioni che raccolgono, archiviano ed elaborano le PII hanno la responsabilità di proteggerle e di limitarne la raccolta quando possibile.
La Format Preserving Encryption (FPE) è un algoritmo di crittografia che conserva il formato del set di dati originale, ma lo sostituisce con token privi di significato o valore intrinseco. Con la Format Preserving Encryption è possibile "tokenizzare" i dati sensibili, come i numeri di previdenza sociale e di carta di credito, per spostarli e archiviarli preservando la privacy e mantenendo la conformità.
In questo post esploriamo che cos'è la crittografia format-preserving, perché è fondamentale per proteggere le PII nei sistemi sensibili al formato e come il nuovo FPE Snap di SnapLogic consente una perfetta integrazione delle PII crittografate nei sistemi esistenti.
Esempi del mondo reale: come funziona FPE nella pratica
Consideriamo l'esempio della crittografia di dati PII come il numero di previdenza sociale. Utilizzando la crittografia tradizionale, il testo cifrato risultante sarebbe probabilmente una stringa apparentemente casuale di caratteri alfanumerici, senza alcuna somiglianza con il formato numerico originale a nove cifre. Questa discrepanza può rappresentare una sfida significativa per le applicazioni progettate per gestire solo formati validi di numeri di previdenza sociale, richiedendo potenzialmente ampie modifiche o workaround. Al contrario, applicando l'FPE allo stesso numero di previdenza sociale si otterrebbe un numero a nove cifre diverso, completamente crittografato e sicuro, ma perfettamente compatibile con i sistemi che prevedono quel formato specifico.
Ad esempio, la crittografia di un numero di previdenza sociale (SSN) "055-46-6168" (SSN in chiaro) in "569-83-4469" (SSN in cifrato). L'FPE garantisce che il testo cifrato mantenga lo stesso formato (lunghezza, numero di trattini, ecc.) del testo in chiaro originale. Ciò significa che anche il testo cifrato sarà un numero di nove cifre con trattini, conservando la struttura dell'SSN.
L'utilità di FPE si estende a diversi ambiti. Nelle transazioni finanziarie, la crittografia dei numeri di carta di credito, pur conservando la loro struttura a 16 cifre, consente una perfetta integrazione con i sistemi di elaborazione dei pagamenti esistenti senza richiedere modifiche fondamentali alle routine di convalida o agli schemi dei database. Allo stesso modo, nel settore sanitario, i numeri di identificazione dei pazienti o i codici assicurativi possono essere crittografati utilizzando l'FPE, garantendo la riservatezza dei dati e mantenendo il formato richiesto per l'interoperabilità tra diversi fornitori e sistemi sanitari. La conformità alle normative impone spesso formati di dati specifici per la rendicontazione. L'FPE consente alle organizzazioni di soddisfare questi requisiti crittografando i dati sensibili senza alterarne la struttura, semplificando le attività di conformità e riducendo il rischio di sanzioni per mancata conformità.
Inoltre, l'FPE può essere utilizzato per anonimizzare o pseudonimizzare i dati per scopi di ricerca o di analisi. Crittografando le informazioni identificative e preservandone il formato, le organizzazioni possono ricavare informazioni preziose dai dati senza esporre dettagli sensibili. Ciò consente una condivisione dei dati e una collaborazione più efficace, nel rispetto delle norme sulla privacy.
L'implementazione di FPE richiede complessi algoritmi matematici e un'attenta considerazione delle caratteristiche di sicurezza e prestazioni desiderate. Esistono diversi schemi FPE, ciascuno con i propri compromessi in termini di sicurezza, efficienza e supporto del formato. La scelta dell'algoritmo FPE appropriato dipende dal caso d'uso specifico e dalla sensibilità dei dati da proteggere. In generale, la crittografia format-preserving offre uno strumento potente e versatile per proteggere i dati in ambienti con vincoli di formato, consentendo alle organizzazioni di migliorare la protezione dei dati senza sacrificare l'efficienza operativa o la compatibilità del sistema.
