Personligt Identificerbare Oplysninger (PII)

Hvad Er Personligt Identificerbare Oplysninger (PII)

Personligt Identificerbare Oplysninger (PII) er et juridisk begreb, der vedrører oplysninger, sikkerhed miljøer. Mens PII har flere formelle definitioner, generelt sagt, det er information, der kan bruges af organisationer alene eller med andre oplysninger til at identificere, kontakt, eller find en enkelt person, eller til at identificere et individ i kontekst.,

ikke-følsomme PII kan overføres i usikker form uden at skade et individ. Følsomme personlige oplysninger skal overføres og opbevares i sikker form, for eksempel ved hjælp af kryptering, fordi det kan forårsage skade på en person, hvis de afsløres.

organisationer bruger begrebet PII til at forstå, hvilke data de gemmer, behandler og administrerer, der identificerer mennesker og kan bære yderligere ansvar, sikkerhedskrav og i nogle tilfælde juridiske eller overholdelseskrav.,

Personligt Identificerbare Oplysninger (PII), i Loven om Privatlivets fred

personlige OPLYSNINGER og lignende udtryk findes i lovgivningen i mange lande og territorier:

  • I Usa, National Institute of Standards and Technology (NIST)’s Guide til at Beskytte Fortroligheden af Personligt Identificerbare Oplysninger, der definerer “personligt identificerbare” som oplysninger som navn, cpr-nummer, og de biometriske registreringer, som kan bruges til at skelne eller spore en persons identitet.,
  • i EU definerer direktiv 95/46 / EF “personoplysninger” som oplysninger, der kan identificere en person via et ID-nummer eller faktorer, der er specifikke for fysisk, fysiologisk, mental, økonomisk, kulturel eller social identitet.
  • I Australien, i henhold til Privacy Act 1988 definerer “personlige oplysninger” oplysninger, eller en udtalelse, uanset om sandt eller ej, om en person, hvis identitet er synlige eller kan med rimelighed fastslås,—en meget bredere definition end i de fleste andre lande.,
  • I ne..ealand definerer Privacy Act “personlige oplysninger” som ethvert stykke information, der vedrører et levende, identificerbart menneske, herunder navne, kontaktoplysninger, økonomisk sundhed og købsoptegnelser.
  • i Canada definerer Personal Information Protection and Electronic Documents Act (PIPEDA) og Privacy Act “personlige oplysninger” som data, der alene eller kombineret med andre data kan identificere en person.

hvad kvalificerer som PII?,

Ifølge NIST PII Vejledning, skal følgende punkter absolut betragtes som personlige OPLYSNINGER, fordi de kan entydigt identificere et menneske: fulde navn (hvis det ikke almindeligt), ansigt, adresse, e-mail, ID-nummer, pas-nummer, køretøjets nummerplade, kørekort, fingeraftryk eller håndskrift, kreditkort nummer, digital identitet, fødselsdato, fødested, genetiske information, telefonnummer, login navn eller kaldenavn.

Hvad betragtes som PII?,

ud over disse klare identifikatorer er der “kvasi-identifikatorer” eller “pseudo-identifikatorer”, som sammen med andre oplysninger kan bruges til at identificere en person. For eksempel kan 87% af den amerikanske befolkning ifølge en amerikansk regeringsundersøgelse identificeres entydigt ved en kombination af køn, postnummer og fødselsdato. Pseudo-identifikatorer betragtes muligvis ikke som PII i henhold til amerikansk lovgivning, men vil sandsynligvis blive betragtet som PII i Europa.

Hvem er ansvarlig for at beskytte PII?,

fra et juridisk perspektiv er ansvaret for beskyttelse af PII ikke udelukkende tilskrevet organisationer; ansvaret kan deles med de enkelte ejere af dataene. Virksomheder er muligvis ikke juridisk ansvarlige for den PII, de har.

Men, ifølge en undersøgelse foretaget af Experian, 42% af forbrugerne mener, at det er virksomhedens ansvar at beskytte deres personlige data, og 64% af kunderne sagde, at de ville blive afskrækket fra at bruge virksomhedens ydelser efter bruddet., I lyset af den offentlige opfattelse af, at organisationer er ansvarlige for PII, er det en bredt accepteret bedste praksis at sikre PII. En fælles og effektiv måde at gøre dette på er at bruge en ramme for Databeskyttelse.

se, hvordan Imperva Data Masking kan hjælpe dig med PII sikkerhed.

Oprettelse af en Data-Privacy Framework

En Data-Privacy Framework er en dokumenteret konceptuel struktur, der kan hjælpe virksomheder med at beskytte følsomme data såsom betalinger personlige oplysninger, og intellektuel ejendomsret., Rammen specificerer, hvordan man definerer følsomme data, hvordan man analyserer risici, der påvirker dataene, og hvordan man implementerer kontroller for at sikre dem.

Mens der er etableret data privatlivets fred rammer som Payment Card Industry Data Security Standard (PCI DSS), ISO 27000-familien af standarder og EU Generel Forordning om databeskyttelse (GDPR), der er fordele at skabe en tilpasset ramme for din organisation.,

en brugerdefineret databeskyttelsesramme hjælper dig med at lægge vægt på de mest følsomme og værdifulde data i din organisation og designkontroller, der passer til din organisationsstruktur, kultur, lovkrav og sikkerhedsbudget.

Følg nedenstående trin for at oprette en brugerdefineret Data Privacy Frame .ork.

klassificering

Definer, Vurder og klassificer personlige oplysninger, som din organisation modtager, gemmer, administrerer eller overfører., For hver type af personlige OPLYSNINGER, afdække:

  • Det krævede niveau af fortrolighed
  • Hvordan følsomme data er at integritet—hvad sker der, hvis det er tabt eller ødelagt
  • Hvor vigtigt det er, at få data til rådighed på alle tidspunkter
  • Hvilken grad af samtykke, har organisationen modtaget i forbindelse med data

Assessment

Foretage en Privacy Impact Assessment (PIA) til at bestemme, for hver type-eller klassificering eller personlige OPLYSNINGER, og hvordan det er indsamlet, hvor det opbevares, og hvordan det bortskaffes, samt den potentielle sikkerhedsrisici for hver type af personlige OPLYSNINGER.,perates i

  • Identificere frivillige standarder er du nødt til at overholde, såsom PCI DSS
  • Afgøre, organisationen for sikkerhed og ansvar politik med hensyn til tredjeparts produkter og tjenester, for eksempel, cloud storage tjenester
  • PII sikkerhedskontrol

    beskyttelse Af personoplysninger Ramme bør fastlægge, hvor sikkerhedskontrollen organisationen skal have på plads for at forhindre tab af data eller data leak:

    • Change Management—tracking og revision ændringer til konfiguration på IT-systemer, der kan have sikkerhedsmæssige konsekvenser, såsom at tilføje/fjerne brugerkonti.,
    • forebyggelse af datatab-implementering systemer, der kan spore følsomme data, der overføres i organisationen eller uden for det, og identificere unaturlige mønstre, der kan tyde på et brud.
    • data masking – sikre, at data lagres eller overføres med den minimale nødvendige oplysninger for den specifikke transaktion, med andre detaljer maskeret eller udeladt.etiske vægge-implementering screening mekanismer til at forhindre visse afdelinger eller enkeltpersoner i en organisation fra at se PII, der ikke er relevant for deres arbejde, eller som kan skabe en interessekonflikt.,privilegeret brugerovervågning-overvågning af al privilegeret adgang til filer og databaser, brugeroprettelse og nyligt tildelte privilegier, blokering og advarsel, når mistænkelig aktivitet registreres.revision af følsomme dataadgang-parallelt med overvågningsaktiviteter fra privilegerede brugere, overvågning og revision af al adgang til følsomme data, blokering og advarsel om mistænkelig eller anomal aktivitet.,
    • sikker arkivering af revisionsspor-sikring af, at enhver aktivitet, der udføres på eller i forbindelse med PII, revideres og bevares i en periode på 1-7 år af juridiske eller overholdelsesmæssige formål, og også for at muliggøre retsmedicinsk undersøgelse af sikkerhedshændelser.
    • brugerrettighedsstyring-identificering af overdrevne, upassende eller ubrugte brugerrettigheder og træffe korrigerende foranstaltninger, såsom at fjerne brugerkonti, der ikke har været brugt i flere måneder.,
    • bruger tracking-implementering måder at spore brugeraktivitet, online og mens du bruger organisatoriske systemer, til at identificere uagtsom eksponering af følsomme data, kompromis af brugerkonti, eller ondsindede insidere.

    Skriv et svar

    Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *