EP3903463A1 - Plateforme de sécurisation de données - Google Patents
Plateforme de sécurisation de donnéesInfo
- Publication number
- EP3903463A1 EP3903463A1 EP19836809.4A EP19836809A EP3903463A1 EP 3903463 A1 EP3903463 A1 EP 3903463A1 EP 19836809 A EP19836809 A EP 19836809A EP 3903463 A1 EP3903463 A1 EP 3903463A1
- Authority
- EP
- European Patent Office
- Prior art keywords
- data
- security
- client
- platform
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 54
- 238000012545 processing Methods 0.000 claims description 45
- 238000000586 desensitisation Methods 0.000 claims description 20
- 230000006870 function Effects 0.000 claims description 18
- 238000004422 calculation algorithm Methods 0.000 claims description 15
- 238000003860 storage Methods 0.000 claims description 13
- 238000004891 communication Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 9
- 230000002776 aggregation Effects 0.000 claims description 7
- 238000004220 aggregation Methods 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 7
- 230000000873 masking effect Effects 0.000 claims description 7
- 238000003672 processing method Methods 0.000 claims description 7
- 230000002427 irreversible effect Effects 0.000 claims description 6
- 238000006467 substitution reaction Methods 0.000 claims description 6
- 238000005304 joining Methods 0.000 claims description 4
- 230000010076 replication Effects 0.000 claims description 4
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000012986 modification Methods 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 230000003362 replicative effect Effects 0.000 claims description 2
- 238000012546 transfer Methods 0.000 claims 2
- 230000009466 transformation Effects 0.000 description 9
- 230000008901 benefit Effects 0.000 description 6
- 230000002441 reversible effect Effects 0.000 description 6
- 230000001052 transient effect Effects 0.000 description 6
- 238000000844 transformation Methods 0.000 description 5
- 238000013480 data collection Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000011282 treatment Methods 0.000 description 3
- 101100422889 Arabidopsis thaliana SWI3A gene Proteins 0.000 description 2
- ZLSSXLNNHMPGJW-UHFFFAOYSA-N [1-hydroxy-4-[methyl(pentyl)amino]-1-phosphonobutyl]phosphonic acid Chemical compound CCCCCN(C)CCCC(O)(P(O)(O)=O)P(O)(O)=O ZLSSXLNNHMPGJW-UHFFFAOYSA-N 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 238000005184 irreversible process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000002994 raw material Substances 0.000 description 1
- 238000012958 reprocessing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000005303 weighing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
Definitions
- the present invention relates to the field of detection of intellectual property infringement in a completely distributed environment open to sharing and in particular data security.
- the collection server upon receipt of encrypted collected profile data, the collection server selects a targeted advertisement based on the decrypted profile data, - the collection server transmits to the anonymization server a targeted message including the anonymized identification data and the targeted advertisement
- the anonymization server transmits the targeted announcement to the user terminal corresponding to the decrypted identification data.
- This system teaches the use of an anonymization server by a data collection server.
- the document US2014304825 or EP 2 734 953 teaches a data anonymization method comprising: the reading of parameters of an anonymization procedure from a configurable anonymization procedure resource, the reading parameters defining a flow of job to receive data to anonymize and apply one or more transformations to it, and in which the read parameters also include an indication of an authorized number of simultaneous processing threads to receive the data and apply the transformation (s) anonymization; receiving data to be anonymized from a data source in accordance with the defined workflow, the data source being identifiable from one or more of the read parameters; and applying one or more anonymization transformations to the data received according to the defined workflow, in which the transformation or transformations comprise the transformation of at least an original part of the data received into a transformed part, and in which the steps consisting to receive data and apply one or more anonymization transformations are performed using no more than the allowed number of concurrent processing threads specified in the read parameters.
- This document teaches a limitation to a number of authorized threads, which is incompatible with a public platform intended for any user and any reprocessing of the data with a view to its protection.
- This document limits the anonymization transformation (s) applied which are one or more selected from the group comprising: a hash; write; filter; find and replace; replacement with random values; validation; and masking.
- the offer of data security and / or desensitization services must not be limited by a number of threads or by the choice of transformations.
- the present invention aims to overcome certain drawbacks of the prior art and in particular to encourage and facilitate the sharing of data in a decentralized environment, by offering the owner the possibility of protecting or and securing all or part of his data. .
- the present invention relates to a platform for securing data managed or manipulated in an information system (IS), the platform comprising:
- At least one multiprocessing service comprising at least:
- a request service comprising an IT and software infrastructure to analyze the requests transmitted by each client via a client / web service channel interface (webservice);
- at least one processing server comprising at least one processor, a memory comprising a set of programs / algorithms, the execution of which on said processor implements a set of processing methods for securing client data, for storing them in a database, said set of processing methods comprising at least:
- the platform being characterized in that said set of methods also includes a combined security method of tokenization and anonymization of data, the choice of implementation of choice being carried out automatically by the result of the analysis of the needs formulated by the client in his request (s) and security instructions formulated by the manager.
- the requests are transmitted encrypted from the client terminal by a key assigned to the user or the company, the platform receiving the user's certificate authenticates it, searches the trunk for the associated decryption key and decrypts and analyzes the data in the request message.
- the platform for securing data managed or manipulated in an information system comprises at least one manager interface to allow a client manager of an IS to transmit data securing instruction files specific to each client of said IS.
- the platform for securing data managed or manipulated in an information system comprises at least one certificate service comprising at least one IT infrastructure comprising at least one processor, a memory containing at least one program of which the execution on the processor generates an authentication certificate specific to each client of said SI to connect to the platform and / or to the multiprocessing service and issue data security processing requests.
- the platform for securing data managed or manipulated in an information system (IS) is characterized in that the multiprocessing service comprises a program, the execution of which on said processor makes it possible to compare entries made by the client as and when with the data of the GDPR file stored in its own dedicated secure safe audit client and generate an error indication or a modification suggestion satisfying the GDPR standard, the entries validated by the client being stored in said safe and, in the event that the client overrides the suggestion, systematically send a message with a token or anonymous message with a flag indicating GDPR non-compatibility.
- the multiprocessing service comprises a program, the execution of which on said processor makes it possible to compare entries made by the client as and when with the data of the GDPR file stored in its own dedicated secure safe audit client and generate an error indication or a modification suggestion satisfying the GDPR standard, the entries validated by the client being stored in said safe and, in the event that the client overrides the suggestion, systematically send a message with a token or anonymous message with a flag indicating GDPR non-comp
- the multiprocessing service is based on a multi-column and multi-site architecture and comprises at least two data centers having a column structure for data processing, at least one data replicator device for configuring each data center data so as to obtain identical data in each of the columns of the data centers, at least one load distributor (4) configured to distribute dynamically and without interruption treatment requests independently on each of the columns according to their load, at least a data bus configured to allow synchronization of the data between said data centers, each column comprising at least one processing server and at least one secure database.
- each data center (10a, 10b) comprises at least one security layer comprising at least one device comprising at least one processor, a memory comprising a set of programs whose execution makes it possible to generate, store and protect cryptographic keys to secure at least the data processed.
- the data processing server is connected to the device of the security layer via a communication means in order to recover cryptographic keys used to secure the data according to the type of processing requested by each client of the IS.
- the processing server of each data center comprises wired / wireless communication means for transferring the processed data into at least one secure database and securing access to said data via the cryptographic keys recovered in the security device of the security layer.
- the processing server of each data center comprises wired / wireless communication means for connecting to the dedicated dedicated safe of each IS client and transferring the data processed by said customer according to his preferences.
- the data is first sent to the tokenization module and then the anonymization module having received the data during the tokenization combines the data with the token received from the token creation module. (tokenizer) to generate tokenized-anonymized information to send to the client.
- the invention also relates to a server, comprising one or more computer safes and implementing a service allowing an information system (IS) accessing the server to set up security for its sensitive data which it stores and / or manipulates, by: implementing the correct security methods, such as anonymization or pseudonymization, vis-à-vis sensitive data by configuring the configuration of the security instructions transmitted by an interface the manager and authorizing their storage in one or more areas of safes dedicated to each manager,
- IS information system
- the desensitization of a data can be carried out by association of the token (Token) with a concatenation of personal data (Name, First name, Address, Telephone number, ...) and storage.
- a final object of the invention is to propose an architecture allowing the implementation of the service. This goal is achieved by a multi-column and multi-site computer system, allowing batch processing, comprising an application web interface with firewall, a server as described in the present request, as well as a database.
- each manager to memorize the security configurations as a function of the data or of a plurality of users to memorize each certificate assigned to each user and other security services for each column, a load balancing device allowing requests to be broadcast independently on all columns of the architecture and a replication system allowing identical columns, each server providing specific reception for IS managers via a specific interface allowing the definition of '' at least one storage security for each type of data and user authentication and p opening providing each user with a token serving as pivot data.
- the server includes a software tool for
- a second Randomization to reduce the accuracy of the data by adding noise, by replacing one data with another while keeping the substitution or permutation in the memory of the safe.
- the server (60, 6a, 6b, 6c, 6d) provides a specific reception for IS managers realizing an interface for the manager's terminal to allow the manager to define by selection in several menus the type of data (personal, scientific, technical, commercial,) for each type a data definition attribute, for personnel, name, telephone, home address, employer, office address, etc., for scientist, calculations, new product, etc. ..., for commercial: new market, etc ).
- type of data personal, scientific, technical, commercial,
- the server provides a specific reception of the IS managers realizing an interface for the terminal to define a plurality of users with for each a certificate to allow an authentication of each user and a definition of the types of accessible data or types of accessible services, this data being stored in a safe specific to the company represented by the manager.
- the server providing a specific reception for the IS managers realizes an interface to define according to the classifications of the data the Desensitization Rules to be respected according to the classification of the data.
- the desensitization of a data is carried out in association with the Token with a concatenation of the personal data (Name, First name, Address, Telephone number, ...) and storage.
- FIG 1 Figure 1 schematically shows an SI system architecture according to the invention.
- Figure 2 shows schematically the use of the platform
- FIG 3 presents the scenario which makes it possible to replace the data with an irreversible token while retaining the uniqueness of the entry;
- FIG. 4 presents the scenario allowing anonymization of personal data by the application of a blurring method .
- FIG. 6 shows an example of the result of using the data desensitization rules applied to a bank card
- FIG. 7 shows an example of algorithm (tokenization) generation of a token corresponding to a data
- the present invention relates to a data security platform.
- the solution works on a multi-column and multi-site IT architecture allowing batch processing comprising a load distribution device (4) allowing requests to be broadcast independently on all columns.
- a replication system makes it possible to have identical columns.
- This multi-column architecture or computer system or “redundant architecture” allows for a service close to continuous service despite the technical and security developments that are imposed to comply with a security policy.
- Each IS management client is isolated on a specific reception by a specific interface allowing secure storage and authentication.
- the data security platform managed or manipulated in an information system includes:
- At least one multiprocessing service comprising at least:
- a request service comprising an IT and software infrastructure for analyzing the requests transmitted by each client via a client / web service channel interface (webservice);
- At least one processing server (60, 6a, 6b, 6c, 6d) comprising at least one processor, a memory comprising a set of programs / algorithms whose execution on said processor implements a set of processing methods securing customer data, to save it in a database (7a, 7b, 7c, 7d), said set of processing methods comprising at least:
- Said set of processing methods also includes a combined security method of tokenization and anonymization of the data, the choice of implementation according to choice being carried out automatically by the result of the analysis of the needs formulated by the customer in his or its requests and security instructions formulated by the manager
- the solution allows, through machine learning, using numerous use cases, to be able to produce different results according to the constraints linked to the GDPR standard.
- the solution provides one or more data desensitization methods, for example by anonymizing predefined personal data and / or by providing a reference token on this data.
- the solution allows the clear data to be given back to the user who has the token by simply calling this token on the server.
- batch processing allows large volumes to be taken into account.
- the solution works on a quad-column architecture with an input load distributor (4).
- This technical architecture is distributed, for example, on two datacenters (data center (10a, 10b)).
- the columns are application synchronized by a data bus (5) (for example and without limitation, a payment bus) between the two data centers.
- a data bus (5) for example and without limitation, a payment bus
- the offer is deployed on dedicated physical servers to allow monitoring of permanent security and application upgrades.
- the reception of flows can be done according to expected volumes on dedicated or shared safes (71, 72).
