开发者概览
开发人员和开发人员运营 (DevOps) 可以完全隔离受监管的数据 InCountry 的无代码 Web 服务代理、REST API 和深层边缘服务:
建筑学
- InCountry Vault 通过访问策略和完整的审核日志安全地存储一个国家/地区内的受监管数据。
- Web 服务代理和 REST API 为开发人员和开发人员操作人员提供易于使用的界面来管理数据和调用深层边缘服务。
- 数据防火墙管理数据访问并使用人工智能数据丢失预防措施来确保受监管的数据不会离开某个国家/地区。
特征
- 避难所
- 网络服务代理
- 休息API
- 数据防火墙
- 加密与代币化
- 身份与身份授权
- 增删改查
- 搜索
- 分析
- 人工智能
- 功能
- 电子邮件
- 文件
- 付款方式
避难所
InCountry Vault 是 InCountry 数据驻留解决方案的核心。金库提供:
- 具有多个表、字段和索引的灵活架构。
- 具有查询过滤器和字段掩码的基于策略的访问控制。
- 通过查询记录后端应用程序系统以获取用户可以访问的行和字段来进行细粒度的访问控制。
- 灵活的字段屏蔽、标记化和散列。
- 使用 NIST 标准的可查询加密。
网络服务代理
InCountry 的 Web 服务可以对现有 Web 服务进行无代码编辑和重新插入受监管的数据。 InCountry 门户中的 Web 服务编辑器均支持创建、读取、更新和删除操作。每个编辑字段都可以分配多种标记化和加密技术。数据还可以通过算法进行屏蔽,以便导出到国外。
Web 服务代理还可以执行和响应典型的搜索 URL,并匹配应用程序现有搜索结果的格式。
Web 服务代理的另一个功能是不需要存储的匿名跨境数据传输。这对于 ETL 以及应用程序的本地实例与应用程序的全局实例之间的同步等用例非常有用。
休息API
InCountry 的 REST API 是一个简单的 API,可以从应用程序前端或后端调用。 REST API 熟悉且易于使用,支持创建、读取、更新和删除 (CRUD) 操作。此外,REST API 支持详细搜索、聚合分析、文件管理和调用驻留函数。
REST API 支持使用查询过滤器和字段掩码的基于策略的访问控制,以及通过查询记录后端应用程序系统以获取用户可以访问的行和字段来进行细粒度的访问控制。
数据防火墙
国内数据防火墙确保数据保留在地理边界内,并且只有加密数据或聚合数据才能跨境。该解决方案验证 IP 地址是否在一个国家/地区内、使现有 VPN IP 地址无效并确认用户权限。
数据防火墙还通过 AI 模型为每个源国家/地区执行数据丢失防护,以检测该国家/地区的母语的 PII,包括姓名、地址和身份号码。
了解更多
加密和匿名化
InCountry 提供多种屏蔽、标记化和哈希选项,以便跨境数据可以匿名化。 屏蔽是通过模板和正则表达式来完成的,以满足复杂的屏蔽要求。 生成的令牌可以匹配现有的数据结构并且也是确定性的,其中每次针对特定的原始值生成相同的令牌。 还可以使用多种哈希选项。
在 InCountry Vault 中,字段可以存储为完全可搜索的确定性 SHA-256 哈希值,而相应的值则使用 AES-256 加密存储。
身份与身份授权
对于高度监管的环境,可以在 InCountry 内管理用户、员工和客户 PII,并且全局身份提供程序包含屏蔽的用户名和电子邮件地址。 源应用程序和身份提供商指定用户可以访问哪些国家/地区。
用户对数据的授权可以是基于策略的,也可以是细粒度的。 国内访问策略可以包含查询过滤器、对读/写/删除功能的控制以及限制访问的字段。 此外,可以在字段级别设置屏蔽模板。 例如,可以将国外营销团队的访问策略设置为 30 天以内的记录、只读访问权限以及用星号屏蔽的标识字段。
通过使用现有后端应用程序的 API 来过滤结果集,可以实现对单个记录和字段的细粒度授权。
增删改查
InCountry 以记录为核心,为 (CRUD) 创建、读取、更新和删除操作提供全面支持。开发人员可以使用 InCountry REST API 从前端或后端执行 CRUD 操作。开发人员操作 (DevOps) 可以实现 Web 服务代理来动态编辑、匿名化和重新插入 CRUD 操作的受监管数据。
创建和更新记录会自动返回可由应用程序使用的匿名值。匿名值可以是屏蔽值、保留格式、哈希值或确定性令牌。
搜索
InCountry 可以匹配您现有的 Web 服务搜索端点,然后在 InCountry Vault 中本地执行搜索。存储在一个国家/地区的数据还可以通过复制不受管制的数据来扩展,以便执行更有效的搜索。例如,如果名字和姓氏在某个国家/地区内受监管并存储,但城市不受监管,则 InCountry 仍可以搜索姓氏 =“Han”且城市 =“Beijing”。
然后,建议的结果将由您的应用程序授权,以确保当前用户有权查看记录以及每条记录中的各个字段。然后,使用现有搜索 Web 服务返回搜索结果所用的相同 JSON 格式返回结果。
分析
InCountry 支持报告国内详细的监管数据,也支持报告国外的汇总和匿名数据。
一个国家内的详细分析可以通过过滤、分组和聚合将受监管的数据和不受监管的数据结合起来。您的应用程序可以继续提供向下钻取功能,并且用户可以使用他们有权查看的数据。例如,销售经理可以按城市查看总管道数量,并深入查看每个潜在客户。
国外的聚合分析使用 InCountry 的聚合功能,以便在国外运行的报告可以提供受监管数据的聚合。例如,销售经理可以按城市查看总管道金额,但无法深入查看每个潜在客户。
人工智能
来自多个国家/地区的国内保险库的数据可以使用字段级匿名技术输入到单个全球法学硕士中。名字和姓氏等数据字段可以匿名,法学硕士随后会对匿名数据进行标记。然后,LLM 可以在全球数据集上进行操作,而 LLM 用户无法了解受监管的数据字段。
对于直接在某个国家/地区的本地数据上运行的 AI 见解,可以完全部署 LLM在一个国家/地区内作为容器,并直接集成来自每个国家/地区的 InCountry Vault 的数据。为了防止每个国家/地区的数据丢失,可以屏蔽输入 LLM 的数据,或者可以在履行职责后清除容器。
功能
InCountry 提供无服务器功能,以便可以在受监管的数据上执行代码。用例包括验证值和执行计算。代码执行完全沙箱化和隔离,以防止数据丢失。目前,InCountry 函数支持 JavaScript,并且可以使用 AI 代码转换轻松翻译现有代码。
电子邮件
InCountry 的电子邮件服务使得运行无法查看用户电子邮件地址、姓名和其他 PII 的全球应用程序成为可能。 InCountry 电子邮件服务器可以编辑和取消编辑出站和入站电子邮件中的敏感数据。
对于出站电子邮件,带有散列电子邮件地址的电子邮件将发送到目标国家/地区的 InCountry SMTP,其中实际电子邮件地址和其他 PII 会插入电子邮件中,然后在境内发送国家。对于入站电子邮件,该服务会捕获电子邮件并编辑电子邮件地址和其他 PII,并用哈希值替换这些值,因此受监管的数据不会离开某个国家/地区。
文件
InCountry Files 服务支持 <15MB 的小文件作为标准 HTTP 附件,并支持使用类似于 S3 的 REST API 的大文件。文件必须附加到主记录,以防止孤立数据并支持合规性请求。
付款方式
InCountry Payments 服务是完全符合 PCI DSS 标准的解决方案,在每个国家/地区完全本地化,并且可以与每个国家/地区的不同指定支付处理器配合使用。您的应用程序不需要达到 PCI DSS 合规性,但仍然可以保持与支付处理器的独立性,并根据业务需求切换处理器,而不会中断客户保存的信用卡号或定期付款。
交钥匙企业级数据驻留解决方案
- 每个国家/地区有两个接入点,具有主动-主动故障转移功能
- SaaS、任意地点的单租户、AWS Outposts 和主权云选项
- 在不可预测的网络中保证消息传递
- 基于策略的授权和应用程序的细粒度授权
- 通过主动威胁监控确保 SDLC 和运营安全
- 灵活的屏蔽、标记化和散列,以及使用 NIST 标准的可搜索加密
- 通过数据防火墙和 AI PII 检测防止跨境数据丢失
- 为复杂司法管辖区的监管审批提供详细支持
- 可下载的审核日志跟踪每个事件