面向开发人员和 DevOps 的 InCountry 概述 - InCountry

开发者概览

完全隔离不同国家的监管数据并管理匿名跨境数据传输

开发人员和开发人员运营 (DevOps) 可以完全隔离受监管的数据 InCountry 的无代码 Web 服务代理、REST API 和深层边缘服务:

无需代码即可动态转换 Web 服务
无需代码即可动态转换 Web 服务
通过 InCountry 的 Web 服务代理指导某个国家/地区的现有 REST Web 服务,以动态编辑、匿名化和重新插入用于 CRUD 操作、搜索等的受监管数据。轻松将跨境数据传输匿名化到中央数据存储和应用程序。
使用 REST API 直接管理受监管的数据
使用 REST API 直接管理受监管的数据
从客户端或服务器调用 InCountry 的 REST API,直接管理一个国家/地区的受监管数据,以进行 CRUD 操作、搜索、报告等。然后使用现有的 API 将匿名数据发送到中央数据存储和应用程序。
通过保险库和深度边缘服务在全球范围内隔离受监管的数据
通过保险库和深度边缘服务在全球范围内隔离受监管的数据
InCountry 的安全保管库通过每个国家/地区的两个主动-主动存在点以及用于文件管理、报告、线程电子邮件等的深层边缘服务来管理受监管的数据。

建筑学

每个 InCountry 接入点都为应用程序前端和后端提供安全基础设施,以完全隔离一个国家/地区内的数据:
  • InCountry Vault 通过访问策略和完整的审核日志安全地存储一个国家/地区内的受监管数据。
  • Web 服务代理和 REST API 为开发人员和开发人员操作人员提供易于使用的界面来管理数据和调用深层边缘服务。
  • 数据防火墙管理数据访问并使用人工智能数据丢失预防措施来确保受监管的数据不会离开某个国家/地区。

特征

Web Services

避难所

InCountry Vault 是 InCountry 数据驻留解决方案的核心。金库提供:

  • 具有多个表、字段和索引的灵活架构。
  • 具有查询过滤器和字段掩码的基于策略的访问控制。
  • 通过查询记录后端应用程序系统以获取用户可以访问的行和字段来进行细粒度的访问控制。
  • 灵活的字段屏蔽、标记化和散列。
  • 使用 NIST 标准的可查询加密。

网络服务代理

InCountry 的 Web 服务可以对现有 Web 服务进行无代码编辑和重新插入受监管的数据。 InCountry 门户中的 Web 服务编辑器均支持创建、读取、更新和删除操作。每个编辑字段都可以分配多种标记化和加密技术。数据还可以通过算法进行屏蔽,以便导出到国外。

Web 服务代理还可以执行和响应典型的搜索 URL,并匹配应用程序现有搜索结果的格式。

Web 服务代理的另一个功能是不需要存储的匿名跨境数据传输。这对于 ETL 以及应用程序的本地实例与应用程序的全局实例之间的同步等用例非常有用。

Web Services

休息API

InCountry 的 REST API 是一个简单的 API,可以从应用程序前端或后端调用。 REST API 熟悉且易于使用,支持创建、读取、更新和删除 (CRUD) 操作。此外,REST API 支持详细搜索、聚合分析、文件管理和调用驻留函数。

REST API 支持使用查询过滤器和字段掩码的基于策略的访问控制,以及通过查询记录后端应用程序系统以获取用户可以访问的行和字段来进行细粒度的访问控制。

数据防火墙

国内数据防火墙确保数据保留在地理边界内,并且只有加密数据或聚合数据才能跨境。该解决方案验证 IP 地址是否在一个国家/地区内、使现有 VPN IP 地址无效并确认用户权限。

数据防火墙还通过 AI 模型为每个源国家/地区执行数据丢失防护,以检测该国家/地区的母语的 PII,包括姓名、地址和身份号码。
了解更多

加密和匿名化

InCountry 提供多种屏蔽、标记化和哈希选项,以便跨境数据可以匿名化。 屏蔽是通过模板和正则表达式来完成的,以满足复杂的屏蔽要求。 生成的令牌可以匹配现有的数据结构并且也是确定性的,其中每次针对特定的原始值生成相同的令牌。 还可以使用多种哈希选项。

在 InCountry Vault 中,字段可以存储为完全可搜索的确定性 SHA-256 哈希值,而相应的值则使用 AES-256 加密存储。

Encryption Tokenization

身份与身份授权

对于高度监管的环境,可以在 InCountry 内管理用户、员工和客户 PII,并且全局身份提供程序包含屏蔽的用户名和电子邮件地址。 源应用程序和身份提供商指定用户可以访问哪些国家/地区。

用户对数据的授权可以是基于策略的,也可以是细粒度的。 国内访问策略可以包含查询过滤器、对读/写/删除功能的控制以及限制访问的字段。 此外,可以在字段级别设置屏蔽模板。 例如,可以将国外营销团队的访问策略设置为 30 天以内的记录、只读访问权限以及用星号屏蔽的标识字段。

通过使用现有后端应用程序的 API 来过滤结果集,可以实现对单个记录和字段的细粒度授权。

Identity

增删改查

InCountry 以记录为核心,为 (CRUD) 创建、读取、更新和删除操作提供全面支持。开发人员可以使用 InCountry REST API 从前端或后端执行 CRUD 操作。开发人员操作 (DevOps) 可以实现 Web 服务代理来动态编辑、匿名化和重新插入 CRUD 操作的受监管数据。

创建和更新记录会自动返回可由应用程序使用的匿名值。匿名值可以是屏蔽值、保留格式、哈希值或确定性令牌。

搜索

InCountry 可以匹配您现有的 Web 服务搜索端点,然后在 InCountry Vault 中本地执行搜索。存储在一个国家/地区的数据还可以通过复制不受管制的数据来扩展,以便执行更有效的搜索。例如,如果名字和姓氏在某个国家/地区内受监管并存储,但城市不受监管,则 InCountry 仍可以搜索姓氏 =“Han”且城市 =“Beijing”。

然后,建议的结果将由您的应用程序授权,以确保当前用户有权查看记录以及每条记录中的各个字段。然后,使用现有搜索 Web 服务返回搜索结果所用的相同 JSON 格式返回结果。

Search

分析

InCountry 支持报告国内详细的监管数据,也支持报告国外的汇总和匿名数据。

一个国家内的详细分析可以通过过滤、分组和聚合将受监管的数据和不受监管的数据结合起来。您的应用程序可以继续提供向下钻取功能,并且用户可以使用他们有权查看的数据。例如,销售经理可以按城市查看总管道数量,并深入查看每个潜在客户。

国外的聚合分析使用 InCountry 的聚合功能,以便在国外运行的报告可以提供受监管数据的聚合。例如,销售经理可以按城市查看总管道金额,但无法深入查看每个潜在客户。

人工智能

来自多个国家/地区的国内保险库的数据可以使用字段级匿名技术输入到单个全球法学硕士中。名字和姓氏等数据字段可以匿名,法学硕士随后会对匿名数据进行标记。然后,LLM 可以在全球数据集上进行操作,而 LLM 用户无法了解受监管的数据字段。

对于直接在某个国家/地区的本地数据上运行的 AI 见解,可以完全部署 LLM在一个国家/地区内作为容器,并直接集成来自每个国家/地区的 InCountry Vault 的数据。为了防止每个国家/地区的数据丢失,可以屏蔽输入 LLM 的数据,或者可以在履行职责后清除容器。

Global AI
Global AI insights from ingested anonymized local data

功能

InCountry 提供无服务器功能,以便可以在受监管的数据上执行代码。用例包括验证值和执行计算。代码执行完全沙箱化和隔离,以防止数据丢失。目前,InCountry 函数支持 JavaScript,并且可以使用 AI 代码转换轻松翻译现有代码。

Functions

电子邮件

InCountry 的电子邮件服务使得运行无法查看用户电子邮件地址、姓名和其他 PII 的全球应用程序成为可能。 InCountry 电子邮件服务器可以编辑和取消编辑出站和入站电子邮件中的敏感数据。

对于出站电子邮件,带有散列电子邮件地址的电子邮件将发送到目标国家/地区的 InCountry SMTP,其中实际电子邮件地址和其他 PII 会插入电子邮件中,然后在境内发送国家。对于入站电子邮件,该服务会捕获电子邮件并编辑电子邮件地址和其他 PII,并用哈希值替换这些值,因此受监管的数据不会离开某个国家/地区。

Email

文件

InCountry Files 服务支持 <15MB 的小文件作为标准 HTTP 附件,并支持使用类似于 S3 的 REST API 的大文件。文件必须附加到主记录,以防止孤立数据并支持合规性请求。

Files

付款方式

InCountry Payments 服务是完全符合 PCI DSS 标准的解决方案,在每个国家/地区完全本地化,并且可以与每个国家/地区的不同指定支付处理器配合使用。您的应用程序不需要达到 PCI DSS 合规性,但仍然可以保持与支付处理器的独立性,并根据业务需求切换处理器,而不会中断客户保存的信用卡号或定期付款。

Payments

数据驻留和数据主权的企业级解决方案

企业就绪
企业就绪
  • 每个国家/地区有两个接入点,具有主动-主动故障转移功能
  • SaaS、任意地点的单租户、AWS Outposts 和主权云选项
  • 在不可预测的网络中保证消息传递
银行级安全性
银行级安全性
  • 基于策略的授权和应用程序的细粒度授权
  • 通过主动威胁监控确保 SDLC 和运营安全
  • 灵活的屏蔽、标记化和散列,以及使用 NIST 标准的可搜索加密
全球合规性
全球合规性
  • 通过数据防火墙和 AI PII 检测防止跨境数据丢失
  • 为复杂司法管辖区的监管审批提供详细支持
  • 可下载的审核日志跟踪每个事件