- the safe (71, 72) can hold up to 200 million sensitive data (PAN, IBAN or other ..).
- the data is stored on a MYSQL database (7a, 7b, 7c, 7d).
- the architecture also includes in each column or data center (10a, 10b) and of computation (datacenter) a security layer comprising at least one device (8a, 8b, 8c, 8d) or one (Hardware Security Module HSM) Hardware Module Security which is a device considered inviolable offering cryptographic functions.
- a security layer comprising at least one device (8a, 8b, 8c, 8d) or one (Hardware Security Module HSM) Hardware Module Security which is a device considered inviolable offering cryptographic functions.
- the security keys are present in the HSM (8a, 8b, 8c, 8d) of the security layer.
- a security hardware module (HSM) is a dedicated encryption processor, specially designed to offer a security service which consists of generating, storing and protecting security cryptographic keys throughout their life cycle.
- the multiprocessing service is based on a multi-column and multi-site architecture and comprises at least two data centers having a columnar structure for data processing, at least one replicating device for configuring each data center (10a, 10b ) so as to obtain identical data in each of the columns of the data centers, at least one load distributor (4) configured to distribute dynamically and without interruption treatment requests independently on each of the columns according to their load, at least a data bus (5) configured to allow synchronization of data between said data centers, each column comprising at least one processing server and at least one secure database (7a, 7b, 7c, 7d).
- each data center (10a, 10b) comprises at least one security layer comprising at least one device (8a, 8b, 8c, 8d) comprising at least one processor, a memory comprising a set of programs including the execution makes it possible to generate, store and protect cryptographic keys to secure at least the data processed.
- the data processing server is connected to the device (8a, 8b, 8c, 8d) of the security layer via a communication means in order to retrieve cryptographic keys used to secure the data according to the type of processing requested by each IS customer.
- the processing server of each data center (10a, 10b) comprises wired / wireless communication means for transferring the data processed in at least one database (7a, 7b, 7c, 7d) secure and secure access to said data via the cryptographic keys recovered in the security device (8a, 8b, 8c, 8d) of the security layer.
- the processing server of each data center (10a, 10b) comprises wired / wireless communication means for connecting to the dedicated secure safe (71, 72) of each IS client and transferring the data processed by said customer according to his preferences.
- the requests are transmitted encrypted from the client terminal by a key assigned to the user or the company, the platform receiving the user's certificate authenticates it, searches in the safe (71, 72) the key associated decryption and decrypts and then analyzes the data of the request message.
- the platform comprises at least one manager interface to allow a client managing an IS to transmit data security instruction files specific to each client of said SI.
- K-anonymity / Aggregation consists of modifying the actual data (partially or totally)
- K-anonymity / Aggregation The techniques of aggregation and k-anonymity aim to prevent a data subject from being isolated by grouping it with, at least, k other individuals.
- the connections to the safe (71, 72) are made by WEBServices with a client certificate.
- it comprises at least one certificate service comprising at least one IT infrastructure comprising at least one processor, a memory containing at least one program whose execution on the processor generates an authentication certificate specific to each client of said IS to connect to the platform and / or the multiprocessing service and issue data security processing requests.
- the multiprocessing service includes a program, the execution of which on said processor makes it possible to compare entries made by the client as they go along with the data of the GDPR file stored in the dedicated dedicated safe (71, 72) own customer audit and generate a error indication or a modification suggestion satisfying the GDPR standard, the entries validated by the customer being memorized in said safe (71, 72) and, in the event that the customer exceeds (overdoes) the suggestion, systematically send a message with a token or anonymous message with a flag indicating GDPR non-compatibility.
- the tool uses various and combinable techniques of data desensitization and at the choice of the user.
- pseudonymization can be an alternative to anonymization. Unlike the latter, pseudonymization is a reversible process which consists in replacing one attribute by another within a record. Pseudonymization is a technique, for example, preferred in projects where the identity of an individual is not essential
- the tool (63) (DANNY.
- the Danny tool can include at least one tokenizer (62)) for data desensitization is based on three nested concepts:
- Authentication Control of the validity of the certificate (1 per calling customer) certified by a certification authority.
- This authentication is mutual authentication
- this authentication allows entry into the PCI zone; only the serial number of the certificate allows access to the associated safe (71, 72).
- Second concept -The implementation of a large number of anonymization and / or pseudonymization methods existing on the server to meet any need to secure sensitive data.
- Pseudonymization Make impossible any link between the pseudonym and the real person, so reversibility is impossible.
- BPS Preserving Encryption
- Masking consists of modifying the actual data (partially or totally)
- K-anonymity / Aggregation The techniques of aggregation and k-anonymity aim to prevent a data subject from being isolated by grouping them together with at least k other individuals.
- the pivot data can be composed of an elementary data or the concatenation of several data. This pivotal data will be encrypted using a algorithm which will respect the unique input.
- the cryptographic implementation allows irreversibility and respects uniqueness. It is subjected to robustness tests.
- a scenario allows both to anonymize and tokenize data.
- This processing consists in tokenizing a pivot data and in associating with this token (3) additional data for customer feedback with this anonymized data.
- the data is first sent to the tokenization module and then the anonymization module having received the data during the tokenization combines the data with the token received from the tokeniser (62). to generate tokenized- anonymized information to send to the customer.
- Associated services can be:
- the server may preferably implement, in its tokenization software component (63) a BPS encryption algorithm, with n iterations, preserving the format of the initial data.
- the principle of this algorithm is represented in FIG. 7 and consists in the first iteration to truncate or decompose the sensitive data into two character strings (CHAO and CHBO) then to use the right chain CHBO in an encryption function F performing an encryption of (CHBO) from a key K contained in HSM (8a, 8b, 8c, 8d) and a setting value Tr to which the value zero is added, the result of this function being added to the left chain (CHAO) to form the result (CHA1) of the first iteration and (CHBO) becoming (CHB1).
- CHBO tokenization software component
- the result on the left (CHA1) is used in the same encryption function F to perform an encryption of (CHA1) using the same key K and the setting value TL to which the value 1 is added. to generate the result added to the previous right chain (CHB1) to constitute the next right chain (CHB2), the left result (CHA1) becoming (CHA2).
- the left (CHAw) and right (CHBw) chains are obtained to be concatenated and constitute the number (CHy).
- a discrete logarithm calculation Ld is applied to the value (CHy) to generate the token (3).
- the tokenization module can also implement a FF3 process for tokenizing very long data (beyond 19 characters, for example).
- the method may include a combination of the BPS algorithm or method described above and an algorithm known as "elliptical curves".
- the BPS method is first used, with at least 10 turns or iterations, the result is then coupled to the "elliptic curves" algorithm to give it (the token) this irreversibility function.
- the job can be done as follows:
- the token generated retains the length of the initial PAN, in addition it may or may not retain certain characteristics of the PAN.
- the MULTI algorithm which allows the tokenization of any type of data (PAN, BIC, IBAN, telephone numbers, email addresses 7), the field to be tokenized is an area of 10 to 96 characters.
- the length of the token generated may vary depending on the length of the data received as input.
- the tool (63) can propose desensitization of personal data by association of the Token with a concatenation of personal data (Name, First name, Address, Telephone number, ... ).
- the server (6a, 6b, 6c, 6d, 60) provides a specific reception for IS managers realizing an interface for the manager's terminal to allow the manager to define by selection in several menus the type of data (personal, scientific, technical, commercial,) for each type a data definition attribute, for personnel: telephone name, home address, employer, office address, etc., for scientist: calculations, new product, etc., for salesperson : new market, etc ...), and associate with each type or attribute a processing of the data or associated service to desensitize and secure it.
- type of data personal, scientific, technical, commercial,
- the server (60) thus allows the manager to determine the rules to be respected, the data classifications, the security methods to be applied according to the types of data, it also makes it possible to determine the user certificates associated with each user managed by the manager, the certificate having to be received by the server before any processing for securing the data.
- the inference can we deduce information about an individual? b.
- the data classification is at least one of the following:
- Pseudo Direct Data giving access to a single individual (Data correlation)
- Indirect Data called non-personal but allowing to find the person (Joining of various information)
- the security method (s) are chosen at least from one of the following:
- Pseudonymisation reversible, hash or token (FPE or not)
- the server (60) allows at least one proposal for data desensitization, such as for example:
- Figure 3 presents the scenario which makes it possible to replace the data with an irreversible token (3) while retaining the uniqueness of the entry.
- the pivot data being the PAN or another data defined during configuration as pivot data by the client manager
- this data will be sent encrypted to the server by a key belonging to or associated with the client in HSM and the server 60 will decrypt the data, will analyze it according to the criteria defined during configuration and will trigger the appropriate processing, namely in this case tokenization.
- the pivot / token data pair is stored in a safe (71, 72) secured to authorize associated services stored during configuration such as:
- Figure 4 presents the scenario allowing anonymization of personal data by the application of a blurring method contained in the tool (63).
- the data is not kept during processing and during configuration by the client manager, the blurred data was defined as data requiring irreversibility and the manager chose blurring as the anonymization type in its configuration menu.
- the configuration being stored in the safe (71, 72) corresponding to the company represented by the manager, each time an authenticated user sends data of the same type in a secure manner, it will be returned blurred to the user
- FIG. 5 shows the scenario for both anonymizing and tokenizing data.
- Data (1) is made up of pivot data and additional data.
- the processing consists in tokenizing the pivot data (2) and in processing the additional data by the anonymization tool then in associating this additional anonymized data with the token (3) for a return of the token to the customer with this anonymized data.
- the associated services during configuration can be:
- the invention also relates to a server for securing the data.
- the server comprises one or more computer safes (71, 72) and implementing a service allowing an information system (IS) accessing the server to set up security for its sensitive data that it stores and / or handles, by setting up the right security methods with regard to sensitive data by configuring by an interface the configuration of the security instructions transmitted by the manager and by authorizing their saving in one or more several safe zones (71, 72) dedicated to each manager,
- IS information system
- desensitization of data can be achieved by associating the token with a concatenation of personal data (Name, First name, Address, Telephone number, ...) and storage.
- the invention also relates to a computer architecture for secure data processing.
- the IT architecture is multi-column and multi-site. It allows batch processing, and includes an application web interface with firewall (5a, 5b, 5c, 5d), a server and a database (7a, 7b, 7c, 7d) managing one or more safes.
- each manager to memorize the security configurations as a function of the data or of a plurality of users to memorize each certificate assigned to each user and other security services for each column
- a load distribution device (4) allowing the requests to be broadcast independently on all the columns of the architecture and a replication system allowing identical columns
- each server providing a specific reception for IS managers via an interface specific allowing the definition of at least one storage security for each type of data and user authentication and which can provide each user with a token serving as pivot data.
- the computer architecture server includes a software tool for data desensitization using two families of methods:
- a Generalization first to cancel the uniqueness of the data, such as by Masking or by K-anonymity / Aggregation;
- a second Randomization to reduce the accuracy of the data by Adding noise, by replacing one data by another while keeping the memory in the safe (71, 72) the substitution or by permutation.
- the server (6a, 6b, 6c, 6d, 60) provides a specific reception for IS managers realizing an interface for the manager's terminal to allow the manager to define by selection in several menus the type of data (personal, scientific, technical, commercial,) for each type a data definition attribute, for personnel: telephone name, home address, employer, office address, etc., for scientist: calculations, new product, etc. ..., for commercial: new market, etc ).
- type of data personal, scientific, technical, commercial,
- the server provides a specific reception for the IS managers realizing an interface for the terminal to define a plurality of users with, for each one, a certificate to allow authentication of each user and a definition of the types of data accessible or accessible types of services, these data being stored in a safe (71, 72) specific to the company represented by the manager.
- the server providing a specific reception for the IS managers realizes an interface to define according to the data classifications the Desensitization Rules to be respected according to the classification of the data.
- the rules to be observed, in the IT architecture or the server are:
- the data classification rules, in the IT architecture or the server are:
- Direct Nickname Data giving access to a unique individual (Data correlation)
- Indirect Data said to be non-personal but used to find the person (Joining of various information).
- the desensitization of a data, in the IT architecture or the server is carried out in association with the token with a concatenation of personal data (Name, First name, Address, Telephone number, ...) and memorization.
- modules can be implemented by electronic circuit, such as an integrated circuit for example or by other types of arrangement of components, such as for example semiconductors, logic gates, transistors or other discrete components.
- modules can also be implemented by one or more software application (s) or portion (s) of executable code (s) within at least one software environment, for execution by various types of
- An identified module can, for example, include one or more physical or logical blocks of machine instructions which can, for example, be organized into object, process, or function.
- routines and instructions of an identified module do not need to be physically located together, but can include disparate instructions stored in different locations which, when joined functionally and logically together, form the module and perform the purpose indicated for the module.
- a module can be a single executable code instruction, or a plurality of instructions, and can even be distributed among several different code segments or among different programs and stored in several memory blocks.
- operational data can be identified and illustrated in modules, and can be incorporated in any suitable form and organized in any suitable type of data structure. Operational data may be collected or may be distributed to different locations including different finished storage devices, and may exist, at least partially, simply as signals
- system is understood here to mean any type of terminal or device arranged to perform the functions described with reference to the modules.
- the system includes data processing means enabling these described functions to be carried out and may therefore include specific circuits performing these functions or, in general, include computer resources making it possible to execute the instructions described above.
- references in the present description to an implementation, an embodiment or an alternative embodiment means that a device, or a module, or a structure, or a particular characteristic described is included in at least one embodiment of the present invention and that the different examples do not necessarily relate to the same embodiment.
- One or more devices, processors or processing devices can be configured to perform the function or functions of each of the elements and modules of the structural arrangement described here.
- the device (s), processors or processing devices may be configured to execute one or more sequences of one or more instructions executable by the machine contained in a main memory in order to implement the method (s) or the method (s) functions described herein.
- the execution of the sequences of instructions contained in a main memory causes the processors to execute at least some of the steps of the process or of the functions of the elements described here.
- One or more processors in a multiprocessing arrangement can also be used to execute sequences of instructions contained in main memory or a memory readable computer.
- wired circuits can be used in place of or in combination with software instructions.
- the embodiments are not limited to any specific combination of hardware and software circuits.
- Non-volatile media include, for example, optical or magnetic discs.
- Volatile media include dynamic memory.
- Transmission media include coaxial cables, copper wire and optical fibers.
- Computer-readable media include, for example, a floppy disk, flexible disk, hard drive, magnetic tape, other magnetic media, CD-ROM, DVD, other optical media, punch cards, another physical medium with hole patterns, RAM, PROM and EPROM, FLASH-EPROM, any other memory chip or cartridge, a carrier wave as described below, or any other medium that can be read by a computer .
- Various forms of computer-readable media may be involved in transporting one or more sequences of one or more instructions to the processor for execution.
- Computer programs comprising instructions executable by a machine for the implementation of at least one of the steps of the methods and / or aspects and / or concepts of the invention described here or one or more functions of various elements of the structural arrangement described here can be implemented or several computers comprising at least one interface, a physical processor and a non-transient memory (also generally called a non-transient machine-readable storage or read medium) .
- the computer is a special purpose computer because it is programmed to perform specific steps in the process (es) described above.
- the non-transient memory is coded or programmed with specific code instructions for implementing the above method or methods and its associated steps.
- the non-transient memory can be arranged in communication with the physical processor so that the physical processor, in use, reads and executes the specific code instructions incorporated in the non-transient memory.
- the interface of the special purpose computer can be arranged in communication with the physical processor and receive input parameters which are processed by the physical processor.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Bioethics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Hardware Redundancy (AREA)
Abstract
La présente invention concerne une plateforme de sécurisation de données partagées ou échangées dans un système informatique, la plateforme comprenant au moins une architecture informatique dans lequel un serveur met en oeuvre un procédé de sécurisation comprenant au moins une tokénisation ou une anonymisation de données.
Description
DESCRIPTION
PLATEFORME DE SÉCURISATION DE DONNÉES
DOMAINE TECHNIQUE DE L’INVENTION
La présente invention concerne le domaine de la détection de violation de la propriété intellectuelle dans un environnement complètement distribué et ouvert au partage et particulièrement la sécurisation des données.
ÉTAT DE LA TECHNIQUE ANTÉRIEURE
De nos jours la donnée transite de façon très intense dans les réseaux et systèmes informatiques ouverts et distribués. Principalement dans des domaines comme le nuage (Cloud), l’apprentissage machine (machine learning) ou d’autres services où la donnée est considérée comme la matière première, parfois en combinaison avec les données collectées lors d’un usage d’internet par un serveur de collecte de données de ciblage puis exploitées.
Ainsi il est connu par la demande WO2013182639 un Procédé d'anonymisation de données aptes à concourir à l'identification d'un utilisateur lors de la collecte d'un profil dudit utilisateur par un serveur de collecte de données, ledit procédé comprenant les étapes suivantes :
- chiffrement des données de profil collectées par un terminal dudit utilisateur avec une clé de confidentialité partagée entre ledit terminal et le serveur de collecte de données,
- transmission des données de profil chiffrées et des données aptes à concourir à l'identification de l'utilisateur à un serveur d'anonymisation interposé entre le terminal et le serveur de collecte
- chiffrement des données aptes à concourir à l'identification de l'utilisateur avec une clé d'anonymisation dudit serveur d'anonymisation avant de relayer les données collectées chiffrées et les données d'identification anonymisées audit serveur de collecte
et dans lequel
- dès réception des données de profil collectées chiffrées, le serveur de collecte sélectionne une annonce ciblée en fonction des données de profil déchiffrées,
- le serveur de collecte transmet au serveur d'anonymisation un message ciblé comprenant les données d'identification anonymisées et l'annonce ciblée
sélectionnée et chiffrée avec une clé partagée avec le terminal,
- le serveur d'anonymisation transmet l'annonce ciblée au terminal utilisateur correspondant aux données d'identification déchiffrées.
Ce système enseigne l’utilisation d’un serveur d’anonymisation par un serveur de collecte de données.
Le document US2014304825 ou EP 2 734 953 enseigne un Procédé d'anonymisation de données comprenant: la lecture de paramètres d'une procédure d'anonymisation à partir d'une ressource de procédure d'anonymisation configurable, les paramètres de lecture définissant un flux de travail destiné à recevoir des données à anonymiser et à lui appliquer une ou plusieurs transformations, et dans lequel les paramètres de lecture comprennent également une indication d'un nombre autorisé de threads de traitement simultanés pour recevoir les données et appliquer la ou les transformations d'anonymisation; recevoir des données à anonymiser à partir d'une source de données conformément au flux de travail défini, la source de données étant identifiable à partir d'un ou plusieurs des paramètres de lecture; et appliquer une ou plusieurs transformations d'anonymisation aux données reçues en fonction du flux de travail défini, dans lequel la ou les transformations comprennent la transformation d'au moins une partie originale des données reçues en une partie transformée, et dans lequel les étapes consistant à recevoir des données et à appliquer une ou davantage de transformations d'anonymisation sont effectuées en utilisant pas plus que le nombre autorisé de threads de traitement simultanés indiqués dans les paramètres de lecture.
Ce document enseigne une limitation à un nombre de threads autorisés, ce qui est incompatible avec une plateforme publique s’adressant à tout utilisateur et à tout retraitement de la donnée en vue de sa protection.
Ce document limite la ou les transformations d'anonymisation appliquées qui sont une ou plusieurs sélectionnées dans le groupe comprenant: un hachage; rédiger; filtrer; trouver et remplacer; remplacement avec des valeurs aléatoires; validation; et masquage.
L’arrivée de la règlementation européenne dans le monde des services informatiques oblige les services traitant ou conservant des données personnelles à mettre en place
des méthodes de sécurisation dans l’ensemble de leurs services. Cette contrainte a de forts impacts sur le business des services informatiques.
L’offre de services de sécurisation et/ou désensibilisation de données doit ne pas être limitée par un nombre de threads ou par le choix de transformations.
Les principaux problèmes techniques posés par l’offre d’un service de sécurisation et/ou désensibilisation de données sont liés:
au Chiffrement :
à la Disponibilité :
à la Variabilité de la taille des données à sécuriser
EXPOSÉ DE L’INVENTION
La présente invention a pour but de pallier certains inconvénients de l'art antérieur et en particulier d’encourager et de faciliter le partage de données dans un environnement décentralisé, en offrant la possibilité au propriétaire de protéger ou et sécuriser tout ou partie de sa donnée.
A cet effet, la présente invention concerne une Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI), la plateforme comprenant :
• au moins un coffre dédié propre à chaque client du SI, sécurisé en fonction des besoins formulés par le client pour sauvegarder au moins des instructions de sécurisation transmises par le gestionnaire et/ou des données et comportant un fichier GDPR (Règlement Général sur la Protection des Données) qui permet de définir selon le type de données des traitements de sécurisation qui satisfont la norme GDPR ce fichier GDPR pouvant être mutualisé ou privatisé par le choix du gestionnaire;
• au moins un service multitraitement comportant au moins :
- un service requête comprenant une infrastructure informatique et logicielle pour analyser les requêtes transmises par chaque client via un(e) interface client/canal service web (webservice);
- au moins un serveur de traitement comportant au moins un processeur, une mémoire comprenant un ensemble de programmes/algorithmes dont l’exécution sur ledit processeur met en oeuvre un ensemble de méthodes de traitement de sécurisation des données des clients, pour les enregistrer dans une base de données, ledit ensemble de méthodes de traitement comprenant au moins :
- au choix au moins une méthode d’anonymisation liée à un service de tokenisation pour transformer les données en tokens ou jetons irréversibles ;
- ou au moins une méthode de pseudonymisation liée à un service de tokenisation/détokenisation pour retrouver les données d’origine ; la plateforme étant caractérisée en ce que ledit ensemble de méthodes comprend également une méthode de sécurisation combinée de tokenisation et d’anonymisation des données, le choix de mise en oeuvre au choix s’effectuant automatiquement par le résultat de l’analyse des besoins formulées par le client dans sa ou ses requêtes et des instructions de sécurisation formulées par le gestionnaire.
Selon une autre particularité, les requêtes sont transmises chiffrées depuis le terminal client par une clé attribuée à l’utilisateur ou l’entreprise, la plateforme recevant le certificat de l’utilisateur l’authentifie, recherche dans le coffre la clé de déchiffrement associée et déchiffre puis analyse les données du message de requête.
Selon une autre particularité, la Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) comprend au moins une interface gestionnaire pour permettre à un client gestionnaire d’un SI de transmettre des fichiers d’instructions de sécurisation de données propre à chaque client dudit SI. Selon une autre particularité, la Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) comprend au moins un service de certificat comprenant au moins une infrastructure informatique comprenant au moins un processeur, une mémoire contenant au moins un programme dont l’exécution sur le processeur génère un certificat d’authentification propre à chaque client dudit SI pour se connecter à la plateforme et/ou au service multitraitement et émettre des requêtes de traitement de sécurisation de données. Selon une autre particularité, la Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI)
selon la revendication 1 , est caractérisée en ce que le service multitraitement comprend un programme dont l’exécution sur ledit processeur permet de comparer des entrées effectuées par le client au fur et à mesure avec les données du fichier GDPR stocké dans le coffre dédié sécurisé propre audit client et générer une indication d’erreur ou une suggestion de modification satisfaisant la norme GDPR, les entrées validées par le client étant mémorisées dans ledit coffre et, dans le cas où le client surpasse (overule) la suggestion, d’envoyer systématiquement un message avec un token ou un message anonymisé d’un drapeau signalant la non compatibilité GDPR. Selon une autre particularité, le service multitraitement repose sur une architecture multi-colonne et multi-site et comprend au moins deux centres de données ayant une structure en colonnes pour le traitement des données, au moins un dispositif réplicateur de données pour configurer chaque centre de données de manière à obtenir des données identiques dans chacune des colonnes des centres de données, au moins un répartiteur (4) de charge configuré pour diffuser dynamiquement et sans interruption des demandes de traitements indépendamment sur chacune des colonnes en fonction de leur charge, au moins un bus de données configuré pour permettre la synchronisation les données entre lesdits centres de données, chaque colonne comprenant au moins un serveur de traitement et au moins une base de données sécurisée. Selon une autre particularité, chaque centre de données (10a, 10b) comprend au moins une couche de sécurité comportant au moins un dispositif comprenant au moins un processeur, une mémoire comportant un ensemble de programmes dont l’exécution permet de générer, stocker et protéger des clés cryptographiques pour sécuriser au moins les données traitées. Selon une autre particularité, le serveur de traitement de données est connecté au dispositif de la couche de sécurité via un moyen de communication afin de récupérer des clés cryptographiques servant à sécuriser les données en fonction du type de traitement demandé par chaque client du SI. Selon une autre particularité, le serveur de traitement de chaque centre de données comprend des moyens de communication filaires/sans fils pour transférer les données traitées dans au moins une base de données sécurisée et sécuriser l’accès aux dites données via les clés cryptographiques récupérées dans le dispositif de sécurité de la couche de sécurité. Selon une autre particularité, le serveur de traitement de chaque centre de données comprend des moyens de communication filaires/sans fils pour se connecter au coffre dédié sécurisé de chaque client du SI et transférer les données
traitées dudit client en fonction de ses préférences. Selon une autre particularité, dans le cas d’une sécurisation combinée les données sont d’abord envoyées au module de tokenisation puis le module d’anonymisation ayant reçu les données pendant la tokenisation combine les données avec le jeton reçu du module de création de jetons (tokeniseur) pour générer une information tokenisée-anonymisée à envoyer au client.
Selon un autre but l’invention concerne également un serveur, comportant un ou plusieurs coffres informatiques et mettant en œuvre un service permettant à un système d’information (SI) accédant au serveur de mettre en place une sécurité pour ses données sensibles qu’il conserve et/ou qu’il manipule, en : mettant en place les bonnes méthodes de sécurité, telles que l’anonymisation ou la pseudonymisation, vis-à-vis des données sensibles en configurant par une interface la configuration des instructions de sécurisations transmises par le gestionnaire et en autorisant leur sauvegarde dans une ou plusieurs zones de coffres dédiés à chaque gestionnaire,
pouvant stocker de manière sécurisée et réversible pour un SI ses données sensibles dans un ou plusieurs coffres,
apportant un choix de moyens d’anonymisation ou pseudonymisation ou de tokenisation combinables et /ou adaptables aux contraintes du SI par les choix effectués par le gestionnaire,
pouvant redonner en toute sécurité les données sensibles vers le SI par chiffrement et ou signature et ou certificat d’authentification propre à chaque client dudit SI,
pouvant sécuriser tous types de données.
Selon une autre particularité, la désensibilisation d’une donnée peut être réalisée par association du jeton (Token) avec une concaténation des données personnelles (Nom, Prénom, Adresse, Numéro de téléphone, ... ) et mémorisation.
Ainsi, grâce à ce serveur, il est possible de soustraire un système d’information (SI) à la contrainte de protection des données sensibles qu’il contient et/ou manipule.
Un dernier but de l’invention est de proposer une architecture permettant la mise en œuvre du service.
Ce but est atteint par un système informatique en multi-colonne et multi-site, permettant le traitement par lots, comprenant une interface web applicative avec pare- feu, un serveur tel que décrit dans la présente demande, ainsi qu’une base de données gérant un ou plusieurs coffres physiques ou logiques affectables, à chaque gestionnaire pour mémoriser les configurations de sécurité en fonction des données ou d’une pluralité d’utilisateurs pour mémoriser chaque certificat affecté à chaque utilisateur et d’autres services de sécurité pour chaque colonne, un dispositif répartiteur de charge permettant de diffuser les demandes indépendamment sur toutes les colonnes de l’architecture et un système de réplication permettant d’avoir des colonnes identiques, chaque serveur fournissant un accueil spécifique des gestionnaires de SI par une interface spécifique permettant la définition d’au moins une sécurisation de stockage pour chaque type de données et d’authentification des utilisateurs et pouvant fournir à chaque utilisateur un jeton servant de donnée pivot.
Selon une autre particularité, le serveur comporte un outil logiciel de
désensibilisation des données utilisant deux familles de méthodes :
Une première de Généralisation pour annuler l’unicité de la donnée, telle que par masquage ou par K-anonymat/Agrégation ;
Une deuxième de Randomisation pour diminuer la précision de la donnée par ajout de bruit , par substitution d’une donnée par une autre en gardant en mémoire du coffre la substitution ou par permutation.
Selon une autre particularité, le serveur (60, 6a, 6b, 6c, 6d) fournit un accueil spécifique pour les gestionnaires de SI réalisant une interface pour le terminal du gestionnaire pour permettre au gestionnaire de définir par sélection dans plusieurs menus le type de données (personnelles, scientifiques, techniques , commerciales,) pour chaque type un attribut de définition de la donnée , pour personnel ,nom, téléphone, adresse domicile, employeur, adresse bureau, etc... , pour scientifique , calculs, nouveau produit, etc... , pour commerciale : nouveau marché, etc ... ).
Selon une autre particularité, le serveur fournit un accueil spécifique des gestionnaires de SI réalisant une interface pour le terminal pour définir une pluralité d’utilisateurs avec pour chacun un certificat pour permettre une authentification de chaque utilisateur et une définition des types de données accessibles ou des types
de services accessibles, ces données étant mémorisées dans un coffre spécifique à l’entreprise représentée par le gestionnaire.
Selon une autre particularité, le serveur fournissant un accueil spécifique des gestionnaires de SI réalise une interface pour définir selon les classifications des données les Règles de désensibilisation à respecter en fonction de la classification des données.
Les règles à respecter comprenant :
• L’individualisation : est-il toujours possible d’isoler un individu ?
• La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
• L’inférence : peut-on déduire de l’information sur un individu ?
Les règles de classifications des données comprenant
• Directe : Donnée unique sur un individu (Numéro de téléphone, ... )
• Pseudo Directe : Données donnant accès à un individu unique (Corrélation de données)
• Indirecte : Données dites non personnelles mais permettant de retrouver la personne (Jointure d’informations diverses).
Selon une autre particularité, la désensibilisation d’une donnée est réalisée en association du Token avec une concaténation des données personnelles (Nom, Prénom, Adresse, Numéro de téléphone, ... ) et mémorisation.
D’autres particularités et avantages de la présente invention sont détaillés dans la description qui suit.
BREVE DESCRIPTION DES FIGURES
D'autres particularités et avantages de la présente invention apparaîtront plus clairement à la lecture de la description ci-après, faite en référence aux dessins annexés, dans lesquels :
[Fig 1 ]
la figure 1 représente schématiquement une architecture de système SI selon l’invention.
[Fig 2] la figure 2 représente schématiquement l’utilisation de la plateforme
comportant un coffre physique (71 ) et un logique (72) de sécurisation des données dans un échange avec différents utilisateurs.
[Fig 3] la figure 3 présente le scénario qui permet d’effectuer le remplacement de la donnée par un jeton irréversible en conservant l’unicité de l’entrée ;
[Fig 4]
- La figure 4 présente le scénario permettant d’effectuer l’anonymisation des données personnelles par l’application d’une méthode de floutage.;
[Fig 5]
- la figure 5 présente le scénario permettant à la fois d’anonymiser et de tokeniser (créer un jeton à partir ) des données ;
[Fig 6]
- la figure 6 représente un exemple de résultat d’utilisation des règles de désensibilisation de données appliquées à une carte bancaire
[Fig 7]
- la figure 7 représente un exemple d’algorithme de (tokenisation) génération d’un jeton correspondant à une donnée
DESCRIPTION DES MODES DE REALISATION
La présente invention concerne une Plateforme de sécurisation de données.
La solution fonctionne sur une architecture informatique en multi-colonnes et multi-sites permettant le traitement par lots comportant un dispositif répartiteur (4) de charge permettant de diffuser les demandes indépendamment sur toutes les colonnes. Un système de réplication permet d’avoir des colonnes identiques.
Cette architecture ou système informatique en multicolonne ou « architecture redondante » permet d’avoir un service proche du service continu malgré les
évolutions techniques et sécuritaires qui sont imposées pour respecter une politique de sécurité.
Chaque client gestionnaire de SI est isolé sur un accueil spécifique par une interface spécifique permettant une sécurisation de stockage et d’authentification.
Par colonne, on entend une entité (système, infrastructure, ... ) autonome comprenant un ensemble de dispositifs et modules (logiciels ou programmes) permettant l’acquisition, le traitement et le stockage de données.
Dans certains modes de réalisation, la plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI), comprend :
- au moins un coffre (71 , 72) dédié propre à chaque client du SI, sécurisé en fonction des besoins formulés par le client pour sauvegarder au moins des instructions de sécurisation transmises par le gestionnaire et/ou des données et comportant un fichier GDPR (Règlement Général sur la Protection des Données) qui permet de définir selon le type de données des traitements de sécurisation qui satisfont la norme GDPR ce fichier GDPR pouvant être mutualisé ou privatisé par le choix du gestionnaire;
- au moins un service multitraitement comportant au moins :
- un service requête (64) comprenant une infrastructure informatique et logiciel pour analyser les requêtes transmises par chaque client via un(e) interface client/canal service web (webservice);
- au moins un serveur de traitement (60, 6a, 6b, 6c, 6d) comportant au moins un processeur, une mémoire comprenant un ensemble de programmes/algorithmes dont l’exécution sur ledit processeur met en œuvre un ensemble de méthodes de traitement de sécurisation des données des clients, pour les enregistrer dans une base de données (7a, 7b, 7c, 7d), ledit ensemble de méthodes de traitement comprenant au moins :
- au choix au moins une méthode d’anonymisation liée à un service de tokenisation pour transformer les données en tokens ou jetons irréversibles ;
- ou au moins une méthode de pseudonymisation liée à un service de tokenisation/détokenisation pour retrouver les données d’origine ;
Ledit ensemble de méthodes de traitement, comprend également une méthode de sécurisation combinée de tokenisation et d’anonymisation des données, le choix de mise en oeuvre au choix s’effectuant automatiquement par le résultat de l’analyse des besoins formulés par le client dans sa ou ses requêtes et des instructions de sécurisations formulées par le gestionnaire
La solution permet, par de l’apprentissage machine (machine learning), à l’aide de nombreux cas d’usage, de pouvoir produire différents résultats en fonction des contraintes liées à la norme GDPR. La solution fournit au choix une ou plusieurs méthodes de désensibilisation des données, par exemple par anonymisation des données personnelles prédéfinie et/ou en fournissant un jeton de référence sur ces données.
L’avantage de cette solution est l’irréversibilité du jeton calculé qui devient utilisable comme donnée pivot dans les échanges de données personnelles au sein du SI.
La solution permet de redonner, à l’utilisateur qui dispose du jeton, les données en clair par simple appel à ce jeton sur le serveur.
La possibilité de traitement par lot (mode batch) autorise la prise en compte de fortes volumétries.
La solution fonctionne sur une architecture en quadri-colonne avec un répartiteur (4) de charge en entrée.
Cette architecture technique est repartie, par exemple, sur deux datacenters (centre de données (10a, 10b)).
Les colonnes sont synchronisées applicativement par un bus (5) de données (par exemple et de manière non limitative, un bus monétique) entre les deux datacenters.
La haute disponibilité est permise par une scalabilité de la solution, toute intervention est faite sans arrêt de service.
L'offre est déployée sur des serveurs physiques dédiés pour permettre un suivi des upgrades sécurité et applicatif permanents.
L'accueil des flux peut être fait en fonction de volumes attendus sur des coffres (71 , 72) dédiés ou mutualisés.
Le coffre (71 , 72) peut accueillir jusqu’à 200 Millions de données sensibles (PAN, IBAN ou autre..).
Les données sont stockées sur une base de données (7a, 7b, 7c, 7d) MYSQL.
L’architecture comporte également dans chaque colonne ou centre de données (10a, 10b) et de calcul (datacenter) une couche sécurité comportant au moins un dispositif (8a, 8b, 8c, 8d) ou un (Hardware Security Module HSM) Module Matériel de Sécurité qui est un appareil considéré comme inviolable offrant des fonctions cryptographiques.
Les clés de sécurités sont présentes dans les HSM (8a, 8b, 8c, 8d) de la couche sécurité. Un module matériel de sécurité (HSM) est un processeur de chiffrement dédié, spécialement conçu pour offrir un service de sécurité qui consiste à générer, stocker et protéger des clefs cryptographiques de sécurité tout au long de leur cycle de vie.
