Osobně Identifikovatelné Informace (PII)

Co Je Osobně Identifikovatelné Informace (PII)

Osobně Identifikovatelné Informace (PII) je právní termín týkající se informační bezpečnosti prostředí. Zatímco PII má několik formálních definic, obecně řečeno, jsou to informace, které mohou organizace používat samostatně nebo s jinými informacemi k identifikaci, kontaktu nebo nalezení jediné osoby nebo k identifikaci jednotlivce v kontextu.,

non-sensitive PII lze přenášet v nezabezpečené formě, aniž by došlo k poškození jednotlivce. Citlivé PII musí být přenášeny a uloženy v zabezpečené podobě, například pomocí šifrování, protože by to mohlo poškodit jednotlivce, pokud bude zveřejněno.

Organizace používají pojem PII pochopit, která data budou ukládat, zpracovávat a spravovat, které identifikuje lidí a může nést další odpovědnost, bezpečnostní požadavky, a v některých případech právní nebo dodržování požadavků.,

Osobně Identifikovatelné Informace (PII) v Zákonem o ochraně Osobních údajů

PII a podobné podmínky existují v právních předpisech mnoha zemí a území:

  • Ve Spojených Státech, Národní Institut pro Standardy a Technologie (NIST)’s Guide k Ochraně Důvěrnosti Osobně Identifikovatelné Informace, které definuje „osobní“, jako informace, jako je jméno, číslo sociálního zabezpečení, a biometrických záznamů, které mohou být použity k odlišení nebo stopových individuální identity.,
  • V Evropské Unii, směrnice 95/46/ES definuje „osobní údaje“ jako informace, které mohou identifikovat osoby přes ID číslo, nebo faktorů specifických pro fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.
  • V Austrálii, Privacy Act 1988 definuje „osobní informace“ jako informace nebo stanovisko, zda je to pravda nebo ne, o jedince, jejichž identita je zřejmé, nebo lze důvodně zjistí—mnohem širší definici, než ve většině jiných zemí.,
  • na Novém Zélandu, Zákonem o ochraně Osobních údajů definuje „osobní informace“ jako jakýkoliv kus informací, které se vztahují k bydlení, identifikovatelné lidské bytosti, včetně jmen, kontaktních údajů, finanční zdraví, a nákupu záznamy.
  • v Kanadě zákon o ochraně osobních údajů a elektronických dokumentech (PIPEDA) a zákon o ochraně osobních údajů definuje „osobní údaje“ jako údaje, které samostatně nebo v kombinaci s jinými údaji mohou identifikovat jednotlivce.

co se kvalifikuje jako PII?,

Podle NIST PII Průvodce, následující položky rozhodně kvalifikovat jako PII, protože mohou jednoznačně identifikovat člověka: celé jméno (pokud ne časté), čelit, domov, adresa, e-mail, IDENTIFIKAČNÍ číslo, číslo pasu, vozidla, spz, řidičský průkaz, otisky prstů nebo rukopis, číslo kreditní karty, digitální identitu, datum narození, místo narození, genetické informace, telefonní číslo, přihlašovací jméno nebo název obrazovky.

Co se považuje za PII?,

Kromě těchto jasných identifikátorů existují “ kvazi identifikátory „nebo“ pseudo identifikátory“, které lze společně s dalšími informacemi použít k identifikaci osoby. Například podle americké vládní studie lze 87% americké populace jednoznačně identifikovat kombinací pohlaví, PSČ a data narození. Pseudo identifikátory nemusí být považovány za PII podle právních předpisů Spojených států, ale pravděpodobně budou považovány za PII v Evropě.

kdo je zodpovědný za ochranu PII?,

z právního hlediska není odpovědnost za ochranu PII připisována pouze organizacím;odpovědnost může být sdílena s jednotlivými vlastníky dat. Společnosti mohou nebo nemusí být právně odpovědné za PII, které mají.

Nicméně, podle studie Experian, 42% spotřebitelů věří, že to je odpovědnost společnosti, na ochranu jejich osobních údajů, a 64% spotřebitelů uvedlo, že by se odradit od používání služeb společnosti následující data porušení., Ve světle veřejného vnímání, že organizace jsou odpovědné za PII, je široce uznávanou osvědčenou praxí zajistit PII. Běžným a efektivním způsobem, jak toho dosáhnout, je použití rámce ochrany osobních údajů.

podívejte se, jak vám může maskování dat Imperva pomoci s bezpečností PII.

