Перейти к содержанию

Настройка параметров конфиденциальности данных

  • Latest Dynatrace
  • 5 мин чтения

Dynatrace позволяет гибко управлять тем, какие данные вы хотите собирать. В зависимости от ваших сценариев использования вы можете настроить Dynatrace для предоставления необходимого объёма данных из отслеживаемых сред. Однако имейте в виду, что защита персональных данных ваших клиентов при использовании Dynatrace является вашей ответственностью.

Мы предлагаем несколько уровней маскировки, настраиваемых либо в общих настройках среды — которые применяются ко всему тенанту — либо более детально для следующих отслеживаемых сущностей.

  • Приложения
  • Сервисы (группы процессов)
  • Источники логов

Для доступа к общим настройкам конфиденциальности данных среды

  1. Перейдите в Settings > Preferences > Data privacy. Откроется страница Data privacy.
  2. Переключайтесь между вкладками для изучения всех настроек конфиденциальности данных.

Если не указано иное, все настройки на странице Data privacy применяются как к данным, собранным из веб-браузеров конечных пользователей, так и к данным, собранным OneAgent на стороне сервера.

Помимо настроек на странице Data privacy, вы также можете маскировать логи, собираемые OneAgent, ограничить доступ к персональной информации, а также пометить некоторые атрибуты запросов как конфиденциальные.

Обратите внимание, что Dynatrace маскирует данные в соответствии с нашими тремя уровнями защиты данных: при сборе, при хранении и при отображении. В следующих разделах настройки конфиденциальности данных сгруппированы по этим уровням защиты.

Маскировка при сборе

При маскировке при сборе данные маскируются при первом контакте с Dynatrace. Исходные данные не покидают отслеживаемую среду.

Маскировка на стороне OneAgent

OneAgent версии 1.277+ для URL OneAgent версии 1.285+ для сообщений об исключениях

Для доступа к этой настройке перейдите в Settings > Preferences > Data privacy > OneAgent-side masking.

Отключено по умолчанию

OneAgent может маскировать конфиденциальные точки данных при первом контакте. Конфигурация выполняется непосредственно на OneAgent; настроенные точки данных не отправляются на серверы Dynatrace и более недоступны.

  • В зависимости от ваших сценариев использования и потребностей в данных вы можете создать пользовательские правила маскировки для маскирования точек данных, описанных в таблице ниже.
  • Dynatrace также предоставляет встроенные правила маскировки, описанные в таблице ниже. По умолчанию эти правила деактивированы во всех платных (не пробных) средах Dynatrace.
Тип конфиденциальных данных Строка маскировки для встроенного правила, OneAgent версии 1.330 и ниже Строка маскировки для встроенного правила, OneAgent версии 1.331+
Email-адреса в URL 1 <masked> <masked-email-oa>
Параметры/значения запросов <masked> <masked-value-oa>
IBAN и номера платёжных карт <masked> <masked-financial-oa>
Идентификаторы и последовательные номера <masked> <masked-digits-oa>

1

OneAgent версии 1.309+ может маскировать email-адреса, содержащие процентно-кодированные символы (такие как %40). Поддерживается как URL-кодирование, так и base64URL-кодирование.

Вы можете применить эти настройки к конкретным отслеживаемым группам процессов или глобально ко всей среде.

  • Для конкретной группы процессов: Перейдите в Technologies Technologies & Processes Classic > категория группы процессов > группа процессов > Settings > OneAgent-side masking.
  • Для всей среды: Перейдите в Settings > Preferences > Data privacy > OneAgent-side masking.

Настройки маскировки на стороне OneAgent не влияют на JavaScript RUM Dynatrace. Для веб-приложений используйте опцию Mask personal data in URIs для управления маскировкой конфиденциальных данных в URL.

Для использования преимуществ многоуровневой защиты настраивайте маскировку при сборе независимо от настроек маскировки при хранении и при отображении. Обратите внимание, что точки данных, замаскированные при сборе, более недоступны. Дополнительное применение маскировки при хранении создаёт второй уровень защиты, который может быть полезен для различных нормативных требований.

Маскировка логов

В Log Management and Analytics вы можете использовать полностью настраиваемые правила маскировки для логов, собираемых OneAgent.

Маскировка IP-адресов конечных пользователей

Для доступа к этой настройке перейдите в Settings > Preferences > Data privacy > IP masking.

Включено по умолчанию

Dynatrace собирает IP-адреса и GPS-координаты конечных пользователей для определения региона, из которого они обращаются к вашему приложению.

При включённой опции Mask end-user IP addresses and GPS coordinates Dynatrace маскирует IP-адреса и GPS-координаты конечных пользователей, собранные Real User Monitoring и мониторингом на стороне сервера. Последний октет IPv4-адресов и последние 80 бит IPv6-адресов заменяются нулями. GPS-координаты округляются до 1 десятичного знака (~10 км). Маскировка происходит внутри приложения, отслеживаемого процесса или эндпоинта приёма биконов, так что данные уже замаскированы до отправки (данные в транзите) на кластер Dynatrace. Определение местоположения выполняется по анонимизированным IP-адресам и GPS-координатам.

Опция Mask end-user IP addresses and GPS coordinatesMask all IP addresses включена по умолчанию для новых сред.

Для мобильных приложений Dynatrace использует координаты устройства через GPS или Wi-Fi. Если приложение имеет разрешение на использование этой геолокационной информации, Dynatrace использует её для определения ближайшего города к указанной GPS-позиции. В противном случае Dynatrace использует MaxMind Geo2 Database.

Маскировка действий пользователей

Для доступа к этой настройке перейдите в Settings > Preferences > Data privacy > General.

Отключено по умолчанию

Опция Mask user actions (web applications only) влияет только на Real User Monitoring для веб-приложений. При включении этой опции Dynatrace использует обобщённые значения для имён действий пользователей.

Когда Dynatrace обнаруживает действие пользователя, которое вызывает загрузку страницы или AJAX/XHR-действие, он формирует имя действия на основе:

  • Типа пользовательского события, например, click on..., loading of page... или keypress on...
  • Заголовка, подписи, метки, значения, ID, className или другого доступного свойства соответствующего HTML-элемента, например, изображения, кнопки, чекбокса или текстового поля

В большинстве случаев подход к именованию действий по умолчанию работает хорошо и даёт имена, такие как:

  • click on "Search" on page /search.html
  • keypress on "Feedback" on page /contact.html
  • touch on "Homescreen" of page /list.jsf

В редких случаях email-адреса, имена пользователей или другие конфиденциальные данные могут непреднамеренно попасть в имена действий. Это происходит, когда конфиденциальные данные включены в метку, атрибут или значение HTML-элемента, что приводит к именам действий вида click on "My Account Number: 1231231". Если такие конфиденциальные данные появляются в именах действий вашего приложения, включите Mask user actions (web applications only). Эта настройка заменяет конкретные имена и значения HTML-элементов на обобщённые имена HTML-элементов.

При включённой маскировке имена действий, перечисленные выше, будут выглядеть так:

  • click on INPUT on page /search.html
  • keypress on TEXTAREA on page /contact.html
  • touch on DIV of page /list.jsf

Чтобы избежать сбора персональной информации в действиях пользователей мобильных приложений, ознакомьтесь с информацией о маскировке действий мобильных пользователей.

Маскировка при хранении

При маскировке при хранении данные отправляются на сервер Dynatrace для оптимального анализа и маскируются перед сохранением.

Маскировка персональных данных в URI

Для доступа к этой настройке перейдите в Settings > Preferences > Data privacy > General.

Отключено по умолчанию

Dynatrace собирает полные URI запросов, отправленных из настольных и мобильных браузеров, а также URI запросов, отправленных и полученных отслеживаемыми серверными процессами. URI могут содержать персональные данные, такие как имена пользователей, пароли или идентификаторы.

При включённой опции Mask personal data in URIs Dynatrace обнаруживает персональные данные — email-адреса, IBAN, номера платёжных карт, IP-адреса, UUID и другие идентификаторы — в URI, заголовках, сообщениях об исключениях и данных, собранных для атрибутов запросов. Он маскирует эти данные при хранении, заменяя их строкой <masked>. Значения параметров запроса также заменяются строкой <masked>. Идентификаторы и номера должны содержать не менее 5 десятичных или шестнадцатеричных цифр для маскировки.

Примеры маскировки URI

В результате персональные данные маскируются в анализе распределённых трассировок, анализе ошибок, именах действий пользователей для RUM и в других местах Dynatrace.

Обратите внимание на разницу между данными, замаскированными звёздочками *****, и данными, заменёнными на <masked>. Подробнее см. Маскировка при отображении.

