Dynamisk Datamaskering hos Santander Oslo, 6. september 2012 Oddrun Moen – Director Business Intelligence IT Nordic, Santander Espen Jorde – Executive Advisor, Affecto Norway Norway
Agenda Kort om Santander Behov Løsning – dynamisk maskering Verdien dette gir Santander
Fra Elcon Finans til Santander Consumer Bank Før Santander Santander 1963 - 2004 2005 - … ELCON Finans et ledende norsk selskap innen: - utstyrsfinansiering - factoring - bilfinansiering Oppstart bil Sverige Oppstart utstyrsfinansiering Danmark Oppstart utstyrsfinansiering Sverige Santander kjøper opp ELCON Selskapet fisjonert Bilfinans beholdt Bankia Bank oppkjøp (kort) Oppstart Personlån Norge Oppstart bilfinans Danmark Oppstart bilfinans Finland Oppkjøp GE Finland 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009
Det nordiske markedet 16 % 17 % 54 % 13 % Etablert 1963 (ELCON) Bilfinans / kort / personlån Aktiva 33, milliarder NOK 29 % markedsandel bilfinansiering 5 % markedsandel kort Etablert 2000 Bilfinansiering/direktelån Aktiva 10,0 milliarder NOK 15 % markedsandel Etablert Q1 2007 Bilfinansiering / direktelån Aktiva 10,1 milliarder NOK 25 % Market share – auto finance Etablert Q4 2007 Bilfinansiering Aktiva 7,6 milliarder NOK 22 % markedsandel NORGE DANMARK SWEDEN FINLAND Totale aktiva: 60,5 milliarder NOK Ansatte: 564 NORDEN SVERIGE 54 % 17 % 16 % 13 % Source: External and internal sources assets from June 2012
Behov og utfordringer Eksterne krav Interne krav Datatilsynet Personopplysningsloven Konsesjon Data kun ved tjenstlig behov Finanstilsynet Risikovurdering på kundenivå Alle tilgjengelige opplysninger skal brukes EU Interne krav Mest mulig data Tilgang baser på roller Fleksibilitet Basel II IT Endringer kostbare Kompleksiset koster i kroner og i feil Ikke et foredrag om lovkrav, hva som skal maskeres etc (egenskaper på data og roller/ansvar: tjenestlig behov)-> juridisk Persondata kun ved tjenstlige behov, Tjenstlige behov varierer mellom roller, Logging av bruk av persondata, Særskilte personer skal behandles spesielt, Krav om at risiko skal vurderes basert på alle tilgjengelige data EU: forordning fra 2014
Alternative løsninger Skille ut alle persondata Redesign Gjøre endringer i tabellene slik at persondata skilles fra andre data Krever endringer i datamodeller, lastejobber og rapporter Bygge maskeringsløsning selv Bygge selv Designe views som filtrerer data basert på regler Kjøpe løsning Kjøpe maskeringsløsning som tilpasses Kjøpe maskeringssoftware som tilpasses Santanders behov
Datamaskering Kundenr Kundenavn 1234591237 Ola Nordmann 3548915648 ************* 2138099914 5674841522 9455574456 9534642124 4896664854 Per Madsen
Kan skille mellom bruk og brukere Datamaskering Statisk Fysisk erstatte data Endelig Lite fleksibelt Dynamisk «On the fly» Kan gjøres om Kan skille mellom bruk og brukere Kan endres raskere Test/Utvikling Produksjon
Dynamisk datamaskering Kundenr Kundenavn Siste kjøp 1234591237 Ola Nordmann 1.7.2012 3548915648 ************* 31.12.2011 2138099914 15.2.2008 5674841522 16.3.2007 9455574456 5.8.2010 9534642124 1.1.2005 4896664854 Per Madsen 13.2.2012 Kundenr Kundenavn Siste kjøp 1234591237 Ola Nordmann 1.7.2012 3548915648 Kari Nordmann 31.12.2011 2138099914 Lars Johannesen 15.2.2008 5674841522 Per Syversen 16.3.2007 9455574456 Jan Johansen 5.8.2010 9534642124 Anne Hansen 1.1.2005 4896664854 Per Madsen 13.2.2012 Kundenr Kundenavn Siste kjøp 1234591237 Ola Nordmann 1.7.2012 3548915648 Kari Nordmann 31.12.2011 2138099914 ************* 15.2.2008 5674841522 16.3.2007 9455574456 Jan Johansen 5.8.2010 9534642124 1.1.2005 4896664854 Per Madsen 13.2.2012
Uten maskering SELECT Kundenr, Navn, sum(omsetning) FROM F_Omsetning GROUP BY Navn 9421345 Kunde Kundesen 45 000 2584564 Ola Nordmann 38 000 8865454 Kari Nordmann 70 000 3369455 Kåre Konsulent 29 000
Dynamisk maskering SELECT SELECT Kundenr, Kundenr, Navn, ‘**********’, sum(omsetning) FROM F_Omsetning GROUP BY Navn SELECT Kundenr, ‘**********’, sum(omsetning) FROM F_Omsetning GROUP BY ‘**********’ 9421345 ********** 45 000 2584564 38 000 8865454 70 000 3369455 29 000
Også gjennom view SELECT SELECT Kundenr, Kundenr, Navn, ‘**********’, omsetning FROM VIEW_Omsetning SELECT Kundenr, ‘**********’, omsetning FROM VIEW_Omsetning 9421345 ********** 45 000 2584564 38 000 8865454 70 000 3369455 29 000
Logging / blokkering SELECT SELECT * * FROM FROM Kunder Kunder WHERE NAVN = ‘DRONNING SONJA’ SELECT * FROM Kunder WHERE NAVN = ‘DRONNING SONJA’
Hvorfor Dynamisk Datamaskering? Billigere Raskere utvikling og forvaltning Rimeligere å lage regler for data enn å bygge om eksisterende løsninger Enklere Lett å tilpasse til nye regler og tabeller Raskere å stramme inn eller slippe opp på regler Retting av feil kan skje svært raskt Maskeringen påvirker bare det maskerte Fleksibelt Lett å implementere nye regler Nye regler kan raskt testes ut og implementeres. Regler kan variere fra bruker til bruker, dermed kan man teste ut regler på produksjonsdata uten at alle brukere påvirkes
Oppsummering Det er utfordrende å lage enkle løsninger på komplekse problemer Utfordringer: Ny teknologi er nybrottsarbeide både teknisk og organisatorisk Datamaskering er ikke bare teknologi Verdi: Minimale endringer i eksisterende løsning Fleksibelt Raskt å endre