概要
開発者と開発者業務 (DevOps) のための InCountry の概要
In Country は、次の 3 つのよく知られたアプリケーション パターンを使用して、アプリケーションにデータ常駐性を簡単に追加できるようにします。
建築
- InCountry Vault は国内の規制対象データを安全に保管します。
- InCountry Border は、規制されたデータに対する操作を、通常はコードを変更することなく Web サービス レベルで POS に委任できるようにするスイート サービスを提供します。
- InCountry Data Firewall のデータ損失防止はデータ アクセスを管理するため、規制されたデータが国外からアクセスされることはありません。
サービス
- ウェブサービス
- 暗号化と匿名化
- 身元
- 検索
- 機能
- Eメール
- 報告
- ファイル
- 支払い
- AI
ウェブサービス
InCountry の Web サービス サービスを使用すると、既存の Web サービスの規制データをコードレスで編集および再挿入できます。作成、読み取り、更新、削除の操作はすべて、In Country ポータルの Web サービス エディターでサポートされています。編集された各フィールドには、さまざまなトークン化および暗号化技術を割り当てることができます。データを国外に輸出するためにアルゴリズムでマスクすることもできます。
Web サービス サービスの追加機能は、ストレージを使用せずにトークン化とマスキングによるデータ変換を可能にすることです。これは、データ パイプラインや IoT などのユースケースに役立ちます。
暗号化と匿名化
InCountry は、フィールド レベルで指定されるさまざまな暗号化、トークン化、ハッシュ、および仮名化機能を提供します。トークン化は決定論的であり、特定の元の値に対して毎回同じトークンが生成されます。仮名化機能には、正規表現を使用した数値の変更と柔軟なデータ マスキングが含まれます。
身元
InCountry は特定の国向けにアプリケーションの規制対象データを管理しますが、ソース アプリケーションは引き続きユーザー認証を提供し、すべてのアクションとデータ アクセスを許可します。ソース アプリケーションと ID プロバイダーは、ユーザーがアクセスできる国を指定し、ロールベースのアクセス制御 (RBAC)、属性ベースのアクセス制御 (ABAC)、およびポリシーベースのアクセス制御 (PBAC) を引き続き提供します。クローンされたアクセス ポリシーを複製して維持することは非常に難しいため、特にきめの細かいアクセス制御を備えたアプリケーションの場合は、既存のユーザー モデルを使用することが重要です。
厳しく規制された環境では、ユーザー、従業員、顧客の PII を In Country 内で管理でき、グローバル ID プロバイダーにはマスクされたユーザー名と電子メール アドレスが含まれます。
検索
InCountry は、既存の Web サービス検索エンドポイントと一致し、In Country Vault 内でローカルに検索を実行できます。国内に保存されているデータは、より効率的な検索を実行するために複製された規制されていないデータで拡張することもできます。たとえば、名と姓が国内で規制および保存されているが、都市は規制されていない場合でも、Incountry は姓 = “Han” および City = “Beijing” の検索を実行できます。
提案された結果はアプリケーションによって承認され、現在のユーザーがレコードと各レコード内の個々のフィールドを表示する権限を確実に与えられます。結果は、既存の検索 Web サービスが検索結果を返すために使用するのと同じ JSON 形式を使用して返されます。
機能
InCountry は、規制されたデータに対してコードを実行できるようにサーバーレス機能を提供します。ユースケースには、値の検証と計算の実行が含まれます。コードの実行は完全にサンドボックス化され、データ損失を防ぐために分離されます。現在、In Country 関数は JavaScript をサポートしており、既存のコードは AI コード変換を使用して簡単に翻訳できます。
Eメール
InCountry の電子メール サービスを使用すると、ユーザーの電子メール アドレス、名前、その他の PII を認識できないグローバル アプリケーションを実行できます。 In Country 電子メール サーバーは、送信電子メールと受信電子メールの両方からの機密データを編集したり編集解除したりできます。
アウトバウンド電子メールの場合、ハッシュ化された電子メール アドレスを含む電子メールは、対象国を含む In Country SMTP に送信され、実際の電子メール アドレスとその他の PII が電子メールに挿入されてから、内部で送信されます。国。受信電子メールの場合、このサービスは電子メールをキャプチャし、電子メール アドレスやその他の PII を編集して値をハッシュ値に置き換えることができるため、規制されたデータが国外に流出することはありません。
報告
InCountry は 2 つのレポート使用例を提供します。国内では詳細な規制対象データを報告し、国外では集計され匿名化されたデータを報告します。
国内での詳細なレポートでは、フィルタリング、グループ化、集計を使用して、規制されたデータと規制されていないデータを組み合わせることができます。アプリケーションは引き続きドリルダウン機能を提供でき、ユーザーは表示を許可されたデータを使用できます。たとえば、営業マネージャーは都市ごとのパイプラインの合計金額を確認し、ドリルダウンして各見込み客を確認できます。
国外での集計レポートでは InCountry の集計機能が使用されるため、国外で実行されるレポートは規制されたデータの集計を提供できます。たとえば、営業マネージャーは都市ごとのパイプラインの合計金額を確認できますが、ドリルダウンして各見込み客を確認することはできません。
ファイル
InCountry Files サービスは、標準の HTTP 添付ファイルとして 15 MB 未満の小さいファイルと、S3 と同様の REST API を使用した大きいファイルをサポートします。孤立したデータを防ぎ、コンプライアンス要求をサポートするには、ファイルをプライマリ レコードに添付する必要があります。
支払い
InCountry Payments サービスは、完全に PCI DSS に準拠したソリューションであり、各国に完全にローカライズされており、国ごとに異なる指定支払処理業者と連携できます。アプリケーションは PCI DSS 準拠を達成する必要はありませんが、顧客が保存したクレジット カード番号や定期的な支払いを中断することなく、ビジネス要件に応じて支払いプロセッサからの独立性を維持したり、プロセッサを切り替えたりすることができます。
AI
フィールドレベルの匿名化技術を使用して、複数の国の In Country ボールトからのデータを単一のグローバル LLM に入力できます。姓名などのデータ フィールドは匿名化でき、その後、LLM が匿名化されたデータをトークン化します。その後、LLM はグローバル データ セット上で実行できるようになりますが、LLM ユーザーは規制されたデータ フィールドを参照することができません。
国のローカル データを直接操作する AI 洞察の場合、LLM をコンテナとして国内に完全に展開し、各国の In Country Vault から直接データを統合できます。各国でデータ損失防止を維持するために、LLM に入力されたデータをマスクしたり、その役割を実行した後にコンテナをパージしたりすることができます。
完全に冗長化されたインフラストラクチャ
InCountry は、各国の 2 つの安全な Point-of-Presence 間でデータを同期および複製します。冗長アーキテクチャにより、高可用性と耐障害性が実現します。
InCountry は通常、各国で 2 つの異なる電力網にわたって、国の 2 つの異なる地域で 2 つの異なるインフラストラクチャ プロバイダーを使用します。いくつかの例外があります。シンガポールなど、当社が事業を展開している一部の国では、電力網が 1 つしかありません。中国では、In Country は Alibaba Cloud と緊密なパートナーシップを結んでおり、北京と深センの両方の施設を提供しています。