Маскировка при отображении

При маскировке при отображении данные хранятся в исходном виде, но доступны только выбранным вами пользователям.

Ограниченный доступ к персональным данным

Dynatrace автоматически считает определённые собираемые точки данных конфиденциальными и отображает их только пользователям, имеющим разрешение View sensitive request data. Все остальные пользователи видят, что точка данных существует, но персональные данные маскируются звёздочками *****.

Если ваша организация собирает персональные данные пользователей, такие как email-адреса, IP-адреса или пароли, в процессе мониторинга, следует ограничить доступ к этим данным, чтобы только авторизованные пользователи могли их просматривать. Также обратите внимание, что только пользователи с разрешением View sensitive request data могут переопределять настройки маскировки данных.

Обратите внимание, что следующие типы данных считаются конфиденциальными и маскируются при отображении:

  • Атрибуты запросов, помеченные как конфиденциальные
  • IP-адреса клиентов
  • Сообщения об исключениях
  • Параметры URL-запроса
  • HTTP-заголовки
  • HTTP POST-параметры
  • Исходные захваченные значения аргументов методов (результирующий атрибут запроса обрабатывается отдельно)

Конфиденциальные атрибуты запросов

Атрибуты запросов — это пары ключ-значение метаданных, фильтруемые во всех представлениях сервисов и распределённых трассировок Dynatrace.

Dynatrace позволяет вам решить, должен ли атрибут запроса быть помечен как конфиденциальный. Для управления атрибутами запросов необходимо иметь разрешение Manage capturing of sensitive request data.

Режим согласия (Opt-in)

Для доступа к этой настройке перейдите в Settings > Preferences > Data privacy > General.

Отключено по умолчанию

Чтобы дать конечным пользователям возможность самостоятельно решать, должна ли их активность отслеживаться, включите режим согласия (opt-in).

По умолчанию RUM автоматически создаёт куки. При включённой опции Data-collection and opt-in mode ни OneAgent, ни JavaScript RUM не устанавливают куки, и JavaScript RUM не собирает никаких данных. После того как конечный пользователь примет вашу политику в отношении куки, вы можете активировать RUM для этого пользователя через вызов JavaScript API dtrum.enable(). С помощью вызова API dtrum.disable() вы можете реализовать диалог, позволяющий конечным пользователям прекратить отправку данных мониторинга в Dynatrace даже после того, как они ранее согласились и dtrum.enable() уже был вызван.

Do Not Track

Для доступа к этой настройке перейдите в Settings > Preferences > Data privacy > General.

Включено по умолчанию

Ещё один метод защиты конфиденциальности конечных пользователей — функция «Do Not Track». Когда пользователь включает эту функцию, его браузер добавляет HTTP-заголовок DNT ко всем исходящим веб-запросам. Этот заголовок указывает, что пользователь предпочитает не быть отслеживаемым.

После включения Comply with "Do Not Track" browser settings вы можете выбрать один из двух вариантов:

  • Capture anonymous user sessions for "Do Not Track"-enabled browsers: При обнаружении заголовка DNT Dynatrace собирает данные RUM, но исключает всю персональную информацию, которая может привести к идентификации пользователя. IP-адрес маскируется, и информация о теге пользователя не отправляется.

При включённой настройке User tracking Dynatrace по-прежнему устанавливает постоянный куки для определения возвращающихся пользователей. * Turn Real User Monitoring off for "Do Not Track"-enabled browsers: При обнаружении заголовка DNT Dynatrace не собирает никаких данных из браузеров с включённой настройкой «Do Not Track».

Если вы отключите Comply with "Do Not Track" browser settings, Dynatrace игнорирует настройку «Do Not Track» браузера и заголовок DNT.

Опция Comply with "Do Not Track" browser settingsCapture anonymous user sessions for "Do Not Track"-enabled browsers включена по умолчанию для всех сред и приложений.

Отслеживание пользователей

Для доступа к этой настройке перейдите в Settings > Preferences > Data privacy > General.

Отключено по умолчанию

Настройка Use persistent cookies for user tracking позволяет включить или отключить использование постоянных куки для идентификации возвращающихся пользователей.

При включении JavaScript RUM устанавливает постоянный куки в браузерах конечных пользователей, указывающий, что браузер ранее использовался для доступа к вашему приложению. При отключении RUM Classic больше не может связывать сессии с одним и тем же пользователем при перезапуске браузера. Узнайте, как мы храним этот куки.