All'interno di Snap: FPE semplificato con SnapLogic
Gli Snaplogic Snaps sono raccolte modulari di componenti di integrazione costruite per uno scopo specifico. SnapLogic fornisce uno Snap Software Development Kit (SDK) basato su Java che è stato utilizzato per risolvere questo complesso problema di dati PII. Riutilizzando librerie di crittografia ben note, è stato sviluppato uno Snap FPE per risolvere questo caso d'uso.
L'FPE Snap Pack cripta o decripta i dati in arrivo tramite snap separati: FPE Encrypt e FPE Decrypt. I dati vengono crittografati utilizzando l'algoritmo FF1, un componente della libreria crittografica Bouncy Castle. L'algoritmo FF1 è una tecnica FPE approvata dal National Institute of Standards and Technology (NIST). Per ulteriori informazioni sull'algoritmo, consultare i seguenti link:
- SP 800-38G, Raccomandazione per le modalità di funzionamento dei cifrari a blocchi: Metodi per la crittografia con conservazione del formato | CSRC
- Raccomandazione per le modalità di funzionamento dei cifrari a blocchi: Metodi per la crittografia con conservazione del formato
L'algoritmo FPE FF1 cripta i dati in modo tale che il testo cifrato mantenga la stessa lunghezza e lo stesso tipo di dati del testo in chiaro originale. Questa caratteristica dipende dall'alfabeto definito utilizzato per la crittografia. Prima della crittografia, l'algoritmo FF1 determina la lunghezza minima assoluta consentita per la stringa in ingresso. Se la lunghezza dei dati in ingresso è inferiore al minimo calcolato, l'algoritmo esegue un padding della stringa. Il padding consiste nell'aggiungere un carattere specifico alla stringa di ingresso fino a quando non soddisfa il requisito di lunghezza minima.
Il carattere utilizzato per il padding è configurabile. La stringa imbottita risultante viene quindi elaborata dall'algoritmo FF1 della libreria Bouncy Castle per produrre l'output finale crittografato, che mantiene il formato dell'input originale, sebbene potenzialmente imbottito.
Tutti i valori di crittografia condivisi sono configurabili tramite le impostazioni dell'account FPE Snap. È possibile configurare parametri quali la chiave di crittografia, il valore di Tweak, l'alfabeto, il carattere di imbottitura e la direzione di imbottitura.
Lo snap FPE Encrypt cripta i dati in entrata utilizzando le impostazioni dell'account condiviso. I valori dei campi dati da crittografare vengono definiti aggiungendo il campo e selezionando il tipo di dati in entrata, come mostrato nell'immagine seguente.
Allo stesso modo, FPE Decrypt Snap decifra i dati in arrivo utilizzando le impostazioni dell'Account condiviso.
Perché la conservazione del formato è importante per la protezione dei dati
La crittografia con conservazione del formato (FPE, Format Preserving Encryption) è uno strumento fondamentale per proteggere i dati sensibili mantenendone l'utilizzabilità, in particolare nei sistemi e nelle applicazioni legacy. Crittografando i dati in modo da preservarne il formato originale, l'FPE consente di archiviare ed elaborare i dati senza richiedere modifiche sostanziali all'infrastruttura esistente, riducendo i costi e i tempi di sviluppo. L'FPE offre anche un livello di sicurezza più elevato, grazie all'utilizzo di algoritmi crittografici forti che garantiscono l'integrità dei dati. Una volta crittografati in modo sicuro, i dati possono essere utilizzati. Esempi: formazione LLM, analisi dei dati, ecc.
SnapLogic FPE Snap Pack aiuta a ridurre la complessità dell'utilizzo di un algoritmo FPE incapsulando le complessità sottostanti in uno Snap Pack riutilizzabile. Questo Snap Pack può essere riutilizzato in molti progetti diversi all'interno del panorama dei clienti. Inoltre, l'interfaccia visuale di SnapLogic per la creazione di integrazioni di dati è incredibilmente facile da usare e intuitiva, e aiuta a risolvere i numerosi e complessi casi d'uso delle PII dei clienti.
Per saperne di più su SnapLogic Snap Packs, consultate la nostra pagina di documentazione. Se avete domande e volete approfondire, partecipate alla conversazione nella nostra Community. L'Integration Nation è qui per aiutarvi!
