¿Cómo manejar datos geográficos confidenciales?

Utiliza datos geográficos confidenciales todos los días. ¿Cuáles son sus estrategias para protegerlos en sus sistemas de información geográfica?

¿Qué tipo de arquitectura usas?

¿Qué método de encriptación usas?

¿Qué hace para los usuarios que exportan datos confidenciales de sus bases de datos?

Con una base de datos geoespaciales multiusuario, puede implementar Row Level Security (RLS). Puede hacer esto con PostgreSQL (y PostGIS), Oracle y MS SQL Server, y probablemente otros. Lo he visto implementado hasta los niveles QGIS y SDE. Lo que RLS hace es implementar privilegios en las filas (características GIS) que los usuarios individuales o grupos de usuarios pueden seleccionar / actualizar / eliminar.

Por ejemplo, el usuario "bob" puede iniciar sesión en una base de datos geoespaciales utilizando una conexión encriptada, y extraer una capa SIG que muestra solo las características que está autorizado a ver y editar. Mientras que el usuario "demandar" puede cargar la misma capa SIG y ver una vista diferente de las características SIG que está autorizada a ver y editar.

A veces administro datos confidenciales y eso no se puede separar en bits públicos y privados como en mi otra respuesta preferida porque la geometría lo revela todo. Un buen ejemplo son los nidos de rapaces (los polluelos de halcón peregrino alcanzan excelentes precios en el mercado negro) y los lameros de sal (¿por qué tener toda la caza fría y miserable si solo puedo sentarme y esperar a que la presa entre en mi mira por sí sola?).

En este caso, nuestras estrategias son difuminar los datos: amortiguar los puntos usando unidades grandes y un desplazamiento aleatorio o centroide, solo mostrar o compartir los mapas y no los datos sin procesar. A veces dejamos caer la geometría de los puntos y unimos los atributos con un polígono principal más grande, por ejemplo, "en algún lugar dentro del polígono delimitado por estos 2 ríos y esa carretera hay una lama de sal" y eso es lo que se comparte fuera de la unidad.

Tengo una respuesta fuera de banda: simplemente, hago todo lo posible para no manejar datos confidenciales si puedo evitarlo.

De acuerdo, en la cara si esa no es una respuesta muy útil. Hagámoslo aún más. Lo aprendí muchas veces cuando los clientes acuden a mí y me dicen que necesitan proteger los datos de tal manera que una exploración cuidadosa de sus datos y objetivos revele que no hay tanto para proteger como se pensaba inicialmente. . A veces, las cosas verdaderamente privadas se pueden separar sin demasiados problemas. Mantiene esa tabla de cumpleaños y las ubicaciones de la dirección de su casa allí, en su sistema de archivos privado. Mantendré la geometría aquí en el espacio de grupo de trabajo compartido, y puede unirse a ellos cuando sea necesario utilizando esta columna de ID.

El principio básico es: mantener la responsabilidad de administrar la seguridad lo más cerca posible de la fuente, del hogar.

De esta manera, aunque podría administrar los datos espaciales, en realidad no sé casi nada al respecto y, por lo tanto, nunca puede ser un vector para su exposición potencial. Pienso que es similar al protocolo básico de seguridad informática que un administrador de sistemas puede restablecer su contraseña o bloquear la cuenta, pero en realidad no leerla.

yo suelo postgresql con capacidades postgis .

Los datos se pueden cifrar y acceder a través de cuentas de usuario con permisos de base de datos explícitos; es decir, superusuario frente a no privilegiado.

Las solicitudes de datos se pueden manejar con consultas SQL simples o complejas para los subconjuntos y los datos relevantes se distribuyen mientras se protege la información confidencial (no distribuible).

Admite la ejecución en una LAN cerrada o en un entorno totalmente en red y con o sin un entorno multiusuario.

Por supuesto, hay varios otros RDBMS , pero postgresql es de código abierto.

Estas estrategias se aplican en varias compañías que conozco

1. Permitir el acceso a las fuentes de datos solo en el área de interés del proyecto actual
2. Use servicios WEB como WMS y WFS en lugar de acceso directo a datos de archivos y bases de datos
3. Todos los usuarios trabajan en Terminal Server con acceso restringido a los recursos de red.

Hay un artículo interesante que describe y evalúa varios enfoques para proteger la privacidad:

MP Armstrong, Rushton G, Zimmerman DL. Enmascaramiento geográfico de datos de salud para preservar la confidencialidad . Stat Med. 1999; 18: 497-525.

( Texto completo )

Aunque se centra en datos relacionados con la salud, muchos de los enfoques discutidos pueden ser relevantes en otras disciplinas.

Consejo nacional de investigación. Poner a las personas en el mapa: proteger la confidencialidad con datos sociales y espaciales vinculados . Washington, DC: The National Academies Press, 2007.

( Texto completo )

Otro buen recurso integral que discute aspectos teóricos, éticos y también tecnológicos de los datos espaciales relacionados con la salud.

Para una gran colección de documentos que discuten los métodos y las implicaciones del manejo de datos espaciales sensibles, eche un vistazo a la página Documentos seleccionados de confidencialidad y datos geoespaciales de SEDAC .