La conformité en matière de contrôle des données doit être surveillée pour l'ensemble des ressources de données contenant des informations sensibles, à l'aide d'indicateurs et de notifications automatisées. Ces indicateurs doivent être calculés en fonction du degré de mise en œuvre des contrôles clés du CDMC spécifiés dans les sections suivantes.

Une organisation ne définit ni n'atteint ses objectifs en matière de valeur et de réduction des risques liés à la gestion du cloud. Les données ne sont pas maîtrisées et risquent donc de ne pas être adaptées à l'usage prévu, d'être transmises en retard, d'être manquantes, corrompues ou divulguées, et d'enfreindre la législation relative au partage et à la conservation des données.

Les organisations sont tenues de démontrer qu'elles exercent un contrôle adéquat sur les données créées ou transférées vers le cloud.

Une part importante des données stockées sur site ne fait l'objet d'aucune gestion des données et, par conséquent, ne permet pas à l'organisation d'en tirer le maximum de valeur ou peut potentiellement présenter un risque non quantifié.

Lors du transfert de données vers un nouvel environnement cloud, il est essentiel que les organisations évaluent activement et mettent en œuvre les niveaux appropriés de gestion des données afin d'atteindre les objectifs fixés, qu'elles appliquent les contrôles nécessaires à cette fin et qu'elles mesurent la conformité ainsi que la concrétisation de la valeur par rapport à ces objectifs.

• Lorsque des preuves de l'existence de contrôles peuvent être recueillies automatiquement (y compris celles mentionnées dans les sections suivantes du présent document), les indicateurs de conformité des contrôles des données peuvent être calculés automatiquement.
• Lorsque les indicateurs tombent en dessous des seuils définis, des alertes doivent être générées et transmises automatiquement aux parties prenantes désignées.

Il est démontré que les données dans le cloud sont maîtrisées et qu'elles répondent aux arguments commerciaux en faveur de la gestion des données dans le cloud ainsi qu'aux exigences de l'organisation en matière d'atténuation des risques.

Les organisations peuvent montrer qu'elles ont pris conscience des résultats escomptés de la gestion des données dans le cloud et se concentrer sur la création d'une valeur quantifiable ainsi que sur l'atténuation des risques.

Le champ « Propriétaire » dans un catalogue de données doit être renseigné pour toutes les données sensibles ; à défaut, celles-ci doivent être signalées à un processus défini.

La responsabilité des décisions relatives aux données sensibles et leur contrôle ne sont pas clairement définis. La gestion de ces données n'est pas assurée de manière efficace, ce qui entraîne un risque qu'elles ne soient pas adaptées à leur usage, qu'elles soient transmises en retard, qu'elles manquent, qu'elles soient corrompues, qu'elles fassent l'objet de fuites ou qu'elles enfreignent la législation en matière de partage et de conservation des données.

Les organisations ont mis en place des politiques qui exigent la désignation explicite d'un responsable pour les données classées comme sensibles.

Pour une grande partie des données héritées, le propriétaire n'est pas renseigné.

Le champ “ Propriétaire ” dans un catalogue de données doit être renseigné « à terme » pour les données sensibles qui sont migrées vers le cloud ou générées au sein de celui-ci.

• Déclencher automatiquement des workflows pour assurer le remplissage des données lorsque de nouvelles ressources de données sont créées.
• Permettre d'automatiser les processus permettant de vérifier et de mettre à jour périodiquement la responsabilité des données sensibles, ou lorsqu'un responsable quitte l'entreprise ou change de poste au sein de celle-ci.
• Déclencher automatiquement des workflows d'escalade pour combler les lacunes dans les données démographiques.
• Mettre en œuvre les recommandations en matière de responsabilité en fonction de la nature des données et de la responsabilité relative à des données similaires.

Respect accru des règles relatives à la propriété des données politique.

Une infrastructure permettant de compléter les informations relatives à la propriété des données pour les disques contenant des données sensibles politique conformité.