Dans certains modes de réalisation, le service multitraitement repose sur une architecture multicolonnes et multisites et comprend au moins deux centres de données ayant une structure en colonnes pour le traitement des données, au moins un dispositif réplicateur pour configurer chaque centre de données (10a, 10b) de manière à obtenir des données identiques dans chacune des colonnes des centres de données, au moins un répartiteur (4) de charge configuré pour diffuser dynamiquement et sans interruption des demandes de traitements indépendamment sur chacune des colonnes en fonction de leur charge, au moins un bus (5) de données configuré pour permettre la synchronisation des données entre lesdits centres de données, chaque
colonne comprenant au moins un serveur de traitement et au moins une base de données (7a, 7b, 7c, 7d) sécurisée.
Dans certains modes de réalisation, chaque centre de données (10a, 10b) comprend au moins une couche de sécurité comportant au moins un dispositif (8a, 8b, 8c, 8d) comprenant au moins un processeur, une mémoire comportant un ensemble de programmes dont l’exécution permet de générer, stocker et protéger des clés cryptographiques pour sécuriser au moins les données traitées.
Dans certains modes de réalisation, le serveur de traitement de données est connecté au dispositif (8a, 8b, 8c, 8d) de la couche de sécurité via un moyen de communication afin de récupérer des clés cryptographiques servant à sécuriser les données en fonction du type de traitement demandé par chaque client du SI.
Dans certains modes de réalisation, le serveur de traitement de chaque centre de données (10a, 10b) comprend des moyens de communication filaires/sans fils pour transférer les données traitées dans au moins une base de données (7a, 7b, 7c, 7d) sécurisée et sécuriser l’accès aux dites données via les clés cryptographiques récupérées dans le dispositif (8a, 8b, 8c, 8d) de sécurité de la couche de sécurité.
Dans certains modes de réalisation, le serveur de traitement de chaque centre de données (10a, 10b) comprend des moyens de communication filaires/sans fils pour se connecter au coffre (71 , 72) dédié sécurisé de chaque client du SI et transférer les données traitées dudit client en fonction de ses préférences.
Dans certains modes de réalisation, les requêtes sont transmises chiffrées depuis le terminal client par une clé attribuée à l’utilisateur ou l’entreprise, la plateforme recevant le certificat de l’utilisateur l’authentifie, recherche dans le coffre (71 , 72) la clé
de déchiffrement associée et déchiffre puis analyse les données du message de requête.
Dans certains modes de réalisation, la plateforme comprend au moins une interface gestionnaire pour permettre à un client gestionnaire d’un SI de transmettre des fichiers d’instructions de sécurisation de données propre à chaque client dudit SI.
Un outil logiciel (Danny) utilise ces deux familles de méthodes :
Généralisation : Annuler l’unicité de la donnée
Masquage : consiste à modifier la donnée réelle (partiellement ou totalement) K-anonymat/Agrégation : Les techniques de l’agrégation et du k-anonymat visent à empêcher qu’une personne concernée puisse être isolée en la regroupant avec, au moins, k autres individus.
Randomisation : Diminuer la précision de la donnée
Ajout de bruit : Rendre la donnée moins précise et plus générale.
Substitution : Substituer la donnée réelle par une autre
Permutation : Echange aléatoire de données.
Les connections au coffre (71 , 72) se font par WEBServices avec un certificat client.
Dans certains modes de réalisation qu’elle comprend au moins un service de certificat comprenant au moins une infrastructure informatique comprenant au moins un processeur, une mémoire contenant au moins un programme dont l’exécution sur le processeur génère un certificat d’authentification propre à chaque client dudit SI pour se connecter à la plateforme et/ou au service multitraitement et émettre des requêtes de traitement de sécurisation de données.
Dans certains modes de réalisation, le service multitraitement comprend un programme dont l’exécution sur ledit processeur permet de comparer des entrées effectuées par le client au fur et à mesure avec les données du fichier GDPR stocké dans le coffre (71 , 72) dédié sécurisé propre audit client et générer une
indication d’erreur ou une suggestion de modification satisfaisant la norme GDPR, les entrées validées par le client étant mémorisées dans ledit coffre (71 , 72) et, dans le cas où le client surpasse (overule) la suggestion, d’envoyer systématiquement un message avec un token ou un message anonymisé d’un drapeau signalant la non compatibilité GDPR.
L’outil utilise des techniques diverses et combinables de désensibilisation des données et au choix de l’utilisateur.
En effet bien que, l’anonymisation représente le niveau maximal de protection elle est connue également pour être un processus irréversible qui consiste à changer le contenu ou la structure même des données. Toutes les informations directement ou indirectement identifiantes sont supprimées ou modifiées, rendant à priori impossible toute ré-identification des personnes.
En raison de ces griefs, la pseudonymisation peut être une alternative à l’anonymisation. A la différence de cette dernière, la pseudonymisation est un processus réversible qui consiste à remplacer un attribut par un autre au sein d’un enregistrement. La pseudonymisation est une technique, par exemple, privilégiée dans les projets où l’identité d’un individu n’est pas essentielle
L’outil (63) (DANNY. L’outil Danny peut comprendre au moins un tokeniseur (62)) de désensibilisation des données est basé sur trois concepts imbriqués :
Premier concept : - La haute disponibilité.
La haute disponibilité est assurée par 3 points forts : un seul accès, une architecture multi-sites, une synchronisation fonctionnelle.
Authentification :
Contrôle de la validité du certificat (1 par client appelant) certifié par une autorité de certifications.
Cette authentification est une authentification mutuelle
De plus cette authentification permet l'entrée en zone PCI ; seul le numéro de série du certificat permet l'accès au coffre (71 , 72) associé.
Les certificats sont renouvelés tous les deux ans
Deuxième concept : -La mise en place d’un grand nombre de méthodes d’anonymisation et ou pseudonymisation existantes sur le serveur pour répondre à tout besoin de sécurisation des données sensibles.
Pseudonymisation : Rendre impossible tout lien entre le pseudonyme et la personne réelle, donc la réversibilité est impossible.
Randomisation : Diminuer la précision de la donnée
Ajout de bruit : Rendre la donnée moins précise et plus générale.
Substitution : Substituer la donnée réelle par une autre
Permutation : Echange aléatoire de données
Chiffrement : Rendre la donnée non accessible
Format Preserving Encryption (BPS) : chiffrer les données sensibles tout en gardant leur format d’origine.
Généralisation : Annuler l’unicité de la donnée
Masquage : consiste à modifier la donnée réelle (partiellement ou totalement)
K-anonymat/Agrégation : Les techniques de l’agrégation et du k-anonymat visent à empêcher qu’une personne concernée puisse être isolée en la regroupant avec, au moins, k autres individus.
Troisième concept : -La tokenisation de données pivot dans les SI concernés.
La donnée pivot peut être composée d’une donnée élémentaire ou de la concaténation de plusieurs données. Cette donnée pivot sera chiffrée à l’aide d’un
algorithme qui respectera l’unicité d’entrée. L’implémentation cryptographique permet l’irréversibilité et respecte l’unicité. Il est soumis à des tests de robustesse.
Dans certains modes de réalisation, un scénario permet à la fois d’anonymiser et de tokeniser des données. Ce traitement consiste à tokeniser une donnée pivot et à associer à ce token (3) des données complémentaires pour un retour client avec ces données anonymisées.
Dans certains modes de réalisation, dans le cas d’une sécurisation combinée les données sont d’abord envoyées au module de tokenisation puis le module d’anonymisation ayant reçu les données pendant la tokenisation combine les données avec le jeton reçu du tokeniseur (62) pour générer une information tokenisée- anonymisée à envoyer au client.
Les services associés peuvent être:
Enrôlement donnée pivot,
Enrichissement de la donnée pivot avec des données complémentaires, Lecture de données complémentaire,
Consultation du jeton,
Gestion du jeton.
Pour effectuer la tokenisation de la donnée sensible, le serveur pourra mettre en œuvre de préférence, dans son composant (63) logiciel de tokenisation un algorithme BPS de chiffrement (encryption), à n itérations, préservant le format de la donnée initiale. Le principe de cet algorithme est représenté sur la figure 7 et consiste dans la première itération à tronquer ou décomposer la donnée sensible en deux chaînes de caractères (CHAO et CHBO) puis d’utiliser la chaîne de droite CHBO dans une fonction F de chiffrement effectuant un chiffrement de (CHBO) à partir d’une clé K contenue dans HSM (8a, 8b, 8c, 8d) et d’une valeur de réglage Tr à laquelle est ajoutée la valeur zéro, le résultat de cette fonction étant ajouté à la chaîne de gauche (CHAO) pour former le résultat (CHA1 ) de la première itération et (CHBO) devenant
(CHB1 ). Lors de la deuxième itération le résultat de gauche (CHA1 ) est utilisé dans une même fonction de chiffrement F pour effectuer un chiffrement de (CHA1 ) à partir de la même clé K et de la valeur de réglage TL à laquelle est ajoutée la valeur 1 pour générer le résultat ajouté à la chaîne de droite précédente (CHB1 ) pour constituer la chaîne droite suivante (CHB2), le résultat de gauche (CHA1 ) devenant (CHA2). Au bout de n itérations du processus les chaînes gauche (CHAw) et droite (CHBw) sont obtenues pour être concaténées et constituer le chiffré (CHy).
Un calcul de logarithme discret Ld est appliqué sur la valeur (CHy) pour générer le token (3).
Le module de tokenisation peut également mettre en oeuvre un procédé FF3 de tokénisation de données de grande longueur (au-delà de 19 caractères, par exemple). Le procédé peut comprendre une combinaison de l’algorithme ou procédé BPS décrit ci-dessus et un algorithme dit de « courbes elliptiques ». Dans le procédé FF3, le procédé BPS est d’abord utilisé, avec au moins 10 tours ou itérations, le résultat est ensuite couplé à l’algorithme de « courbes elliptiques » pour lui donner (au token) cette fonction d’irréversibilité. L’emploi peut se faire comme suit :
• Selon le nombre de bits en entrée, on choisit, via un programme, la courbe adaptée parmi un ensemble de courbes elliptiques pré-enregistrées dans une mémoire dédiée ;
• On choisit un point P de la courbe, les composants de ce point sont codés sur un nombre précis de bits
• On fait le calcul : Y=Y'.P, Y' représente la sortie de l’algorithme BPS
• Le résultat de ce calcul est un point Y qui appartient à la courbe, ce qui veut dire que ses composants sont codés sur un nombre précis de bits
• On effectue une compression, via un programme, de ce résultat : cette compression dépend du nombre de bits de l’entrée et permet d’avoir la bonne taille à la sortie
• Finalement on fait une conversion du résultat alphanumérique (diviser le nombre de bits pas 6)
Types de données tokenisables
Si la tokenisation de certains types de données nécessite des évolutions techniques ou autre de la solution de tokenisation, les solutions présentées seront remplacées par les nouvelles solutions sans modifier l’esprit de l’invention.
En standard, il existe actuellement 2 algorithmes, qui seront implémentés en fonction du choix du client.
• L’algorithme PAN qui permet la tokenisation uniquement du PAN (Primary Account Number)
Le token généré conserve la longueur du PAN initial, de plus il peut ou non conserver certaines caractéristiques du PAN.,
• L’algorithme MULTI qui permet la tokenisation de n’importe quel type de données (PAN, BIC, IBAN, numéros de téléphones, des adresses mails ... ), le champ à tokéniser est une zone de 10 à 96 caractères. La longueur du token généré pourra varier en fonction de la longueur de la donnée reçue en entrée.
Ces deux algorithmes respectent l'unicité ; l’avantage est qu’une donnée n'a qu'un seul token et donc peut servir de donnée de référence.
Pour la tokenisation de données personnelles (GDPR), l’outil (63) (DANNY) peut proposer une désensibilisation des données personnelles par association du Token avec une concaténation des données personnelles (Nom, Prénom, Adresse, Numéro de téléphone, ... ).
Le serveur (6a, 6b, 6c, 6d, 60) fournit un accueil spécifique pour les gestionnaires de SI réalisant une interface pour le terminal du gestionnaire pour permettre au gestionnaire de définir par sélection dans plusieurs menus le type de données (personnelles, scientifiques, techniques , commerciales,) pour chaque type un attribut de définition de la donnée , pour personnel :nom téléphone, adresse domicile, employeur, adresse bureau, etc... , pour scientifique : calculs, nouveau produit, etc... , pour commerciale : nouveau marché, etc ... ), et associer à chaque type ou attribut un traitement de la donnée ou service associé pour la désensibiliser et la sécuriser.
Le serveur (60) permet ainsi au gestionnaire de déterminer les règles à respecter, les classifications de données, les méthodes de sécurisation à appliquer en fonction des
types de données, il permet également de déterminer les certificats d’utilisateur associé à chaque utilisateur géré par le gestionnaire, le certificat devant être reçu par le serveur avant tout traitement de sécurisation de la donnée.
a. Les Règles à respecter sont par exemple moins l’une des suivantes:
L’individualisation : est-il toujours possible d’isoler un individu ?
La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
L’inférence : peut-on déduire de l’information sur un individu ? b. Les classification des données sont au moins l’une des suivantes :
Directe : Donnée unique sur un individu (Numéro de téléphone, ... )
Pseudo Directe : Données donnant accès à un individu unique (Corrélation de donnée) Indirecte : Données dites non personnelles mais permettant de retrouver la personne (Jointure d’informations diverses) c. la ou les méthodes de sécurisation sont choisiesau moins parmi l’une des suivantes :
L’anonymisation : irréversible
Pseudonymisation : réversible, hash ou token (FPE ou pas)
Randomisation : ajout de bruit, substitution
Généralisation : masquage, K-anonymat, L-diversité
Le serveur (60) permet au moins une proposition de désensibilisation des données, telle que par exemple :
Tokenisation des données personnelles et filtre, masque sur les données liées au besoin.
La figure 3 présente le scénario qui permet d’effectuer le remplacement de la donnée par un jeton (3) irréversible en conservant l’unicité de l’entrée. Comme on peut le voir sur cette figure, la donnée pivot étant le PAN ou une autre donnée définie lors de la configuration comme donnée pivot par le gestionnaire client, ces données seront envoyées chiffrées au serveur par une clé appartenant ou associée au client dans HSM et le serveur 60 déchiffrera la donnée, analysera celle -ci en fonction des critères
définis lors de la configuration et déclenchera le traitement approprié, à savoir dans le cas présent la tokenisation.
Le couple donnée pivot / jeton est stocké en coffre (71 , 72) sécurisé pour autoriser des services associés mémorisés lors de la configuration tels que :
Enrôlement autour d’une donnée pivot
Consultation avec un Token.
La figure 4 présente le scénario permettant d’effectuer l’anonymisation des données personnelles par l’application d’une méthode de floutage contenue dans l’outil (63). Les données ne sont pas conservées lors du traitement et lors de la configuration par le gestionnaire client les données floutées ont été définies comme des données nécessitant une irréversibilité et le gestionnaire a choisi le floutage comme type d’anonymisation dans son menu de configuration. La configuration étant mémorisée dans le coffre (71 , 72) correspondant à l’entreprise représentée par le gestionnaire, chaque fois qu’un utilisateur authentifié adressera une donnée du même type de façon sécurisée, celle-ci sera retournée floutée à l’utilisateur
Service associé :
Anonymisation de données avec méthode de floutage associée
La figure 5 présente le scénario permettant à la fois d’anonymiser et de tokeniser des données. La donnée (1 ) est constituée d’une donnée pivot et de données complémentaires. Le traitement consiste à tokeniser la donnée pivot (2) et à traiter la donnée complémentaire par l’outil d’anonymisation puis à associer ces données complémentaires anonymisées avec le jeton (3) pour un retour client du jeton avec ces données anonymisées.
Les services associés lors de la configuration peuvent être:
- Enrôlement donnée pivot,
- Enrichissement de la donnée pivot avec des données complémentaires,
- Lecture de données complémentaires,
- Consultation du jeton,
- Gestion du jeton.
L’invention se rapporte aussi à un serveur pour sécuriser les données.
Dans certains modes de réalisation, le serveur comporte un ou plusieurs coffres (71 , 72) informatiques et mettant en œuvre un service permettant à un système d’information (SI) accédant au serveur de mettre en place une sécurité pour ses données sensibles qu’il conserve et/ou qu’il manipule, en mettant en place les bonnes méthodes de sécurité vis-à-vis des données sensibles en configurant par une interface la configuration des instructions de sécurisation transmises par le gestionnaire et en autorisant leur sauvegarde dans une ou plusieurs zones de coffres (71 , 72) dédiés à chaque gestionnaire,
pouvant stocker de manière sécurisée et réversible pour un SI ses données sensibles dans un ou plusieurs coffres (71 , 72),
apportant un choix de moyens d’anonymisation ou pseudonymisation ou de tokenisation combinables et /ou adaptables aux contraintes du SI par les choix effectués par le gestionnaire,
Dans certains modes de réalisation, la désensibilisation d’une donnée peut être réalisée par association du token avec une concaténation des données personnelles (Nom, Prénom, Adresse, Numéro de téléphone, ... ) et mémorisation.
L’invention se rapporte aussi à une architecture informatique pour le traitement sécurisé de données.
Dans certains modes de réalisation, l’architecture informatique est multi- colonnes et multi-sites. Elle permet le traitement par lots, et comprend une interface web applicative avec pare-feu (5a, 5b, 5c, 5d), un serveur ainsi qu’une base de données (7a, 7b, 7c, 7d) gérant un ou plusieurs coffres physiques (71 ) ou logiques (72) affectables, à chaque gestionnaire pour mémoriser les configurations de sécurité en fonction des données ou d’une pluralité d’utilisateurs pour mémoriser chaque certificat affecté à chaque utilisateur et d’autres services de sécurité pour chaque
colonne, un dispositif répartiteur (4) de charge permettant de diffuser les demandes indépendamment sur toutes les colonnes de l’architecture et un système de réplication permettant d’avoir des colonnes identiques, chaque serveur fournissant un accueil spécifique des gestionnaires de SI par une interface spécifique permettant la définition d’au moins une sécurisation de stockage pour chaque type de données et d’authentification des utilisateurs et pouvant fournir à chaque utilisateur un jeton servant de donnée pivot.
Dans certains modes de réalisation, le serveur de l’architecture informatique comporte un outil logiciel de désensibilisation des données utilisant deux familles de méthodes :
Une première de Généralisation pour annuler l’unicité de la donnée , telle que par Masquage ou par K-anonymat/Agrégation ;
Une deuxième de Randomisation pour diminuer la précision de la donnée par Ajout de bruit , par substitution d’une donnée par une autre en gardant en mémoire du coffre (71 , 72) la substitution ou par permutation.
Dans certains modes de réalisation, le serveur (6a, 6b, 6c, 6d, 60) fournit un accueil spécifique pour les gestionnaires de SI réalisant une interface pour le terminal du gestionnaire pour permettre au gestionnaire de définir par sélection dans plusieurs menus le type de données (personnelles, scientifiques, techniques , commerciales,) pour chaque type un attribut de définition de la donnée , pour personnel :nom téléphone, adresse domicile, employeur, adresse bureau, etc... , pour scientifique : calculs, nouveau produit, etc... , pour commerciale : nouveau marché, etc ... ).
Dans certains modes de réalisation, le serveur fournit un accueil spécifique des gestionnaires de SI réalisant une interface pour le terminal pour définir une pluralités d’utilisateurs avec pour chacun un certificat pour permettre une authentification de chaque utilisateur et une définition des types de données accessibles ou des types de services accessibles, ces données étant mémorisées dans un coffre (71 , 72) spécifique à l’entreprise représentée par le gestionnaire.
Dans certains modes de réalisations, le serveur fournissant un accueil spécifique des gestionnaires de SI réalise une interface pour définir selon les classifications des données les Règles de désensibilisation à respecter en fonction de la classification des données.
Dans certains modes de réalisation, les règles à respecter, dans l’architecture informatique ou le serveur, sont :
L’individualisation : est-il toujours possible d’isoler un individu ?
La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
L’inférence : peut-on déduire de l’information sur un individu ?
Dans certains modes de réalisation, les règles de classification des données, dans l’architecture informatique ou le serveur, sont :
Directe : Donnée unique sur un individu (Numéro de téléphone, ... )
Pseudo Directe : Données donnant accès à un individu unique (Corrélation de donnée)
Indirecte : Données dites non personnelles mais permettant de retrouver la personne (Jointure d’informations diverses).
Dans certains modes de réalisation, la désensibilisation d’une donnée, dans l’architecture informatique ou le serveur, est réalisée en association du token avec une concaténation des données personnelles (Nom, Prénom, Adresse, Numéro de téléphone, ... ) et mémorisation.
La présente demande décrit diverses caractéristiques techniques et avantages en référence aux figures et/ou à divers modes de réalisation. L’homme de métier
comprendra que les caractéristiques techniques d’un mode de réalisation donné peuvent en fait être combinées avec des caractéristiques d’un autre mode de réalisation à moins que l’inverse ne soit explicitement mentionné ou qu’il ne soit évident que ces caractéristiques sont incompatibles ou que la combinaison ne fournisse pas une solution à au moins un des problèmes techniques mentionnés dans la présente demande. De plus, les caractéristiques techniques décrites dans un mode de réalisation donné peuvent être isolées des autres caractéristiques de ce mode à moins que l’inverse ne soit explicitement mentionné.
Il doit être évident pour les personnes versées dans l'art que la présente invention permet des modes de réalisation sous de nombreuses autres formes spécifiques sans l'éloigner du domaine d'application de l'invention comme
revendiqué. Par conséquent, les présents modes de réalisation doivent être considérés à titre d'illustration, mais peuvent être modifiés dans le domaine défini par la portée des revendications jointes, et l'invention ne doit pas être limitée aux détails donnés ci-dessus.
On comprendra aisément à la lecture de la présente demande que les composants de la présente invention, comme généralement décrits et illustrés dans les figures, peuvent être arrangés et conçus selon une grande variété de
configurations différentes. Ainsi, la description de la présente invention et les figures afférentes ne sont pas prévues pour limiter la portée de l'invention mais représentent simplement des modes de réalisation choisis.
Plusieurs unités fonctionnelles décrites dans la présente description ont été nommées « modules », afin de souligner leur indépendance d'exécution. Par exemple, un module peut être mis en oeuvre par circuit électronique, tel qu’un circuit intégré par exemple ou par d’autre types d’arrangement de composants, tels que par exemple des semi-conducteurs, des portes logiques, des transistors ou d'autres composants discrets. De tels modules peuvent également être mis en oeuvre par une ou plusieurs application(s) logicielle(s) ou portion(s) de code exécutable(s) au sein d’au moins un environnement logiciel, pour l'exécution par divers types de
processeurs et ce, quelque soit le langage utilisé. Un module identifié peut, par
exemple, comporter un ou plusieurs blocs physiques ou logiques d’instructions machine qui peuvent, par exemple, être organisés en objet, procédé, ou fonction. De plus, les routines et instructions d'un module identifié n'ont pas besoin d'être physiquement localisés ensemble, mais peuvent comporter des instructions disparates stockées dans différents endroits qui, une fois réunis fonctionnellement et logiquement ensemble, forment le module et réalisent le but indiqué pour le module.
En effet, un module peut être une instruction simple de code exécutable, ou une pluralité d'instructions, et peut même être distribué parmi plusieurs différents segments de code ou parmi différents programmes et stocké dans plusieurs blocs de mémoires. De même, des données opérationnelles peuvent être identifiées et illustrées dans des modules, et peuvent être incorporées sous n'importe quelle forme appropriée et être organisées dans n'importe quel type approprié de structure de données. Les données opérationnelles peuvent être rassemblées ou peuvent être réparties sur différents endroits incluant différents dispositifs de stockage finis, et peuvent exister, au moins partiellement, simplement en tant que signaux
électroniques sur un système ou un réseau. De plus, par le terme système, on entend ici tout type de terminal ou dispositif agencé pour effectuer les fonctions décrites en référence aux modules. Le système comporte des moyens de traitement de données permettant de réaliser ces fonctions décrites et pourra donc comporter des circuits spécifiques réalisant ces fonctions ou comporter, d’une manière générale, des ressources informatiques permettant d’exécuter les instructions décrites précédemment.
Les références dans la présente description à une implémentation, un mode ou une variante de réalisation signifie qu'un dispositif, ou un module, ou une structure, ou une caractéristique particulière décrite est inclus dans au moins un mode de réalisation de la présente invention et que les différents exemples ne se rapportent pas forcément au même mode de réalisation.
