información de identificación personal (PII)

Qué es información de identificación personal (PII)

información de identificación personal (PII) es un término legal perteneciente a los entornos de seguridad de la información. Si bien PII tiene varias definiciones formales, en términos generales, es información que puede ser utilizada por las organizaciones por sí sola o con otra información para identificar, contactar o localizar a una sola persona, o para identificar a un individuo en contexto.,

la IPI no sensible puede transmitirse de forma insegura sin causar daño a un individuo. La PII sensible debe transmitirse y almacenarse de forma segura, por ejemplo, mediante cifrado, porque podría causar daño a un individuo, si se divulga.

Las organizaciones utilizan el concepto de PII para comprender qué datos almacenan, procesan y administran que identifican a las personas y pueden llevar responsabilidad adicional, requisitos de seguridad y, en algunos casos, requisitos legales o de cumplimiento.,

información de identificación personal (PII) en la Ley de privacidad

PII y términos similares existen en la legislación de muchos países y territorios:

  • en los Estados Unidos, La Guía del Instituto Nacional de estándares y Tecnología (NIST) para proteger la confidencialidad de la información de identificación personal define «personalmente identificable» como información como el nombre, el número de Seguro social y los registros biométricos, que se pueden usar para distinguir o rastrear la identidad de un individuo.,
  • en la Unión Europea, la Directiva 95/46 / CE define «datos personales» como la información que puede identificar a una persona a través de un número de identificación, o factores específicos de la identidad física, fisiológica, mental, económica, cultural o social.
  • en Australia, la Ley de Privacidad de 1988 define la «información personal» como información o una opinión, verdadera o no, sobre una persona cuya identidad es aparente o puede determinarse razonablemente, una definición mucho más amplia que en la mayoría de los demás países.,
  • en Nueva Zelanda, La Ley de privacidad define «información personal» como cualquier pieza de información que se relaciona con un ser humano vivo e identificable, incluidos nombres, detalles de contacto, salud financiera y registros de compras.
  • en Canadá, la Ley de protección de la información Personal y documentos electrónicos (PIPEDA) y la Ley de privacidad definen la «información personal» como los datos que por sí solos, o combinados con otros datos, pueden identificar a una persona.

¿qué califica como PII?,

de acuerdo con la Guía de PII del NIST, los siguientes elementos definitivamente califican como PII, porque pueden identificar inequívocamente a un ser humano: nombre completo (si no es común), rostro, dirección de Casa, correo electrónico, número de identificación, número de pasaporte, número de placa del vehículo, licencia de conducir, huellas dactilares o escritura, número de tarjeta de crédito, identidad digital, fecha de Nacimiento, Lugar de nacimiento, información genética, número de teléfono, nombre de inicio de sesión o nombre de pantalla.

Lo que Se Considera PII?,

más allá de estos identificadores claros, hay » cuasi identificadores «o» pseudo identificadores » que, junto con otra información, pueden usarse para identificar a una persona. Por ejemplo, según un estudio Gubernamental de los Estados Unidos, el 87% de la población de los Estados Unidos puede identificarse de manera única por una combinación de género, Código Postal y fecha de nacimiento. Los Pseudo identificadores pueden no ser considerados IIP bajo la legislación de los Estados Unidos, pero es probable que sean considerados como IIP en Europa.

¿quién es responsable de salvaguardar la PII?,

desde una perspectiva legal, la responsabilidad de proteger la PII no se atribuye únicamente a las organizaciones; la responsabilidad puede compartirse con los propietarios individuales de los datos. Las empresas pueden o no ser legalmente responsables de la PII que poseen.

sin embargo, según un estudio de Experian, el 42% de los consumidores cree que es responsabilidad de una empresa proteger sus datos personales, y el 64% de los consumidores dijo que se desalentaría el uso de los servicios de una empresa después de una violación de datos., A la luz de la percepción pública de que las organizaciones son responsables de la IIP, es una buena práctica ampliamente aceptada asegurar la IIP. Una forma común y efectiva de hacerlo es usar un marco de Privacidad de datos.

vea cómo el enmascaramiento de datos Imperva puede ayudarlo con la seguridad de PII.

crear un marco de Privacidad de datos

un marco de Privacidad de datos es una estructura conceptual documentada que puede ayudar a las empresas a proteger datos confidenciales como pagos, información personal y propiedad intelectual., El marco especifica cómo definir los datos confidenciales, cómo analizar los riesgos que afectan a los datos y cómo implementar controles para protegerlos.

si bien existen marcos de privacidad de datos establecidos, como el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), la familia de estándares ISO 27000 y el Reglamento General de protección de datos de la UE (GDPR), existen beneficios al crear un marco personalizado para su organización.,

un marco de protección de datos personalizado le ayudará a poner énfasis en los datos más sensibles y valiosos dentro de su organización, y diseñar controles que sean adecuados para su estructura organizativa, cultura, requisitos normativos y presupuesto de seguridad.

siga los pasos a continuación para crear un marco de Privacidad de datos personalizado.

Clasificación

defina, evalúe y clasifique la PII que su organización recibe, almacena, administra o transfiere., Para cada tipo de PII, identifique:

  • El nivel de confidencialidad requerido
  • Qué tan sensibles son los datos a la integridad—qué sucede si se pierden o corrompen
  • Qué tan importante es tener los datos disponibles en todo momento
  • Qué nivel de consentimiento ha recibido la organización en relación con los datos

evaluación

realizar una evaluación de impacto de privacidad (PIA) para determinar, para cada tipo o clasificación PII, cómo se recoge, dónde se almacena y cómo se elimina, así como los posibles riesgos de seguridad para cada tipo de PII.,en

  • Identificar los estándares voluntarios que debe cumplir, como PCI DSS
  • Determinar la política de seguridad y responsabilidad de su organización con respecto a productos y servicios de terceros, por ejemplo, servicios de almacenamiento en la nube
  • controles de seguridad PII

    El marco de Privacidad de datos debe definir qué controles de seguridad debe tener la organización para evitar la pérdida o fuga de datos:

    • tener implicaciones de seguridad, como agregar o eliminar cuentas de usuario.,
    • prevención de pérdida de datos: implementación de sistemas que pueden rastrear datos confidenciales transferidos dentro o fuera de la organización e identificar patrones antinaturales que podrían sugerir una violación.
    • enmascaramiento de Datos: garantizar que los datos se almacenen o transmitan con los detalles mínimos requeridos para la transacción específica, con otros detalles enmascarados u omitidos.
    • muros éticos-implementación de mecanismos de detección para evitar que ciertos departamentos o individuos dentro de una organización vean la PII que no es relevante para su trabajo, o que podría crear un conflicto de intereses.,
    • Privileged user monitoring-monitoreo de todo el acceso privilegiado a archivos y bases de datos, creación de usuarios y privilegios recientemente otorgados, bloqueo y alertas cuando se detecta actividad sospechosa.
    • auditoría de acceso a datos confidenciales-en paralelo a las actividades de monitoreo por parte de usuarios privilegiados, monitoreo y auditoría de todo el acceso a datos confidenciales, bloqueo y alerta sobre actividad sospechosa o anómala.,
    • archivo de seguimiento de auditoría seguro: garantizar que cualquier actividad realizada en o en relación con PII sea auditada y retenida por un período de 1 a 7 años, con fines legales o de cumplimiento, y también para permitir la investigación forense de incidentes de seguridad.
    • Administración de derechos de usuario: identificar privilegios de usuario excesivos, inapropiados o no utilizados y tomar medidas correctivas, como eliminar cuentas de usuario que no se han utilizado durante varios meses.,
    • User tracking-implementar formas de seguimiento de la actividad del usuario, en línea y durante el uso de sistemas organizacionales, para identificar la exposición negligente de datos confidenciales, el compromiso de las cuentas de usuario, o los iniciados maliciosos.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *