En dynamisk Data Masking-lösning från Affecto skyddar känslig information åt Santanders bankkunder, utan att påverka befintliga databaser eller system.

Lagkraven för skydd av personuppgifter och känslig information i den digitala världen har blivit allt strängare. Santander Consumer Bank anlitade Affecto för att utveckla en dynamisk Data Masking-lösning för att skydda kundernas integritet. Denna är helt i samklang med nuvarande och även framtida förordningar, och påverkar inte existerande databaser och applikationer.

– Karakteristiskt är att lagar om integritetsskydd kommer plötsligt, tillsammans med åtföljande krav och skyldigheter, och dessa regler kan inte kringgås, säger Affectos systemutvecklare Espen Jorde.

– Endast de medarbetare inom banken som har en direkt arbetsrelaterad orsak kan få tillgång till personlig information om kunden; för andra medarbetare anonymiseras informationen, och känsliga uppgifter såsom namn, födelsedatum eller postnummer måste bytas ut. Utmaningen är att ge behöriga användare exakt rätt tillgång till kundernas personliga information, varken mer eller mindre. Datasekretessen definierar också hur länge banker får lagra data, och metoder för hur lagrad information ska raderas. Exempelvis ska en marknadsföringsavdelning kunna se endast personlig information för aktiva kunder, samtidigt som riskavdelningen i sina utvärderingar behöver planera mera långsiktigt, och därför behöver ha tillgång till kundens tidigare uppgifter.

Dessutom finns det situationer då vissa enskilda kunder kan ha särskilda skäl och behov av diskretion, till exempel på grund av politisk position eller kändisstatus, då maskeras identifierande information som exempelvis ålder och postnummer i rapporter.

SÄKERHET OCH FLEXIBILITET

Att byta ut IT-lösningar på en bank är ofta både kostsam och tidskrävande; det är ofta inte önskvärt att byta ut beprövade och betrodda system. Istället valde Santander Consumer Bank en lösning baserad på den nya Informatica Dynamic Data Masking-plattformen.

– Lösningen som Affecto utvecklat placeras som ett “skikt” av ”regler” mellan den existerande databasen och andra användarapplikationer. Det erbjuder snabb och förmånlig implementering, uppfyller sekretesskraven och kan enkelt anpassas till nya regler, exempelvis när nationella lagar utvidgas till att omfatta resten av EU, säger Oddrunn Moen, Director Business Intelligence IT Nordic hos Santander.

Systemet möjliggör loggning av databasförfrågningar som enkelt kan begränsas till personlig data om man så önskar, för att säkerställa att informationen endast hämtas för affärsändamål.

UNIK TEKNOLOGI

– Lösningen på Santanders Data Masking utmaning är att placera en “regelmotor” som ett skikt mellan databasen och användaren eller systemet. Detta gör det enkelt för oss att genomföra ändringar i reglerna i enlighet med nya krav eller förordningar, utan att varken databasen eller rapporterna behöver ändras, säger Espen Jorde.

Ju bättre kontroll bolaget har över datan, desto lättare och snabbare är det att genomföra dynamisk data masking i systemen. För Santander tog lösningen endast omkring fyra månader att utveckla. Att placera funktionen som ett skikt mellan databaserna och till exempel rapporteringssystem,  gör utvecklingstiden avsevärt kortare än för andra alternativ.

– Utmaningen är att göra en grundlig analys av data, vilket är en del av det som Affecto gjort i detta projekt, säger Oddrunn Moen, Director Business Intelligence IT Nordic, Santander.

Integritetsskyddslagstiftningen är i ständig förändring, och vi förväntar oss att den framöver kommer att bli ännu striktare, säger Espen Jorde. Informatica Dynamic Data Masking är det första verktyget som vi har använt, som löser dessa utmaningar utan att påverka databaser eller tillämpningar.