A comprehensive and policy-based approach to compliance management within inter-organizational service integration platforms

Abstract

Organizations increasingly need to collaborate with each other in order to achieve their business goals. To this end, software systems of different organizations have to be integrated to enable the execution of distributed operations in a coordinated way. Service orientation is the preferred approach to carry out this integration, leading to large-scale, service-oriented systems which interconnect software systems of different, autonomous and geographically distributed organizations sharing common goals. Such integrated service-oriented environments may be supported by integration platforms, which are specialized middleware-based infrastructures providing connectivity and mediation capabilities in order to facilitate the integration of heterogeneous systems, in particular, in inter-organizational contexts. This way, systems in different organizations communicate with each other by invoking services through the platform via message exchanges, which may be processed by integration solutions (e.g. including transformations) in order to solve heterogeneity issues. In turn, compliance management is gaining increasing interest in these collaborative environments be- cause of the large number of regulations that have emerged during the last decades, which may affect not only each organization but also the entire inter-organizational system. Compliance management aims to ensure that organizations act in accordance with multiple established regulations (e.g. laws, techni- cal standards), which introduce compliance requirements that may affect inter-organizational message exchanges and may concern different areas such as quality of service, data quality and data protection. Controlling compliance requirements (i.e. assessing their fulfillment and acting accordingly) is a major issue in these scenarios because any compliance violation may lead to the malfunction of the whole inter-organizational system as well as to organizations facing litigation risks, criminal and financial penalties, and losses of reputation. Organizations are therefore required to develop compliance solutions within their systems in order to carry out this control. In addition, integration platforms constitute a convenient infrastructure for automating the control of compliance requirements affecting message exchanges between organizations (e.g. an integration solu- tion may remove sensitive data from messages in order to comply with data protection laws). However, as integration platforms provide general purpose mediation mechanisms, compliance control solutions are usually developed from scratch and in a per case basis, which hinders their implementation agility, maintainability and reuse as well as the chance of dealing with compliance issues affecting the inte- grated systems in a holistic way. This thesis proposes a comprehensive and policy-based approach to compliance management within inter-organizational service integration platforms. The approach extends and complements existing work in the field by: i) managing compliance in a comprehensive way (i.e. along the whole life cycle and across different compliance areas), ii) providing solutions for scenarios in which organizations collaborate through an integration platform via service-based interactions, iii) focusing on requirements affecting inter-organizational interactions, and iv) controlling requirements by leveraging integration platforms capabilities and policy-based mechanisms. The main elements of the proposal are a compliance management life cycle, a conceptual framework, and a compliance management system. The life cycle comprises four main phases: setup, engineering, control and analysis. The conceptual framework enables the homogeneous management of the differ- ent elements of the approach, along the whole life cycle and across different compliance areas. The compliance management system leverages the conceptual framework and extends integration platforms capabilities in order to support all the phases of the compliance management life cycle. The proposal focuses on the runtime compliance control solution of this system, which consists of a compliance pol- icy language, a system-level compliance control (SCC) subsystem, a business-level compliance control (BCC) subsystem and a formal model of the SCC subsystem. The proposed approach is assessed through: i) the development of a case study within a real world e-government scenario, ii) its support to address common compliance requirements and functionalities identified in existing work, iii) the development and operation of prototypes, and iv) the formal model of the SCC subsystem. This assessment enables us to confirm the comprehensiveness of the approach, the technical feasibility of the proposed solutions and the correct operation of the SCC subsystem in different usage scenarios based on its formalization.

Las organizaciones necesitan cada vez más colaborar entre sí para alcanzar sus objetivos de negocio. Con este fin, los sistemas de software de diferentes organizaciones deben integrarse de forma de permitir la ejecución de operaciones distribuidas de manera coordinada. La orientación a servicios es el enfoque preferido para llevar a cabo esta integración, lo que ha dado lugar a sistemas orientados a servicios de gran escala que interconectan los sistemas de software de diferentes organizaciones autónomas, distribuidas geográficamente y con objetivos comunes. Estos entornos integrados y orientados a servicios pueden utilizar plataformas de integración, que son infraestructuras especializadas basadas en middleware con capacidades de conectividad y mediación que facilitan la integración de sistemas heterogéneos, en particular, en contextos inter-organizacionales. De esta manera, los sistemas en diferentes organizaciones se comunican entre sí invocando servicios a través de la plataforma mediante intercambios de mensajes, que pueden ser procesados por soluciones de integración (p. ej. que transforman mensajes) para resolver problemas de heterogeneidad. A su vez, la gestión de la conformidad está ganando cada vez más interés en estos entornos colaborativos debido a la gran cantidad de regulaciones que han surgido durante las últimas décadas, que pueden afectar no solo a cada organización sino también a todo el sistema inter-organizacional. La gestión de la conformidad apunta a garantizar que las organizaciones actúen de acuerdo con múltiples regulaciones establecidas (p. ej. leyes, estándares técnicos), las cuales introducen requerimientos de conformidad que pueden afectar los intercambios de mensajes entre organizaciones así como abarcar diferentes áreas como calidad de servicio, calidad de datos y protección de datos. El control de requerimientos de conformidad (i.e. evaluar su cumplimiento y actuar en consecuencia) es un problema importante en estos escenarios, ya que cualquier incumplimiento puede provocar el mal funcionamiento de todo el sistema inter-organizacional así como que las organizaciones enfrenten riesgos de litigios, sanciones penales y financieras, y pérdidas de reputación. Por lo tanto, las organizaciones deben desarrollar soluciones en sus sistemas para poder llevar a cabo este control. Las plataformas de integración constituyen una infraestructura conveniente para automatizar el control de los requerimientos de conformidad que afectan los intercambios de mensajes entre organizaciones (p. ej. una solución de integración puede quitar datos sensibles de los mensajes para cumplir con leyes de protección de datos). Sin embargo, dado que las plataformas de integración proporcionan mecanismos de mediación de propósito general, las soluciones para el control de la conformidad generalmente se desarrollan desde cero y por caso, lo que dificulta su agilidad de implementación, mantenimiento y reutilización, así como la posibilidad de tratar de forma integral los problemas de conformidad que afectan a los sistemas integrados. Esta tesis propone un enfoque integral y basado en políticas para la gestión de la conformidad en plataformas de integración de servicios inter-organizacionales. El enfoque extiende y complementa trabajo existente para: i) gestionar la conformidad de manera integral (i.e. a lo largo de todo el ciclo de vida y en las diferentes áreas de conformidad), ii) proporcionar soluciones para escenarios en los que las organizaciones colaboran a través de una plataforma de integración mediante interacciones basadas en servicios, iii) centrarse en requerimientos que afectan las interacciones entre organizaciones, y iv) controlar los requerimientos aprovechando las capacidades de las plataformas de integración y mecanismos basados en políticas. Los elementos principales de la propuesta son un ciclo de vida para la gestión de la conformidad, un marco conceptual y un sistema para la gestión de la conformidad. El ciclo de vida comprende cuatro fases principales: configuración, ingeniería, control y análisis. El marco conceptual permite la gestión homogénea de los diferentes elementos del enfoque, a lo largo de todo el ciclo de vida y en diferentes áreas de conformidad. El sistema para la gestión de la conformidad aprovecha el marco conceptual y extiende las capacidades de las plataformas de integración para dar soporte a todas las fases del ciclo de vida. La propuesta se centra en la solución para el control de la conformidad en tiempo de ejecución incluida en este sistema, que consiste en un lenguaje de políticas de conformidad, un sub-sistema de control de la conformidad a nivel de sistema (SCC), un sub-sistema de control de la conformidad a nivel de negocio y un modelo formal del sub-sistema SCC. El enfoque propuesto se evalúa a través de: i) el desarrollo de un estudio de caso en un escenario de gobierno electrónico del mundo real, ii) su soporte para abordar requerimientos de conformidad y funcionalidades comunes identificadas en trabajo existente, iii) el desarrollo y operación de prototipos, y iv) el modelo formal del sub-sistema SCC. Esta evaluación nos permite confirmar el carácter integral del enfoque, la viabilidad técnica de las soluciones propuestas y el correcto funcionamiento del subsistema SCC en diferentes escenarios de uso en función de su formalización.