Un registre des sources de données faisant autorité et des points de fourniture doit être constitué pour tous les ensembles de données contenant des informations sensibles ; à défaut, ceux-ci doivent être signalés à un processus défini.

La stratégie architecturale de l'organisation n'est pas encore entièrement définie. Les sources faisant autorité n'ont pas été identifiées ni correctement contrôlées.

Les données sont redondantes et/ou contradictoires, ce qui entraîne processus des interruptions, des dysfonctionnements architecturaux, une augmentation des coûts d'exploitation et une aggravation des risques opérationnels existants sur l'ensemble des processus métier concernés.

Une des principales responsabilités d'un propriétaire des données consiste à désigner les sources de données faisant autorité et les points de fourniture des données pour un ensemble spécifique de données.

Politique les commandes nécessitent un actif de données être considéré comme faisant autorité ou non lorsqu'il est partagé.

L'identification et la correction de l'utilisation de sources non fiables ou de copies de données nécessitent un travail manuel considérable.

• Imposer automatiquement le marquage des sources de données comme faisant autorité ou non.
• Limiter l'utilisation des données sensibles provenant de sources non fiables.
• Par défaut, les sources doivent être considérées comme non fiables jusqu'à ce qu'elles aient été vérifiées et mises à jour par le propriétaire des données.

Une infrastructure capable d'exécuter des flux de travail automatisés pour identifier et supprimer les données non fiables permet de réaliser des économies en éliminant le travail manuel associé à cette tâche.

Le fait que les données soient automatiquement classées comme faisant autorité ou non simplifiera considérablement politique assurer la conformité et supprimer les coûts liés aux tâches manuelles de gestion de l'approvisionnement et de l'utilisation des données.

La souveraineté des données et les transferts transfrontaliers de données sensibles doivent être consignés, vérifiables et contrôlés conformément à des règles définies politique.

Dans les environnements cloud, les données peuvent être stockées, consultées et traitées sur plusieurs sites physiques, ce qui accroît le risque de non-respect des lois, des règles de sécurité et de confidentialité ou des réglementations en vigueur.

Les infractions peuvent entraîner diverses sanctions, notamment des amendes, une atteinte à la réputation, des poursuites judiciaires et le retrait de licences.

Le cadre propriétaire des données devrait comprendre les implications juridictionnelles du transfert transfrontalier de données ainsi que les règles spécifiques à chaque région en matière de stockage et d'utilisation pour un cas particulier ensemble de données. Les contrôles prévus par la politique doivent être appliqués lors de la conclusion d'accords de partage transfrontalier de données afin de répondre aux demandes d'utilisation de données provenant d'un lieu donné.

La gestion des informations relatives à l'emplacement physique des bases de données et des processus représente une tâche considérable, et l'application cohérente de règles à travers de multiples technologies différentes s'avère prohibitive.

• Recueillir et faire apparaître automatiquement l'emplacement physique de l'ensemble de l'infrastructure de stockage, d'utilisation et de traitement associée à un élément catalogué ensemble de données.
• Permettre le déclenchement de transactions transfrontalières accord de partage des données procédures (pour le transfert international de données et les demandes de données à l'échelle internationale).
• Appliquer automatiquement les contraintes régionales en matière de stockage, de traitement et d'utilisation, avec la possibilité de faire remonter le problème à un propriétaire des données le cas échéant.
• Effectuer automatiquement un audit et déclencher un workflow lorsque des données sensibles sont consultées depuis un emplacement ne disposant pas d'un accord de partage des données.

La réduction des tâches manuelles liées au traitement et à la vérification des accords de partage de données permettra de réduire considérablement les coûts et les risques liés au traitement des données dans le cloud.

La codification et l'application automatique des règles de gestion des données relatives à la compétence juridictionnelle ainsi que des accords de partage transfrontalier permettront de réduire considérablement les risques liés au traitement des données dans le cloud. Cela favorisera l'adoption des services cloud et simplifiera le traitement quotidien des données dans le cloud.

Catalogage doit être automatisé pour toutes les données dès leur création ou leur ingestion, avec cohérence dans tous les environnements.

