Data pseudonymization : tools overview, performance evaluation and real world scenario analysis

The aim of this thesis is to describe one of the most important Data Protection measures: Data Pseudonymization. In this text, we first provide an introduction, starting with the formal definition given by laws and entities involved in these topics. Then we show some key benefits and the reasons which may lead to implement a solution of data pseudonymization techniques. Consequently, we give details of the main pseudonymization techniques, with their pros and cons, together with an analysis of the performance of each algorithm category. In the second part, we present a real world scenario. A project, conducted by Deloitte, in which I am taking part, for an automotive company that after a compliance assessment had discovered not to be compliant with the China Cybersecurity Law. In particular, we describe in details the project background, with the AS-IS infrastructure, the regulatory framework, the possible TO-BE architecture, the open points and the next steps to reach full compliance.

Lo scopo di questa tesi è di descrivere una delle principali misure di Data Protection: la Data Pseudonymization. In questo testo, forniamo inizialmente un'introduzione, a partire dalla definizione formale data dalle leggi e dagli enti coinvolti in questa tematica. Quindi descriviamo i vantaggi chiave e le ragioni che possono portare a implementare una soluzione di pseudonimizzazione dei dati. Nella seconda parte di questo documento, dettagliamo le principali tecniche di pseudonimizzazione, con i loro pro e contro, comprendendo anche ad un'analisi sulle prestazioni di ogni categoria di algoritmi. Nell'ultima parte presentiamo uno scenario del mondo reale. Un progetto gestito da Deloitte, a cui ho preso parte, per un'azienda automobilistica italiana che dopo un assessment di conformità, ha scoperto di non essere conforme alla China Cybersecurity Law. In particolare, descriviamo nel dettaglio il background del progetto, con l'infrastruttura AS-IS, il quadro normativo, le possibili architetture TO-BE, ed i punti rimasti aperti e i prossimi passi per raggiungere la piena conformità.