En outre, les dispositifs, les structures, ou les caractéristiques décrites peuvent être combinés de n'importe quelle façon appropriée dans un ou plusieurs modes de réalisation, à moins qu’ils ne soient incompatibles entre eux. Dans la présente description, de nombreux détails spécifiques sont fournis à titre illustratif et nullement limitatif, de façon à détailler précisément l’invention. L’homme de métier comprendra cependant que l'invention peut être réalisée en l’absence d’un ou
plusieurs de ces détails spécifiques ou avec des variantes. A d’autres occasions, certains aspects ne sont pas détaillés de façon à éviter d’obscurcir et alourdir la présente description et l’homme de métier comprendra que des moyens divers et variés pourront être utilisés et que l’invention n’est pas limitée aux seuls exemples décrits.
La présente demande décrit diverses caractéristiques techniques et avantages en référence aux figures et/ou à divers modes de réalisation. L’homme de métier comprendra que les caractéristiques techniques d’un mode de réalisation donné peuvent en fait être combinées avec des caractéristiques d’un autre mode de réalisation à moins que l’inverse ne soit explicitement mentionné ou qu’il ne soit évident que ces caractéristiques sont incompatibles ou que la combinaison ne fournisse pas une solution à au moins un des problèmes techniques mentionnés dans la présente demande. De plus, les caractéristiques techniques décrites dans un mode de réalisation donné peuvent être isolées des autres caractéristiques de ce mode à moins que l’inverse ne soit explicitement mentionné.
Il doit être évident pour les personnes versées dans l'art que la présente invention permet des modes de réalisation sous de nombreuses autres formes spécifiques sans l'éloigner du domaine d'application de l'invention comme
revendiqué. Par conséquent, les présents modes de réalisation doivent être considérés à titre d'illustration, mais peuvent être modifiés dans le domaine défini par la protection demandée, et l'invention ne doit pas être limitée aux détails donnés ci- dessus.
Après avoir décrit et illustré les principes de l'invention en référence à divers modes de réalisation, il sera reconnu que les divers modes de réalisation peuvent être modifiés en termes d'agencement et de détail sans s'écarter de ces principes.
On comprendra que les différents concepts et aspects de l'invention décrits ci-dessus peuvent être mis en œuvre, par exemple, en utilisant un ou plusieurs processeurs, modules, instructions exécutables par machine, ordinateurs et / ou serveurs. Il convient de comprendre que les concepts et les aspects de l'invention décrits ici ne sont pas liés ni limités à un type particulier d'environnement informatique, sauf indication contraire. Différents types d'environnements informatiques spécialisés peuvent être utilisés avec ou effectuer des opérations conformément aux
enseignements décrits ici. Les éléments des modes de réalisation montrés dans le logiciel peuvent être implémentés dans le matériel et inversement.
Un ou plusieurs dispositifs, processeurs ou dispositifs de traitement peuvent être configurés pour exécuter la ou les fonctions de chacun des éléments et modules de l'agencement structurel décrit ici. Par exemple, le ou les dispositifs, processeurs ou dispositifs de traitement peuvent être configurés pour exécuter une ou plusieurs séquences d'une ou plusieurs instructions exécutables par la machine contenues dans une mémoire principale afin de mettre en œuvre le ou les procédés ou la ou les fonctions décrites dans la présente. L'exécution des séquences d'instructions contenues dans une mémoire principale amène les processeurs à exécuter au moins certaines des étapes du processus ou des fonctions des éléments décrits ici. Un ou plusieurs processeurs dans un agencement multitraitement peuvent également être utilisés pour exécuter les séquences d'instructions contenues dans une mémoire principale ou un ordinateur lisible en mémoire. Dans des variantes de modes de réalisation, des circuits câblés peuvent être utilisés à la place ou en combinaison avec des instructions logicielles. Ainsi, les modes de réalisation ne sont limités à aucune combinaison spécifique de circuits matériels et logiciels.
Le terme "support lisible par ordinateur", tel qu'utilisé ici, désigne tout support qui participe à la fourniture d'instructions à un processeur pour exécution. Un tel support est non transitoire et peut prendre de nombreuses formes, y compris, mais sans s'y limiter, un support non volatile, un support volatile et un support de transmission. Les supports non volatiles incluent, par exemple, les disques optiques ou magnétiques. Les supports volatiles incluent la mémoire dynamique. Les supports de transmission comprennent les câbles coaxiaux, le fil de cuivre et les fibres optiques. Les formes courantes de supports lisibles par ordinateur incluent, par exemple, une disquette, un disque flexible, un disque dur, une bande magnétique, tout autre support magnétique, un CD-ROM, un DVD, tout autre support optique, des cartes perforées, un autre support physique avec des motifs de trous, une RAM, une PROM et une EPROM, une FLASH-EPROM, toute autre puce mémoire ou cartouche, une onde porteuse comme décrit ci-après, ou tout autre support pouvant être lu par un ordinateur. Diverses formes de supports lisibles par ordinateur peuvent être impliquées dans le transport d'une ou plusieurs séquences d'une ou plusieurs instructions au processeur pour exécution.
Des programmes d'ordinateur comprenant des instructions exécutables par une machine pour la mise en oeuvre d'au moins une des étapes des procédés et / ou des aspects et / ou des concepts de l'invention décrits ici ou une ou plusieurs fonctions de divers éléments de l'agencement structurel décrit ici peuvent être mis en oeuvre ou plusieurs ordinateurs comprenant au moins une interface, un processeur physique et une mémoire non transitoire (également appelé, de manière générale, un support de stockage ou de lecture lisible par machine non transitoire). L’ordinateur est un ordinateur à usage spécial, car il est programmé pour exécuter des étapes spécifiques du ou des procédés décrits ci-dessus. La mémoire non transitoire est codée ou programmée avec des instructions de code spécifiques pour la mise en oeuvre du ou des procédés ci-dessus et de ses étapes associées. La mémoire non transitoire peut être agencée en communication avec le processeur physique afin que le processeur physique, en cours d'utilisation, lise et exécute les instructions de codes spécifiques incorporées dans la mémoire non transitoire. L'interface de l'ordinateur à usage spécifique peut être agencée en communication avec le processeur physique et recevoir des paramètres d'entrée qui sont traités par le processeur physique.
LISTE DES SIGNES DE RÉFÉRENCES
(CL) Clients
(CHxx) Chaîne de caractères
(TR, TL) paramètres de réglage
(F) fonction de chiffrement
(BPS, FF3) procédé de tokénisation
(3) Token
(4) Répartiteur de charge
(5) Bus de données
(5a, 5b, 5c, 5d) interfaces web applicatives avec pare-feu
(6a, 6b, 6c, 6d, 60) Serveurs
(7a, 7b, 7c, 7d) bases de données
(8a, 8b,8c,8d) dispositif de la couche de sécurité (FISM)
(10a, 10b) Centres de données
(62) Tokeniseur
(63) outil DANNY
(64) service de requête
(71 ) coffre physique
(72) coffre logique
Claims
1. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI), la plateforme comprenant :
• au moins un coffre (71 , 72) dédié propre à chaque client du SI, sécurisé en fonction des besoins formulés par le client pour sauvegarder au moins des instructions de sécurisation transmises par le gestionnaire et/ou des données et comportant un fichier GDPR (Règlement Général sur la Protection des Données) qui permet de définir selon le type de données des traitements de sécurisation qui satisfont la norme GDPR ce fichier GDPR pouvant être mutualisé ou privatisé par le choix du gestionnaire;
• au moins un service multitraitement comportant au moins :
- un service requête (64) comprenant une infrastructure informatique et logiciel pour analyser les requêtes transmises par chaque client via un(e) interface client (61 )/canal service web (webservice);
- au moins un serveur de traitement (60, 6a, 6b, 6c, 6d) comportant au moins un processeur, une mémoire comprenant un ensemble de programmes/algorithmes dont l’exécution sur ledit processeur met en oeuvre un ensemble de méthodes de traitement de sécurisation des données des clients, pour les enregistrer dans une base de données (7a, 7b, 7c, 7d), ledit ensemble de méthodes de traitement comprenant au moins au choix :
- au moins une méthode d’anonymisation liée à un service de
tokenisation pour transformer les données en tokens ou jetons irréversibles ;
- ou au moins une méthode de pseudonymisation liée à un service de tokenisation/détokenisation pour retrouver les données d’origine ;
la plateforme étant caractérisée en ce que ledit ensemble de méthodes comprend ou également une méthode de sécurisation combinée de tokenisation et d’anonymisation des données, le choix de mise en oeuvre au choix s’effectuant automatiquement par le résultat de l’analyse des besoins
formulés par le client dans sa ou ses requêtes et des instructions de sécurisations formulées par le gestionnaire
2. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) selon la revendication 1 , caractérisée en ce que les requêtes sont transmises chiffrées depuis le terminal client par une clé attribuée à l’utilisateur ou l’entreprise, la plateforme recevant le certificat de l’utilisateur l’authentifie, recherche dans le coffre (71 , 72) la clé de déchiffrement associée et déchiffre puis analyse les données du message de requête.
3. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) selon la revendication 1 , caractérisée en ce qu’elle comprend au moins une interface gestionnaire pour permettre à un client
gestionnaire d’un SI de transmettre des fichiers d’instructions de sécurisation de données propre à chaque client dudit SI.
4. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) selon la revendication 1 , caractérisée en ce qu’elle comprend au moins un service de certificat comprenant au moins une infrastructure informatique comprenant au moins un processeur, une mémoire contenant au moins un programme dont l’exécution sur le processeur génère un certificat
d’authentification propre à chaque client dudit SI pour se connecter à la plateforme et/ou au service multitraitement et émettre des requêtes de traitement de
sécurisation de données.
5. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) selon la revendication 1 , caractérisée en ce que le service multitraitement comprend un programme dont l’exécution sur ledit processeur permet de comparer des entrées effectuées par le client au fur et à mesure avec les données du fichier GDPR stocké dans le coffre (71 , 72) dédié sécurisé propre audit client et générer une indication d’erreur ou une suggestion de
modification satisfaisant la norme GDPR, les entrées validées par le client étant mémorisées dans ledit coffre (71 , 72) et, dans le cas où le client surpasse (overule) la suggestion, d’envoyer systématiquement un message avec un token ou un message anonymisé d’un drapeau signalant la non compatibilité GDPR.
6. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) selon la revendication 1 , caractérisée en ce que le service multitraitement repose sur une architecture multicolonnes et multisites et comprend au moins deux centres de données ayant une structure en colonnes pour le traitement des données, au moins un dispositif réplicateur pour configurer chaque centre de données (10a, 10b) de manière à obtenir des données identiques dans chacune des colonnes des centres de données, au moins un répartiteur (4) de charge configuré pour diffuser dynamiquement et sans interruption des demandes de traitements indépendamment sur chacune des colonnes en fonction de leur charge, au moins un bus (5) de données configuré pour permettre la synchronisation des données entre lesdits centres de données, chaque colonne comprenant au moins un serveur de traitement et au moins une base de données (7a, 7b, 7c, 7d) sécurisée.
7. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) selon la revendication 3, caractérisée en ce que chaque centre de données (10a, 10b) comprend au moins une couche de sécurité
comportant au moins un dispositif (8a, 8b, 8c, 8d) comprenant au moins un processeur, une mémoire comportant un ensemble de programmes dont l’exécution permet de générer, stocker et protéger des clés cryptographiques pour sécuriser au moins les données traitées.
8. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) selon les revendications 1 à 4, caractérisée en ce que le serveur de traitement de données est connecté au dispositif (8a, 8b, 8c, 8d) de la couche de sécurité via un moyen de communication afin de récupérer des clés cryptographiques servant à sécuriser les données en fonction du type de traitement demandé par chaque client du SI.
9. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) selon la revendication 5, caractérisée en ce que le serveur de traitement de chaque centre de données (10a, 10b) comprend des moyens de communication filaires/sans fils pour transférer les données traitées dans au moins une base de données (7a, 7b, 7c, 7d) sécurisée et sécuriser l’accès aux dites données via les clés cryptographiques récupérées dans le dispositif (8a, 8b, 8c, 8d) de sécurité de la couche de sécurité.
10. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) selon la revendication 5, caractérisée en ce que le serveur de traitement de chaque centre de données (10a, 10b) comprend des moyens de communication filaires/sans fils pour se connecter au coffre (71 , 72) dédié sécurisé de chaque client du SI et transférer les données traitées dudit client en fonction de ses préférences.
11. Plateforme de sécurisation de données gérées ou manipulées dans un système d’information (SI) selon une des revendications 1 à 7, caractérisée en ce que dans le cas d’une sécurisation combinée les données sont d’abord envoyées au module de tokenisation puis le module d’anonymisation ayant reçu les données pendant la tokenisation combine les données avec le jeton reçu du tokeniseur (62) pour générer une information tokenisée-anonymisée à envoyer au client.
12. Serveur selon une des revendications 1 ou 8 à 10 .caractérisé en ce qu’il comporte un ou plusieurs coffres (71 , 72) informatiques et mettant en oeuvre un service permettant à un système d’information (SI) accédant au serveur de mettre en place une sécurité pour ses données sensibles qu’il conserve et/ou qu’il manipule, en
mettant en place les bonnes méthodes de sécurité, telles que l’anonymisation ou la pseudonymisation, vis-à-vis des données sensibles en configurant par une interface la configuration des instructions de sécurisation transmises par le gestionnaire et en autorisant leur sauvegarde dans une ou plusieurs zones de coffres (71 , 72) dédiés à chaque gestionnaire,
pouvant stocker de manière sécurisée et réversible pour un SI ses données sensibles dans un ou plusieurs coffres (71 , 72),
apportant un choix de moyens d’anonymisation ou pseudonymisation ou de tokenisation combinables et /ou adaptables aux contraintes du SI par les choix effectués par le gestionnaire,
pouvant redonner en toute sécurité les données sensibles vers le SI par chiffrement et ou signature et ou certificat d’authentification propre à chaque client dudit SI,
pouvant sécuriser tous types de données.
13. Serveur selon une des revendications 1 ou 8 à 10 ou 12, caractérisé en ce que la désensibilisation d’une donnée peut être réalisée par association du
Token avec une concaténation des données personnelles (Nom, Prénom, Adresse, Numéro de téléphone, ... ) et mémorisation.
14. Système informatique en multi-colonnes et multi-sites, permettant le traitement par lots, comprenant une interface web applicative avec pare-feu (5a, 5b, 5c, 5d), un serveur selon une des revendications 1 ou 8 à 10 ou 12, ainsi qu’une base de données (7a, 7b, 7c, 7d) gérant un ou plusieurs coffres physiques (71 ) ou logiques (72) affectables, à chaque gestionnaire pour mémoriser les configurations de sécurité en fonction des données ou d’une pluralité d’utilisateurs pour mémoriser chaque certificat affecté à chaque utilisateur et d’autres services de sécurité pour chaque colonne, un dispositif répartiteur (4) de charge permettant de diffuser les demandes indépendamment sur toutes les colonnes de l’architecture et un système de réplication permettant d’avoir des colonnes identiques, chaque serveur
fournissant un accueil spécifique des gestionnaires de SI par une interface spécifique permettant la définition d’au moins une sécurisation de stockage pour chaque type de données et d’authentification des utilisateurs et pouvant fournir à chaque utilisateur un jeton servant de donnée pivot..
15. Système informatique selon la revendication 14, caractérisé en ce que le serveur comporte un outil logiciel de désensibilisation des données utilisant deux familles de méthodes :
Une première de Généralisation pour annuler l’unicité de la donnée , telle que par Masquage ou par K-anonymat/Agrégation ;
Une deuxième de Randomisation pour diminuer la précision de la donnée par Ajout de bruit , par substitution d’une donnée par une autre en gardant en mémoire du coffre (71 , 72) la substitution ou par permutation.
16. Système informatique selon la revendication 14 ou 15, caractérisé en ce que le serveur (6a, 6b, 6c, 6d, 60) fournit un accueil spécifique pour les gestionnaires de SI réalisant une interface pour le terminal du gestionnaire pour permettre au gestionnaire de définir par sélection dans plusieurs menus le type de données (personnelles, scientifiques, techniques , commerciales,) pour chaque type un attribut de définition de la donnée , pour personnel :nom téléphone, adresse domicile, employeur, adresse bureau, etc... , pour scientifique : calculs, nouveau produit, etc... , pour commerciale : nouveau marché, etc ... )
17. Système informatique selon la revendication 14 ou 15, caractérisé en ce que le serveur fournit un accueil spécifique des gestionnaires de SI réalisant une interface pour le terminal pour définir une pluralités d’utilisateurs avec pour chacun un certificat pour permettre une authentification de chaque utilisateur et une définition des types de données accessibles ou des types de services accessibles, ces données étant mémorisées dans un coffre (71 , 72) spécifique à l’entreprise représentée par le gestionnaire.
18. Système informatique selon la revendication 14 ou 15, caractérisé en ce que le serveur fournissant un accueil spécifique des gestionnaires de SI réalise une interface pour définir selon les classifications des données les Règles de désensibilisation à respecter en fonction de la classification des données,
les règles à respecter comprenant :
• L’individualisation : est-il toujours possible d’isoler un individu ?
• La corrélation : est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?
• L’inférence : peut-on déduire de l’information sur un individu ? règles de classification des données comprenant :
• Directe : Donnée unique sur un individu (Numéro de téléphone, ... )
• Pseudo Directe : Données donnant accès à un individu unique (Corrélation de donnée)
• Indirecte : Données dites non personnelles mais permettant de retrouver la personne (Jointure d’informations diverses)
la désensibilisation d’une donnée est réalisée en association du token avec une concaténation des données personnelles (Nom, Prénom, Adresse, Numéro de téléphone, ... ) et mémorisation.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR1874254A FR3091369B1 (fr) | 2018-12-27 | 2018-12-27 | Plateforme de sécurisation de données |
| PCT/EP2019/087026 WO2020136206A1 (fr) | 2018-12-27 | 2019-12-24 | Plateforme de sécurisation de données |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| EP3903463A1 true EP3903463A1 (fr) | 2021-11-03 |
Family
ID=67999695
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| EP19836809.4A Pending EP3903463A1 (fr) | 2018-12-27 | 2019-12-24 | Plateforme de sécurisation de données |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP3903463A1 (fr) |
| FR (1) | FR3091369B1 (fr) |
| WO (1) | WO2020136206A1 (fr) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115622715B (zh) * | 2022-11-16 | 2023-03-03 | 深圳市杉岩数据技术有限公司 | 一种基于令牌的分布式存储系统、网关和方法 |
| CN116149546B (zh) * | 2022-12-14 | 2023-11-17 | 湖北华中电力科技开发有限责任公司 | 一种基于大数据平台的数据安全存储方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2002254564A1 (en) * | 2001-04-10 | 2002-10-28 | Latanya Sweeney | Systems and methods for deidentifying entries in a data source |
| FR2871012B1 (fr) * | 2004-05-28 | 2006-08-11 | Sagem | Procede de chargement de fichiers depuis un client vers un serveur cible et dispositif pour la mise en oeuvre du procede |
| GB201112665D0 (en) | 2011-07-22 | 2011-09-07 | Vodafone Ip Licensing Ltd | Data anonymisation |
| EP2672418A1 (fr) | 2012-06-06 | 2013-12-11 | Gemalto SA | Procédé d'anonymisation |
| US10572684B2 (en) * | 2013-11-01 | 2020-02-25 | Anonos Inc. | Systems and methods for enforcing centralized privacy controls in de-centralized systems |
| US10498772B2 (en) * | 2016-03-21 | 2019-12-03 | Vireshwar K. Adhar | Method and system for digital privacy management |
-
2018
- 2018-12-27 FR FR1874254A patent/FR3091369B1/fr active Active
-
2019
- 2019-12-24 WO PCT/EP2019/087026 patent/WO2020136206A1/fr unknown
- 2019-12-24 EP EP19836809.4A patent/EP3903463A1/fr active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| FR3091369B1 (fr) | 2022-11-11 |
| FR3091369A1 (fr) | 2020-07-03 |
| WO2020136206A1 (fr) | 2020-07-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3547203B1 (fr) | Méthode et système de gestion d'accès à des données personnelles au moyen d'un contrat intelligent | |
| US11652608B2 (en) | System and method to protect sensitive information via distributed trust | |
| EP3547202B1 (fr) | Méthode d'accès à des données anonymisées | |
| JP5639660B2 (ja) | ラッパ複合を通じたデータのための確認可能な信頼 | |
| US11983298B2 (en) | Computer system and method of operating same for handling anonymous data | |
| US10536276B2 (en) | Associating identical fields encrypted with different keys | |
| WO2020136206A1 (fr) | Plateforme de sécurisation de données | |
| JP2023551124A (ja) | 自己監査ブロックチェーン | |
| Antony Saviour et al. | IPFS based file storage access control and authentication model for secure data transfer using block chain technique | |
| CH716295A2 (fr) | Procédé de signature multiple d'une transaction destinée à une blockchain, au moyen de clés cryptographiques distribuées parmi les noeuds d'un réseau pair-à-pair. | |
| WO2022132718A1 (fr) | Technologies de protocole de confiance avec stockage de chaîne immuable et suivi d'invocation | |
| Pavithra et al. | Enhanced Secure Big Data in Distributed Mobile Cloud Computing Using Fuzzy Encryption Model | |
| CH716276A2 (fr) | Procédé de traitement, au sein d'un réseau blockchain et sous enclave, de données informatiques chiffrées au moyen d'une application chiffrée, pour un tiers autorisé. | |
| Devi | Bio Metric Based Security using Cloud Centric File System. | |
| CH716261A2 (fr) | Procédé de stockage de données informatiques par distribution d'un conteneur crypté et de sa clé de déchiffrement sur un réseau blockchain. | |
| CH716277A2 (fr) | Procédé de traitement, au sein d'un réseau blockchain et sous enclave, de données informatiques chiffrées au moyen d'une application chiffrée, sous condition de géolocalisation. | |
| CH716262A2 (fr) | Procédé de stockage de données informatiques par distribution d'un conteneur crypté et de sa clé de déchiffrement sur des noeuds distincts d'un réseau blockchain. | |
| Beley et al. | A Management of Keys of Data Sheet in Data Warehouse | |
| CH716281A2 (fr) | Procédé de traitement, au sein d'un réseau blockchain et sous enclave, de données informatiques chiffrées au moyen d'une application chiffrée. | |
| CH716275A2 (fr) | Procédé de traitement, au sein d'un réseau blockchain et sous enclave, de données informatiques chiffrées au moyen d'une application chiffrée. | |
| CH716284A2 (fr) | Procédé de traitement distribué, au sein d'un réseau blockchain et sous enclaves, de données informatiques chiffrées avec une clé fragmentée. | |
| CH716300A2 (fr) | Procédé de signature d'une transaction destinée à une blockchain, au moyen d'une clé cryptographique distribuée parmi les noeuds d'un réseau pair-à-pair sur lequel est déployée cette blockchain. | |
| CH716266A2 (fr) | Procédé de stockage de données informatiques sur un réseau blockchain avec preuve de stockage à partir d'un noeud de stockage équipé d'une enclave cryptographique. | |
| CH716267A2 (fr) | Procédé de stockage de données informatiques sur un réseau blockchain avec preuve de stockage à partir d'un noeud de calcul épuipé d'une enclave cryptographique. | |
| CH716301A2 (fr) | Procédé de signature d'une transaction destinée à une blockchain déployée sur un réseau pair-à-pair, au moyen d'une clé cryptographique distribuée parmi les noeuds d'un autre réseau pair-à-pair. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: UNKNOWN |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: THE INTERNATIONAL PUBLICATION HAS BEEN MADE |
|
| PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: REQUEST FOR EXAMINATION WAS MADE |
|
| 17P | Request for examination filed |
Effective date: 20210726 |
|
| AK | Designated contracting states |
Kind code of ref document: A1 Designated state(s): AL AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HR HU IE IS IT LI LT LU LV MC MK MT NL NO PL PT RO RS SE SI SK SM TR |
|
| DAV | Request for validation of the european patent (deleted) | ||
| DAX | Request for extension of the european patent (deleted) | ||
| P01 | Opt-out of the competence of the unified patent court (upc) registered |
Effective date: 20230527 |
|
| STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: EXAMINATION IS IN PROGRESS |
|
| 17Q | First examination report despatched |
Effective date: 20240417 |