L'existence, le type et le contexte des données ne sont pas identifiés, ce qui empêche la mise en œuvre de tous les autres contrôles qui dépendent de la portée de ces données.

Les données ne font l'objet d'aucun contrôle et risquent donc de ne pas être adaptées à l'usage prévu, d'être obsolètes, incomplètes, corrompues ou divulguées, et d'enfreindre la législation relative au partage et à la conservation des données.

Les organisations doivent s'assurer que les contrôles nécessaires sont en place pour les charges de travail volumineuses ou complexes impliquant des données sensibles, telles que les identifiants des clients et les détails des transactions.

La connaissance de l'ensemble des données existantes est essentielle pour garantir que toutes les données sensibles ont bien été identifiées.

Les entreprises ne sont pas en mesure d'analyser et de répertorier la grande diversité des ressources de données présentes dans les environnements sur site existants. Sans catalogues exhaustifs de toutes les données existantes, elles ne peuvent pas être certaines que toutes les données sensibles contenues dans leurs ressources de données ont été identifiées.

• Assurez-vous que des entrées de catalogue sont générées pour toutes les données migrées vers le cloud ou créées dans celui-ci.
• Veiller à ce que des entrées de catalogue soient générées pour les données des environnements de développement, de test et de production, ainsi que pour les données en ligne et archivées.
• Fournir des preuves de l'exhaustivité du catalogue de données.
• Mettre en œuvre des API et prendre en charge les normes relatives aux données ouvertes pour métadonnées partage et interopérabilité des catalogues. (Voir les informations du CDMC Modèle).

Une organisation peut garantir que toutes les données ont été répertoriées et s'appuyer sur cette base pour automatiser et mettre en œuvre des contrôles fondés sur le métadonnées dans le catalogue.

Il s'agit de l'infrastructure qui permet de recenser les données existantes, d'en évaluer le volume et d'identifier les différents types. Elle constitue la base de tous les autres contrôles.

Classification doit être automatisé pour toutes les données dès leur création ou leur importation et doit fonctionner en permanence.

• Informations d'identification personnelle détection automatique
• Détection automatique de la classification de la sensibilité des informations
• Détection automatique des informations non publiques importantes (MNPI)
• Détection automatique des informations permettant d'identifier le client
• Détection automatique des classifications définies par l'organisation

Les données sensibles ne sont pas classifiées, ce qui empêche l'application de toutes les autres mesures de contrôle qui dépendent de cette classification.

Les données ne font l'objet d'aucun contrôle et risquent donc de ne pas être adaptées à l'usage prévu, d'être obsolètes, incomplètes, corrompues ou divulguées, et d'enfreindre la législation relative au partage et à la conservation des données.

La classification de la sensibilité des informations (ISC) est exigée par les politiques de sécurité de l'information de la plupart des organisations. Une organisation doit savoir si les données sont à accès strictement réservé (HR), classifiées (C), à usage interne uniquement (IUO) ou publiques (P), et si elles sont sensibles.

Savoir si des données sont sensibles constitue le fondement de la plupart des autres mesures de contrôle prévues dans le cadre. Cela implique de s'assurer que toutes les données ont bien été répertoriées et que leur caractère sensible a bien été déterminé.

La diversité des ressources de données dans les environnements existants complique la tâche consistant à s'assurer que toutes les données ont bien été identifiées. Des données sensibles peuvent se trouver dans des ressources qui n'ont pas été identifiées.

La classification des ressources de données s'effectue souvent manuellement et peut s'avérer à la fois source d'erreurs et coûteuse. Même lorsque les ressources sont identifiées, la classification peut comporter des lacunes ou des erreurs.

La multiplication des copies de données dans les environnements hérités peut avoir pour conséquence que les classifications définies dans les sources de données ne soient pas répercutées sur ces copies.

• Appliquer le traitement de classification à toutes les données transférées vers le cloud ou créées dans celui-ci.
• Utiliser l'automatisation classification des données pour déterminer la classification applicable.
• Prise en charge des schémas de classification définis par l'organisation.
• Les classifications par défaut sont conservées au niveau le plus élevé jusqu'à ce qu'elles soient explicitement réexaminées et modifiées.

L'équipe opérationnelle chargée de classer les données représente un coût important. La classification automatique permet de rationaliser considérablement ce processus et de réduire la charge de travail manuel qu'il implique fonction.

La classification automatique des données permet de s'assurer que toutes les données sensibles ont été identifiées et peuvent être contrôlées.

1. Droits d'accès aux données sensibles doit par défaut revenir au créateur et au propriétaire jusqu'à ce qu'il soit explicitement et formellement attribué.
2. L'accès à toutes les données sensibles doit faire l'objet d'un suivi.

L'accès aux données n'est pas suffisamment contrôlé et n'est pas limité aux seules personnes autorisées. Cela pourrait entraîner des fuites de données, une atteinte à la réputation, des sanctions réglementaires, une manipulation frauduleuse des processus opérationnels ou une corruption des données.

Les données ne font l'objet d'aucun contrôle et risquent donc de ne pas être adaptées à l'usage prévu, d'être obsolètes, incomplètes, corrompues ou divulguées, et d'enfreindre la législation relative au partage et à la conservation des données.

Une fois que le système de classification automatique a identifié les ressources de données sensibles, il convient de mettre en place des contrôles renforcés pour ces ressources, notamment en ce qui concerne l'octroi des droits d'accès.

Il est nécessaire de suivre les utilisateurs qui ont accès aux données ainsi que la fréquence à laquelle ils y accèdent.

Il est difficile de savoir quels consommateurs utilisent quelles ressources de données, à moins que le suivi ne soit activé et appliqué de manière cohérente à l'ensemble des données du catalogue.

• Automatiser la configuration par défaut des droits d'accès afin de limiter l'accès au créateur et au propriétaire jusqu'à ce que ces droits soient explicitement et officiellement accordés à d'autres personnes
• Suivre automatiquement quels utilisateurs ont accès à quelles données et à quelle fréquence ils y accèdent, puis enregistrer ces informations dans un catalogue de données.
• Donner à tous les propriétaires de données un accès à l'outil de suivi de l'utilisation
• Conserver les droits sous la forme de métadonnées afin de permettre leur utilisation par tout outil servant à accéder aux données.

Le suivi de la consommation de données permet une répartition des coûts en fonction de la consommation. L'automatisation peut réduire le coût lié à la réalisation manuelle de ces répartitions.

Droits d'accès aux données sensibles Au minimum, le système devrait être configuré par défaut pour que l'accès soit limité au créateur et au propriétaire des données jusqu'à ce qu'ils accordent des autorisations à d'autres personnes. Une fois que d'autres personnes ont accès à ces données, un système de suivi devrait être mis en place pour identifier les utilisateurs et déterminer la fréquence de leurs accès. Les coûts pourront alors être correctement imputés.

Objectif de l'utilisation des données doit être prévu pour tous les accords de partage de données portant sur des données sensibles. L'objet doit préciser le type de données requises et inclure le champ d'application par pays ou par entité juridique pour les organisations internationales complexes.

Les données sont partagées ou utilisées de manière incontrôlée, ce qui fait que leur producteur ignore comment elles sont utilisées et ne peut garantir qu'elles sont adaptées à l'usage prévu.

Les données ne sont pas partagées conformément aux exigences éthiques, législatives, réglementaires et politique le contexte dans lequel l'organisation évolue.

On voit apparaître des cadres et des lignes directrices en matière d'utilisation éthique qui précisent les mesures à prendre lorsque l'utilisation des données évolue.

Il est difficile pour les personnes de déterminer à quel moment l'utilisation des données s'est transformée en un nouveau type de traitement susceptible d'être soumis à une base réglementaire ou juridique sans autorisation spécifique.

• Enregistrer les informations de suivi des accès aux données sensibles.
• Imposer la saisie de l'objet, par exemple, en l'intégrant à savoir-faire la gouvernance.
• Envoyer des alertes à propriétaire des données ou aux équipes chargées de la gouvernance des données lorsqu'un nouveau cas d'utilisation vient s'ajouter à l'accès existant des utilisateurs aux données sensibles.
• Identifier les cas où certaines technologies sont utilisées (par exemple, l'apprentissage automatique) et exploiter le suivi de l'utilisation et des coûts pour mettre en évidence de nouveaux cas d'utilisation potentiels.

Simplification des obligations éthiques en matière de responsabilité pour les données utilisées à de nouvelles fins.

A accord de partage des données entre un consommateur et la source faisant autorité exprime l'intention d'utiliser les données à des fins spécifiques. Le suivi et la surveillance automatisés de à des fins de consommation de données peut alerter les propriétaires des données et les équipes chargées de la gouvernance des données en cas de nouvelle utilisation ou de modification de l'utilisation.

1. approprié Mesures de sécurité doit être activée pour les données sensibles.
2. Les preuves relatives aux contrôles de sécurité doivent être consignées dans le catalogue de données pour toutes les données sensibles.

Les données ne relèvent pas des paramètres fixés par la législation, la réglementation ou politique le contexte dans lequel l'organisation exerce ses activités. La perte de données ou le non-respect des exigences en matière de protection de la vie privée peuvent entraîner une atteinte à la réputation, des amendes réglementaires et des poursuites judiciaires.

Le niveau de sensibilité des données détermine le niveau de chiffrement, de dissimulation et de prévention des pertes de données à mettre en œuvre. Les exigences en matière de Mesures de sécurité et les mesures de prévention des pertes de données deviennent de plus en plus strictes à mesure que le niveau de sensibilité des données augmente.

Il est difficile de garantir que le chiffrement soit toujours activé pour les données sensibles.

• Fournir mesures de sécurité fonctionnalités telles que le chiffrement, le masquage, l'obfuscation et la tokenisation, qui s'activent automatiquement en fonction du niveau de sensibilité d'une ensemble de données.
• Automatiser l'enregistrement de la mise en œuvre des mesures de sécurité.

Il est facile de prouver que le niveau de cryptage approprié est activé et qu'il a été appliqué de manière cohérente.

Au cours d'un audit de sécurité, un propriétaire des données dispose d'un inventaire de ses données et indique la proportion de données sensibles. Chaque donnée sensible peut servir de preuve que les données sont chiffrées, et un dispositif de prévention des pertes de données est en place pour tous les environnements informatiques où elles sont stockées.

Le fait de pouvoir fournir des preuves relatives aux contrôles de sécurité via le catalogue plutôt que de procéder à une analyse cyber-forensique constitue une opportunité de réduction des coûts. Une équipe à temps plein composée de employés c'est généralement lui qui s'occupe de ce travail.

Une automatisation qui applique et consigne le niveau de chiffrement approprié en fonction d'un actif de données’Le niveau de sensibilité de ce système garantit la conformité aux normes de sécurité et réduit les tâches manuelles nécessaires pour fournir des preuves de la mise en œuvre des contrôles.

Analyses d'impact relatives à la protection des données (les AIPD) doivent être automatiquement déclenchées pour toutes les données personnelles conformément à sa compétence.

Les données ne sont pas sécurisées à un niveau adapté à la nature et au contenu de celles-ci ensemble de données. Cela se traduit soit par une sécurisation des données entraînant des coûts et des inconvénients plus importants que nécessaire, soit par des pertes de données ou des violations des règles de confidentialité, pouvant entraîner une atteinte à la réputation, des amendes réglementaires et des poursuites judiciaires.

Si un ensemble de données est considéré comme contenant des données à caractère personnel, une organisation doit être en mesure de démontrer qu'elle a procédé à une analyse d'impact relative à la protection des données concernant ces données dans certaines juridictions.

La mise en place et la réalisation d'une analyse d'impact relative à la protection des données pour les ensembles de données classés comme contenant des informations à caractère personnel constituent un processus très coûteux.

Il peut être difficile de déterminer quelles analyses d'impact sur la protection des données (AIPD) doivent être réalisées, et la mise en œuvre de ces analyses peut s'avérer très coûteuse.

• Lancer automatiquement Analyses d'impact relatives à la protection des données en fonction de facteurs tels que la configuration géographique de l'infrastructure de données, la classification des données ou l'usage prévu.

Il est facile de démontrer que toutes les exigences en matière de protection de la vie privée ont été respectées pour les données sensibles, puisque les AIPD sont lancées automatiquement.

Une identification plus efficace des cas où une analyse d'impact relative à la protection des données (AIPD) est nécessaire permet de réaliser des économies.

Appliquer automatiquement une AIPD le traitement des données à caractère personnel garantit politique conformité et réduit les coûts liés au travail manuel dans ce domaine fonction.

Conservation, archivage et suppression des données doivent être gérés conformément à un calendrier de conservation défini.

Les données ne sont pas supprimées conformément aux dispositions législatives, réglementaires ou politique aux exigences de l'environnement de l'organisation, ce qui entraîne une augmentation des coûts de stockage, une atteinte à la réputation, des amendes réglementaires et des poursuites judiciaires.

Les organisations disposent d'un calendrier de conservation général qui définit la durée de conservation des données dans chaque juridiction où elles ont été créées, en fonction de leur classification.

Les organisations disposeront d'énormes bases de données historiques, souvent conservées afin de répondre aux exigences d'éventuels audits futurs. Les délais de conservation des ensembles de données varient selon les juridictions. Il est difficile de se conformer manuellement à ces exigences, car les différentes dispositions légales applicables peuvent modifier les délais de conservation.

• Automatiser conservation, archivage et suppression des données traitement fondé sur la juridiction, la finalité et la classification des données, et conformément à un calendrier de conservation défini.
• Recueillir et fournir des preuves concernant le plan de conservation, d'archivage et de suppression des données, ainsi que sa mise en œuvre.

La conservation, l'archivage ou la suppression automatiques des données en fonction de leur classification et du calendrier de conservation associé permettront de réduire la charge de travail manuelle nécessaire à la réalisation de ces tâches fonction et veiller à ce que politique conformité.

Les organisations disposant de ces outils d'automatisation et de contrôle peuvent fournir les preuves nécessaires pour attester que leurs données sont conservées, archivées ou supprimées conformément au calendrier de conservation correspondant à leur classification.

Qualité des données Mesure doit être activée pour les données sensibles, avec des indicateurs fournis dès qu'ils sont disponibles.

Les données ne sont pas toujours adaptées aux besoins de l'organisation, ce qui empêche de fournir les résultats escomptés client service, processus des défaillances, l'incapacité à démontrer une bonne gestion des risques, des dysfonctionnements et un manque de confiance dans les données et les décisions fondées sur des informations erronées.

Qualité des données Ces indicateurs permettront aux propriétaires et aux utilisateurs des données de déterminer si celles-ci sont adaptées à l'usage prévu. Ces informations doivent être accessibles tant aux propriétaires qu'aux utilisateurs des données.

L'application limitée de la qualité des données Dans de nombreux environnements hérités, la gestion des données entraîne un manque de transparence quant à leur qualité et empêche les utilisateurs de déterminer si elles sont adaptées à l'usage prévu. Les propriétaires des données peuvent ne pas être conscients de la qualité des données problèmes.

• Envoyer automatiquement la qualité des données des indicateurs aux détenteurs et aux utilisateurs de données.
• Créer la qualité des données indicateurs disponibles dans le catalogue de données.
• Avertir automatiquement les responsables des données la qualité des données problèmes.

Les utilisateurs des données peuvent déterminer si celles-ci sont adaptées à l'usage prévu. Les propriétaires des données sont conscients que la qualité des données problèmes et peuvent déterminer leur ordre de priorité et les mesures à prendre pour y remédier.