Vytvořit Rámec ochrany Osobních Údajů

ochrana Osobních Údajů Rámec je zdokumentováno konceptuální struktura, která může podnikům pomoci chránit citlivé údaje, jako jsou platby, osobní údaje a duševní vlastnictví., Rámec specifikuje, jak definovat citlivá data, jak analyzovat rizika ovlivňující data a jak implementovat ovládací prvky pro jejich zabezpečení.

Zatímco tam jsou stanoveny zásady ochrany osobních údajů rámců, například Payment Card Industry Data Security Standard (PCI DSS), ISO 27000 rodina norem a EU Obecné Nařízení o Ochraně Údajů (obecného nařízení o ochraně údajů), tam jsou výhody pro vytvoření vlastní rámec pro vaši organizaci.,

vlastní rámec ochrany dat vám pomůže klást důraz na nejcitlivější a nejcennější data ve vaší organizaci a navrhovat kontroly, které jsou vhodné pro vaši organizační strukturu, kulturu, regulační požadavky a rozpočet na bezpečnost.

pro vytvoření vlastního rámce ochrany osobních údajů postupujte podle níže uvedených kroků.

klasifikace

Definujte, posuzujte a klasifikujte PII, které vaše organizace přijímá, ukládá, spravuje nebo převádí., Pro každý typ PII, identifikovat:

  • požadované úrovně důvěrnosti
  • Jak citlivé údaje, je integrita—co se stane, pokud je to ztracené nebo poškozené
  • Jak důležité je mít data k dispozici po celou dobu
  • na Jaké úrovni souhlas organizace, přijaté ve vztahu k datům

Hodnocení

Provádění Posouzení Dopadů na Soukromí (PIA) určit, pro každý typ nebo klasifikaci nebo PII, jak se shromažďují, kde je uložena, a jak je zlikvidovat, stejně jako potenciální bezpečnostní rizika pro každý typ PII.,perates v

  • Identifikovat dobrovolné normy je třeba dodržovat, jako je PCI DSS
  • Určit vaše organizace, zabezpečení a pojištění odpovědnosti s ohledem na produkty a služby třetích stran—například, skladování cloud služby
  • PII Bezpečnostní Kontroly

    ochrana Osobních Údajů Rámec by měl definovat, které prvky zabezpečení organizace potřebuje mít na místě, aby se zabránilo ztrátě dat nebo úniku dat:

    • Řízení Změn—sledování a auditování změn konfigurace na TO systémy, které by mohly mít bezpečnostní důsledky, jako je například přidání/odebrání uživatelských účtů.,
    • Prevence Ztráty Dat—provádění systémů, které můžete sledovat citlivá data přenášená v rámci organizace nebo mimo ni, a identifikovat nepřirozené vzory, které by naznačovalo porušení.
    • maskování dat-zajištění toho, aby data byla uložena nebo přenášena s minimálními požadovanými údaji pro konkrétní transakci, s dalšími detaily maskovanými nebo vynechanými.
    • Etické stěn—provádění screeningové mechanismy, aby se zabránilo určité útvary nebo jednotlivci v rámci organizace z pohledu PII, které není relevantní k jejich práci, nebo které by mohly vyvolat střet zájmů.,
    • privilegované sledování uživatelů-sledování veškerého privilegovaného přístupu k souborům a databázím, vytváření uživatelů a nově udělená oprávnění, blokování a varování při detekci podezřelé aktivity.
    • audit přístupu k citlivým datům-souběžně s monitorováním činností privilegovaných uživatelů, sledováním a auditem veškerého přístupu k citlivým datům, blokováním a upozorněním na podezřelou nebo anomální aktivitu.,
    • Zajistit auditní stopu archivace—zajištění, že veškeré činnosti prováděné na nebo v souvislosti s PII je auditované a uchovávány po dobu 1-7 let, pro právní účely, nebo v souladu, a také k tomu, aby forenzní šetření bezpečnostních incidentů.
    • Správa uživatelských práv-identifikace nadměrných, nevhodných nebo nevyužitých uživatelských oprávnění a přijetí nápravných opatření, jako je odstranění uživatelských účtů, které nebyly použity několik měsíců.,
    • sledování Uživatelů—provádění způsoby sledování aktivity uživatele on-line a při použití organizační systémy, identifikovat nedbalosti, vystavení citlivých údajů, a ohrozit uživatelských účtů nebo škodlivým zasvěcenci.

    Napsat komentář

    Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *