Sono l'autore della pagina wikipedia XACML e lavoro per uno dei principali fornitori, Axiomatics .
Sì, XACML è molto utilizzato in un'ampia gamma di verticali: dalla finanza (molte banche hanno persino implementato i propri motori già 12 anni fa) alla difesa (molti casi d'uso relativi al controllo delle esportazioni) e assistenza sanitaria (dopotutto devi impedire alla tua azienda di finire su HHS's Hall of Shame .
Negli ultimi due anni, abbiamo visto 2 nuovi fornitori e 2 nuove superfici di implementazione open source (AuthZForce per esempio fa parte di un progetto UE ed è supportato da Thales, una delle principali società di difesa a livello globale). Abbiamo anche visto la nascita di ALFA, il linguaggio abbreviato per l'autorizzazione, una notazione leggera per XACML e la definizione di un'API di autorizzazione JSON / REST basata su XACML (in realtà l'ho scritto io stesso). Axiomatics ha esteso l'uso di XACML a Big Data e Cloud.
It seems to me that most companies do not care so much about personal
data protection (mostly because of the profit and insight gained from
data analytics and ads), so I doubt that personal data protection is
thoroughly employed.
Ci sono gravi conseguenze per non aver implementato le regole sulla privacy. GDPR è uno di questi esempi. Questa è la penalità:
If it is determined that non-compliance was related to technical
measures such as impact assessments, breach notifications and
certifications, then the fine may be up to an amount that is the
GREATER of €10 million or 2% of global annual turnover (revenue) from
the prior year.
Questo è un numero enorme. Hai sicuramente un incentivo a conformarti. E questo non include il danno di marca, ovviamente. Dai un'occhiata a Equifax . Chi si fida di loro al giorno d'oggi?
E negli Stati Uniti, HIPAA è un pezzo di legislazione che devi sincronizzare.
Ricorda che la privacy non è l'unica ragione per cui vorresti usare XACML. XACML è un linguaggio basato su criteri. È finalizzato all'autorizzazione, ovvero a determinare se un utente può o non può eseguire una determinata azione. Non deve essere sulla privacy dei dati. Potrebbe riguardare processi aziendali o segreti commerciali o protezione IP. Ad esempio, uno dei clienti di Axiomatics, uno dei principali produttori di scarpe, utilizza Axiomatics Policy Server per assicurarsi che i segreti del marchio siano condivisi solo con quei gestori con il portafoglio giusto.
Anche il punto di Ewan è eccellente: XACML è solo un pezzo nel tuo arsenale di sicurezza. Si tratta di decidere e imporre. Ma prima e dopo, vuoi fare governance, accedere a recensioni, identità e amp; gestione dei diritti. Dovrai implementare la protezione dei tuoi dati a riposo attraverso la gestione dei dati e amp; crittografia. C'è più sicurezza rispetto al semplice controllo degli accessi.
Spero che questo aiuti,
David.