Apporter des éclaircissements sur la qualité des données et un accompagnement visant à garantir que les données répondent aux besoins permettra aux responsables des données de faire face à la qualité des données problèmes.

Indicateurs de coûts Les informations directement liées à l'utilisation, au stockage et au transfert des données doivent figurer dans le catalogue.

Les coûts ne sont pas maîtrisés, ce qui nuit à la viabilité commerciale de l'organisation.

Le cloud faisant évoluer le modèle de coûts des dépenses d'investissement (Capex) vers les dépenses d'exploitation (Opex), les entreprises ont besoin d'une meilleure visibilité sur les sources des coûts liés au transfert, au stockage et à l'utilisation des données.

De mauvais choix architecturaux en matière de placement des données peuvent entraîner des coûts supplémentaires liés aux transferts entrants ou sortants. Par exemple, l'exécution de charges de travail de data warehouse sur une infrastructure OLTP entraînera des coûts de calcul supplémentaires.

Besoin limité de gérer les coûts liés au traitement ou au stockage des données au niveau d'un actif de données niveau.

Les actifs répertoriés dans un catalogue de données ne font pas l'objet d'une ventilation des coûts par poste ; les entreprises ne peuvent donc pas réaliser d'analyse des coûts pour déterminer précisément où s'inscrivent leurs dépenses liées à la gestion des données.

• Suivre automatiquement les mouvements, le stockage et les coûts d'utilisation des ressources de données, et mettre ces informations à disposition via le catalogue de données.
• Prendre en charge la gestion automatisée des coûts basée sur des règles et l'optimisation du traitement des données.

Les propriétaires des données pourraient ainsi savoir qui utilise quelles données, à quelle fréquence et quel est le coût lié à la mise à disposition de ces données.

L'infrastructure des opérations financières des fournisseurs de services cloud est suffisamment solide pour identifier les comptes et les opérations qui engendrent des coûts, et pour associer ces coûts à des ressources de données spécifiques sous forme de lignes distinctes dans le catalogue de données.

Lignée de données Des informations doivent être disponibles pour toutes les données sensibles. Celles-ci doivent au minimum indiquer la source à partir de laquelle les données ont été importées ou dans laquelle elles ont été créées dans un environnement cloud.

Il est impossible de déterminer si les données proviennent d'une source fiable, ce qui entraîne un manque de confiance dans ces données, l'incapacité à respecter les exigences réglementaires et des inefficacités dans l'architecture du système de l'organisation.

Les organisations doivent pouvoir se fier aux données utilisées et s'assurer qu'elles proviennent de sources contrôlées.

Les organismes soumis à la réglementation fournissent des informations sur la traçabilité afin de prouver que les données figurant dans les rapports réglementaires proviennent d'une source faisant autorité pour ce type d'informations.

Les utilisateurs de données sensibles doivent être en mesure de prouver que ces données proviennent d'une source faisant autorité, par exemple en démontrant leur traçabilité depuis cette source ou en fournissant la provenance des données auprès d'un fournisseur.

Les informations sur la traçabilité sont générées manuellement en suivant le parcours des données à travers les systèmes, de leur source jusqu'à leur utilisation. Le coût de cette approche et les conséquences d'une production de données erronées peuvent être considérables.

• Enregistrement de la source d'origine de toutes les données relevant de classifications spécifiques migrées vers le cloud.
• Enregistrer le parcours de toutes les opérations de transfert de données relevant de classifications spécifiques au sein de l'environnement cloud.
• Enregistrer le parcours de toutes les données relevant de classifications spécifiques qui quittent le cloud (que ce soit vers un environnement sur site ou vers un autre cloud).

Il est facile de fournir la preuve de lignée de données pour les rapports réglementaires. Les grands établissements financiers supportent des coûts importants pour produire ces informations manuellement et a posteriori.

Le suivi automatique des informations de traçabilité pour les données utilisées dans les rapports réglementaires permettrait d'optimiser les données de ces rapports et de réduire les coûts en supprimant le travail manuel nécessaire à la production de ces informations.