informations personnelles identifiables (PII)

Qu’est-ce que les informations personnelles identifiables (PII)

Les informations personnelles identifiables (PII) sont un terme juridique relatif aux environnements de sécurité de l’information. Bien que L’IPI ait plusieurs définitions formelles, en général, il s’agit d’informations qui peuvent être utilisées par les organisations seules ou avec d’autres informations pour identifier, contacter ou localiser une seule personne, ou pour identifier une personne dans son contexte.,

les PII non sensibles peuvent être transmises sous une forme non sécurisée sans causer de préjudice à une personne. Les PII sensibles doivent être transmises et stockées sous forme sécurisée, par exemple en utilisant le cryptage, car elles pourraient causer un préjudice à une personne, si elles étaient divulguées.

les organisations utilisent le concept de PII pour comprendre les données qu’elles stockent, traitent et gèrent qui identifient les personnes et peuvent avoir des responsabilités supplémentaires, des exigences de sécurité et, dans certains cas, des exigences légales ou de conformité.,

les informations personnelles identifiables (PII) en droit de la vie privée

les PII et des termes similaires existent dans la législation de nombreux pays et territoires:

  • aux États-Unis, le Guide du National Institute of Standards and Technology (NIST) sur la protection de la confidentialité des informations personnelles identifiables définit « personnellement identifiable” comme des informations telles que le nom, le numéro de sécurité sociale et les enregistrements biométriques, qui peuvent être utilisés pour distinguer ou tracer l’identité d’une personne.,
  • dans l’Union Européenne, la directive 95/46/CE définit les « données personnelles” comme des informations permettant d’identifier une personne via un numéro D’identification, ou des facteurs spécifiques à l’identité physique, physiologique, mentale, économique, culturelle ou sociale.
  • En Australie, la Loi de 1988 sur la protection de la vie privée définit les « informations personnelles” comme des informations ou une opinion, vraie ou non, sur une personne dont l’identité est apparente ou peut raisonnablement être établie—une définition beaucoup plus large que dans la plupart des autres pays.,
  • En Nouvelle-Zélande, la Loi sur la protection des renseignements personnels définit les « renseignements personnels” comme toute information qui se rapporte à un être humain vivant et identifiable, y compris les noms, les coordonnées, La santé financière et les dossiers d’achat.
  • au Canada, la Loi sur la Protection des renseignements personnels et les Documents électroniques (LPRPDE) et la Loi sur la protection des renseignements personnels définissent les « renseignements personnels” comme des données qui, seules ou combinées à d’autres données, peuvent identifier une personne.

Qu’est-ce qui est qualifié de PII?,

selon le Guide des PII du NIST, les éléments suivants sont définitivement qualifiés de PII, car ils peuvent identifier sans équivoque un être humain: nom complet (s’il n’est pas commun), visage, adresse personnelle, e-mail, numéro D’identification, numéro de passeport, numéro de plaque du véhicule, permis de conduire, empreintes digitales ou écriture manuscrite, numéro de carte

Ce qui Est Considéré comme PII?,

Au-delà de ces identifiants clairs, il existe des « quasi-identifiants” ou des « pseudo-identifiants” qui, avec d’autres informations, peuvent être utilisés pour identifier une personne. Par exemple, selon une étude gouvernementale américaine, 87% de la population américaine peut être identifiée de manière unique par une combinaison de sexe, de code postal et de date de naissance. Les Pseudo-identifiants peuvent ne pas être considérés comme des PII en vertu de la législation des États-Unis, mais sont susceptibles d’être considérés comme des PII en Europe.

qui est responsable de la protection des IIP?,

d’un point de vue juridique, la responsabilité de la protection des PII n’est pas uniquement attribuée aux organisations; la responsabilité peut être partagée avec les propriétaires individuels des données. Les entreprises peuvent ou non être légalement responsables des PII qu’elles détiennent.

cependant, selon une étude D’Experian, 42% des consommateurs estiment qu’il est de la responsabilité d’une entreprise de protéger leurs données personnelles, et 64% des consommateurs ont déclaré qu’ils seraient découragés d’utiliser les services d’une entreprise à la suite d’une violation de données., Compte tenu de la perception du public que les organisations sont responsables des IPI, il est une pratique exemplaire largement acceptée d’obtenir des IPI. Un moyen commun et efficace de le faire est d’utiliser un cadre de confidentialité des données.

Découvrez comment le masquage de données Imperva peut vous aider avec la sécurité des PII.

création d’un cadre de confidentialité des données

un cadre de confidentialité des données est une structure conceptuelle documentée qui peut aider les entreprises à protéger les données sensibles telles que les paiements, les informations personnelles et la propriété intellectuelle., Le cadre spécifie comment définir les données sensibles, comment analyser les risques affectant les données et comment mettre en œuvre des contrôles pour les sécuriser.

bien qu’il existe des cadres de confidentialité des données établis tels que la norme PCI DSS (Payment Card Industry Data Security Standard), la famille de normes ISO 27000 et le règlement général de L’UE sur la Protection des données (RGPD), la création d’un cadre personnalisé pour votre organisation présente des avantages.,

un cadre de Protection des données personnalisé vous aidera à mettre l’accent sur les données les plus sensibles et les plus précieuses au sein de votre organisation, et à concevoir des contrôles adaptés à votre structure organisationnelle, à votre culture, à vos exigences réglementaires et à votre budget de sécurité.

suivez les étapes ci-dessous pour créer un cadre de confidentialité des données personnalisé.

Classification

définissez, évaluez et classifiez les IPI que votre organisation reçoit, stocke, gère ou transfère., Pour chaque type d’IIP, indiquez:

  • Le niveau de confidentialité requis
  • La sensibilité des données à l’intégrité—que se passe-t-il si elles sont perdues ou corrompues
  • L’importance d’avoir les données disponibles en tout temps
  • quel niveau de consentement l’organisation a-t-elle reçu à l’égard des données

évaluation

mener une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour déterminer, pour chaque type ou classification IIP, comment elles sont collectées, où elles sont stockées et comment elles sont éliminées, ainsi que les risques potentiels pour la sécurité de chaque type de IIP.,

  • identifier les normes volontaires auxquelles vous devez vous conformer, telles que PCI DSS
  • déterminer la Politique de sécurité et de responsabilité de votre organisation en ce qui concerne les produits et services tiers—par exemple, les services de stockage en nuage
  • contrôles de sécurité PII

    le cadre de confidentialité des données doit définir les contrôles de sécurité avoir des implications en matière de sécurité, telles que l’ajout/la suppression de comptes d’utilisateurs.,

  • prévention de la perte de données-mise en œuvre de systèmes capables de suivre les données sensibles transférées au sein de l’organisation ou en dehors de celle-ci, et d’identifier les modèles non naturels pouvant suggérer une violation.
  • masquage des données-s’assurer que les données sont stockées ou transmises avec le minimum de détails requis pour la transaction spécifique, avec d’autres détails masqués ou omis.
  • murs éthiques—mise en place de mécanismes de filtrage pour empêcher certains ministères ou personnes au sein d’une organisation de voir des IPI qui ne sont pas pertinentes pour leur travail, ou qui pourraient créer un conflit d’intérêts.,
  • surveillance des utilisateurs privilégiés-surveillance de tous les accès privilégiés aux fichiers et aux bases de données, Création d’utilisateurs et privilèges nouvellement accordés, blocage et alerte lorsque des activités suspectes sont détectées.
  • audit de L’accès aux données sensibles-parallèlement aux activités de surveillance par les utilisateurs privilégiés, surveillance et audit de tous les accès aux données sensibles, blocage et alerte en cas d’activité suspecte ou anormale.,
  • archivage sécurisé des pistes d’audit-s’assurer que toute activité menée sur ou en relation avec les PII est auditée et conservée pendant une période de 1 à 7 ans, à des fins légales ou de conformité, et également pour permettre une enquête médico-légale sur les incidents de sécurité.
  • Gestion des droits des utilisateurs-identifier les privilèges d’utilisateur excessifs, inappropriés ou inutilisés et prendre des mesures correctives, telles que la suppression des comptes d’utilisateurs qui n’ont pas été utilisés depuis plusieurs mois.,
  • suivi des utilisateurs-Mise en œuvre de moyens de suivi de l’activité des utilisateurs, en ligne et lors de l’utilisation de systèmes organisationnels, pour identifier l’exposition négligente de données sensibles, la compromission de comptes d’utilisateurs ou les initiés malveillants.
  • Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *