Pular para conteúdo

PII masking

PII masking é o mascaramento automático de dados pessoais e sensíveis (CPF, e-mail, telefone, endereço, nome, ou qualquer outro campo que a organização classifique como sensível) — pensado para reduzir o risco de exposição indevida sem exigir que cada workflow implemente sua própria lógica de proteção.

por que isso importa para LGPD/GDPR

a LGPD e o GDPR exigem que dados pessoais sejam tratados com minimização de exposição — ou seja, só mostrar o dado pessoal a quem realmente precisa dele, na forma que realmente precisa. configurar regras de mascaramento uma única vez, no nível da coluna, é muito mais seguro (e mais fácil de demonstrar em uma auditoria) do que confiar que cada pessoa que constrói um workflow vai lembrar de tratar aquele campo manualmente.

onde a configuração se aplica hoje

as regras de PII configuradas na plataforma se aplicam à exploração de dados feita pelos agentes de IA: quando um agente consulta uma tabela do lakehouse para responder uma pergunta em linguagem natural, ele aplica as regras de mascaramento configuradas para aquela coluna antes de expor qualquer valor — seja para o próprio usuário, seja para o modelo de linguagem usado na síntese da resposta.

escopo atual

a configuração de PII protege especificamente o fluxo de exploração e resposta dos agentes de IA. a visualização direta de registros no catálogo e no SQL editor não passa hoje pelas mesmas regras de mascaramento — o controle de quem pode ver esses dados brutos continua sendo feito via RBAC no nível do workspace.

configurando uma regra de PII

a configuração é restrita a administradores da organização e é feita por coluna, informando:

  • o workspace, o lakehouse e a tabela onde a coluna vive;
  • o tipo de PII: CPF, e-mail, telefone, endereço, nome ou personalizado;
  • o modo de exploração — como o valor aparece quando um agente examina a coluna:

    modo comportamento
    none coluna tratada normalmente, sem mascaramento
    masked valores mascarados preservando o formato (ex.: joão silvaj*** s***)
    aggregate apenas estatísticas agregadas são expostas (contagem de distintos, % de nulos, valores mais frequentes) — nenhum valor individual é revelado
    excluded a coluna é completamente ocultada da exploração
  • o modo de resultado — como a resposta final é gerada quando a pergunta envolve essa coluna:

    modo comportamento
    pass_through a resposta pode ser gerada normalmente, inclusive usando um modelo de linguagem externo
    template a resposta final é montada por um modelo de texto fixo, sem enviar nenhum dado a um modelo de linguagem externo
    local_llm força o uso de processamento local para gerar a resposta, evitando que o dado saia do perímetro da organização

quando uma pergunta toca mais de uma coluna com regras diferentes, a plataforma sempre aplica a regra mais restritiva entre as colunas envolvidas — ou seja, o mascaramento nunca é "amolecido" por uma coluna menos sensível presente na mesma consulta.

exemplo de mascaramento por tipo

tipo exemplo original exemplo mascarado
CPF 123.456.789-00 ***.***.***-**
e-mail joao@empresa.com ***@***.com
telefone (11) 98888-7777 (XX) *****-****
nome João Silva J*** S***

quem pode configurar

somente usuários com papel de admin na organização podem criar, editar ou remover regras de PII — refletindo que essa é uma decisão de governança de dados, não uma configuração de workflow individual. veja RBAC para entender os papéis disponíveis.