On-premise processing - definicja
On-premise processing (częściej spotykana forma: on-premises processing; po polsku: przetwarzanie lokalne) to wykonywanie operacji na danych w infrastrukturze należącej do organizacji i przez nią kontrolowanej, bez ich trwałego przekazywania do publicznej chmury. W kontekście anonimizacji zdjęć i nagrań wideo oznacza to uruchamianie detekcji, klasyfikacji i maskowania wizerunku oraz tablic rejestracyjnych na serwerach lokalnych, często w sieciach odseparowanych od Internetu.
Podejście lokalne sprzyja realizacji zasady minimalizacji i integralności oraz poufności przetwarzania z art. 5 ust. 1 lit. c i f RODO oraz środków technicznych z art. 32 RODO. Redukuje powierzchnię transferów, upraszcza kontrolę dostępu i ułatwia spełnienie wymogów rezydencji danych.
Rola on-premise w anonimizacji obrazów i wideo
Anonimizacja materiałów wizualnych wymaga wykrycia obiektów wrażliwych i ich nieodwracalnego zniekształcenia. W praktyce stosuje się głębokie sieci neuronowe, które są trenowane na oznaczonych zbiorach danych, a następnie wykorzystywane do inferencji w procesie maskowania. Trening modeli zwykle odbywa się poza środowiskiem klienta, natomiast inferencja i cały łańcuch przetwarzania mogą być prowadzone on-premise, tak aby dane źródłowe nie opuszczały kontrolowanej infrastruktury.
W rozwiązaniach klasy Gallio PRO automatyczne zamazywanie dotyczy twarzy i tablic rejestracyjnych. System nie zamazuje całych sylwetek, nie prowadzi anonimizacji w czasie rzeczywistym ani anonimizacji strumieni wideo. Inne elementy obrazu, takie jak logotypy, tatuaże, identyfikatory czy treści ekranów, mogą być zamazywane manualnie w edytorze. Oprogramowanie nie gromadzi logów zawierających obrazy lub inne dane osobowe; w szczególności nie powinno utrwalać w logach operacyjnych metadanych pozwalających na identyfikację osób.
Technologie i architektura on-premise
Implementacja on-premise dla anonimizacji koncentruje się na spójnej architekturze obliczeń, przechowywania i bezpieczeństwa. Poniżej wskazano najczęstsze komponenty i praktyki wdrożeniowe.
- Warstwa obliczeniowa - serwery z GPU do inferencji modeli głębokiego uczenia; alternatywnie CPU z akceleracją SIMD. Konteneryzacja (np. Docker) i orkiestracja w środowiskach izolowanych.
- Warstwa danych - lokalne magazyny plików lub obiektowe z szyfrowaniem spoczynkowym (np. AES-256; dobór długości klucza i okresów jego użycia zgodnie z NIST SP 800-57) oraz kontrolą retencji i wersjonowaniem.
- Bezpieczeństwo transportu - TLS 1.2 lub 1.3 zgodnie z RFC 5246 i RFC 8446 dla ruchu wewnętrznego, z ograniczeniami dostępu sieciowego przez listy ACL i segmentację.
- Identyfikacja i dostęp - integracja z AD/LDAP, zasada najmniejszych uprawnień, separacja ról operatorów i administratorów.
- Cykl ML - odbiór podpisanych modeli do inferencji; walidacja integralności; kontrolowane aktualizacje offline; testy regresji jakości detekcji przed wdrożeniem.
- Ślad operacyjny - audyt działań administracyjnych bez gromadzenia zawartości obrazów ani metadanych identyfikujących osoby.
Kluczowe parametry i metryki (on-premise anonimizacja)
Ocena rozwiązania on-premise powinna uwzględniać zarówno jakość detekcji, jak i własności operacyjne. Poniższa tabela porządkuje kluczowe miary i sposób ich weryfikacji.
Parametr | Co mierzy | Metoda/Jednostka | Uwagi
|
|---|---|---|---|
Recall detekcji twarzy | Odsetek prawidłowo wykrytych twarzy | Zbiór testowy reprezentatywny domenowo; metryki na poziomie klatek | Weryfikacja na danych podobnych do produkcyjnych |
Precision detekcji twarzy | Odsetek prawidłowych wykryć wśród wszystkich wykryć | Konfuzja TP/FP; F1 jako miara łączna | Redukuje nadmierne zamazywanie |
Recall/Precision tablic | Skuteczność wykrywania tablic rejestracyjnych | Testy na nagraniach drogowych | Ważne przy dynamicznych scenach |
Latency per frame | Czas przetwarzania klatki | ms; średnia, p95 | Istotne dla kolejek wsadowych |
Throughput | Wydajność przetwarzania | fps lub pliki/godz. | Planowanie mocy obliczeniowej |
Pokrycie maski | Procent powierzchni obiektu objętej maską | % powierzchni wykrytego obiektu | Minimalizuje ryzyko odsłonięcia |
Nieodwracalność | Odporność na odwrócenie maski | Testy ataków rekonstrukcyjnych | Powiązane z siłą filtra |
Użycie zasobów | Zużycie GPU/CPU/RAM/IO | Profilowanie systemowe | Planowanie pojemności |
Zgodność kryptograficzna | Siła szyfrowania w spoczynku i w transporcie | AES-256, TLS 1.2/1.3 | Zgodnie z NIST i IETF |
RTO/RPO | Odporność operacyjna | Minuty/godziny, polityki DR | Procedury przywracania |
Wyzwania i ograniczenia
Model on-premise zwiększa kontrolę, ale przenosi na organizację pełną odpowiedzialność za utrzymanie i aktualizację. Poniżej główne ryzyka, które należy adresować procedurami i architekturą.
- Koszt kapitałowy i energetyczny infrastruktury oraz GPU.
- Zarządzanie aktualizacjami bezpieczeństwa i obrazów kontenerów w sieciach izolowanych.
- Skalowalność wsadowa przy dużych archiwach wideo i zróżnicowanych kodekach.
- Dryf modeli i konieczność okresowej walidacji jakości detekcji.
- Kontrola logów i telemetryki tak, aby nie utrwalać danych osobowych.
- Łańcuch dostaw modeli i bibliotek - weryfikacja podpisów i SBOM.
Przykłady zastosowań
On-premise jest preferowane tam, gdzie wymagana jest pełna kontrola przetwarzania i brak transferu do chmury. Typowe przypadki obejmują jednostki publiczne, służby porządkowe oraz firmy przemysłowe.
- Udostępnianie nagrań z monitoringu osobom trzecim po zamaskowaniu twarzy i tablic.
- Publikacja materiałów szkoleniowych z zakładów pracy z usuniętym wizerunkiem osób.
- Wewnętrzne analizy zdarzeń BHP z zachowaniem prywatności pracowników.
- Materiały dowodowe z koniecznością zachowania łańcucha posiadania i integralności.
Odniesienia normatywne i źródła
Poniższe dokumenty stanowią podstawę definicyjną i techniczną dla przetwarzania on-premise w kontekście ochrony danych oraz zabezpieczeń stosowanych podczas anonimizacji materiałów wizualnych.
Dokument | Zakres | Wydawca/Rok
|
|---|---|---|
RODO - Rozporządzenie (UE) 2016/679, art. 4, art. 32, motyw 26 | Definicje danych osobowych, bezpieczeństwo przetwarzania, pojęcie anonimizacji | Parlament Europejski i Rada, 2016 |
EDPB Guidelines 3/2019 on processing of personal data through video devices (wersja finalna) | Wytyczne dla systemów wideo, w tym środki minimalizacji i maskowania | EDPB, 2020 |
WP29 Opinion 05/2014 on Anonymisation Techniques | Ryzyka, techniki i testy skuteczności anonimizacji | Grupa Art. 29, 2014 |
ISO/IEC 27001:2022 | Systemy zarządzania bezpieczeństwem informacji | ISO/IEC, 2022 |
ISO/IEC 27002:2022 | Praktyki kontroli bezpieczeństwa informacji | ISO/IEC, 2022 |
ISO/IEC 27701:2019 | Rozszerzenie PIMS do 27001 dla ochrony danych osobowych | ISO/IEC, 2019 |
NIST SP 800-53 Rev. 5 | Zestaw kontroli bezpieczeństwa systemów informatycznych | NIST, 2020 |
NIST SP 800-57 Part 1 Rev. 5 | Zarządzanie kluczami kryptograficznymi, siły algorytmów | NIST, 2020 |
IETF RFC 8446 - TLS 1.3 | Bezpieczna komunikacja w transporcie | IETF, 2018 |
IEC 62676-4:2014 | Wytyczne stosowania systemów dozorowych CCTV | IEC, 2014 |
Uwagi prawne: w wielu jurysdykcjach wizerunek i tablice rejestracyjne mogą stanowić dane osobowe w rozumieniu RODO. Szczegółowe obowiązki i wyjątki zależą od prawa krajowego i kontekstu publikacji.