személyazonosításra alkalmas információ (PII)

mi a személyazonosításra alkalmas információ (PII)

személyazonosításra alkalmas információ (PII) az információbiztonsági környezetekre vonatkozó jogi kifejezés. Míg a PII-nek számos formális definíciója van, általánosságban elmondható, hogy olyan információk, amelyeket a szervezetek önmagukban vagy más információkkal használhatnak egyetlen személy azonosítására, kapcsolatba lépésére vagy megkeresésére, vagy az egyén azonosítására a kontextusban.,

a nem érzékeny PII nem biztonságos formában továbbítható anélkül, hogy kárt okozna az egyénnek. Az érzékeny PII-ket biztonságos formában kell továbbítani és tárolni, például titkosítással, mert az árthat az egyénnek, ha nyilvánosságra hozzák.

a szervezetek a PII fogalmát használják annak megértéséhez, hogy mely adatokat tárolják, feldolgozzák és kezelik, amelyek azonosítják az embereket, és további felelősséget, biztonsági követelményeket, valamint bizonyos esetekben jogi vagy megfelelési követelményeket hordozhatnak.,

személyazonosításra alkalmas Adatokat (PII) az Adatvédelmi Törvény

PII hasonló értelemben létezik a jogszabályok számos országban érhető el:

  • az Egyesült Államokban, a National Institute of Standards and Technology (NIST)’s Guide, hogy Védi a Bizalmas Személyes Információkat határozza meg, a “személyes” olyan adatokat, mint név, taj szám, illetve a biometrikus nyilvántartás, ami használható megkülönböztetni, vagy nyomon követni az egyén identitását.,
  • az Európai Unióban a 95/46 / EK irányelv a “személyes adatokat” olyan információként határozza meg, amely AZONOSÍTÓSZÁMON keresztül azonosíthat egy személyt, vagy a fizikai, fiziológiai, mentális, gazdasági, kulturális vagy társadalmi identitásra jellemző tényezőket.
  • Ausztráliában az 1988. évi Adatvédelmi Törvény a “személyes adatokat” információként vagy véleményként határozza meg, akár igaz, akár nem, olyan személyről, akinek személyazonossága nyilvánvaló, vagy ésszerűen megállapítható—sokkal szélesebb meghatározás, mint a legtöbb más országban.,
  • Új-Zélandon az Adatvédelmi Törvény a “személyes adatokat” minden olyan információként határozza meg, amely egy élő, azonosítható emberi lényre vonatkozik, beleértve a neveket, az elérhetőségeket, a pénzügyi egészséget és a vásárlási nyilvántartásokat.
  • Kanadában a személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény (PIPEDA) és a magánélet védelméről szóló törvény a “személyes adatokat” olyan adatként határozza meg, amely önmagában vagy más adatokkal kombinálva képes azonosítani az egyént.

mi minősül PII – nek?,

Szerint a NIST PII Útmutató a következő elemeket egyértelműen minősülnek PII, mert egyértelműen azonosítani egy emberi lény: teljes neve (ha nem gyakori), az arc, lakcím, e-mail, AZONOSÍTÓ száma, útlevél számát, a jármű rendszámát, jogosítvány, az ujjlenyomatok vagy a kézírás, hitelkártya száma, digitális azonosító, születési dátum, születési helyét, a genetikai információt, telefonszámot, bejelentkezési név, vagy becenév.

mit tekintünk PIINEK?,

Ezen egyértelmű azonosítókon túl vannak “kvázi azonosítók” vagy “álazonosítók”, amelyek más információkkal együtt felhasználhatók egy személy azonosítására. Például egy amerikai kormányzati tanulmány szerint az amerikai lakosság 87% – A egyedileg azonosítható a nem, az irányítószám és a születési dátum kombinációjával. A pszeudo-azonosítók nem tekinthetők PII-nek az Egyesült Államok jogszabályai szerint, de valószínűleg Európában PII-nek tekinthetők.

ki felelős a PII védelméért?,

jogi szempontból a PII védelméért való felelősség nem kizárólag a szervezetekre hárul; a felelősség megosztható az adatok egyes tulajdonosaival. A vállalatok jogi felelősséget vállalhatnak vagy nem vállalhatnak az általuk birtokolt PII-ért.

a Experian tanulmánya szerint azonban a fogyasztók 42% – A úgy véli, hogy a vállalat felelőssége a személyes adatok védelme, a fogyasztók 64% – a pedig azt mondta, hogy az adatok megsértését követően elriasztja őket a vállalat szolgáltatásainak használatától., Tekintettel arra a közvéleményre, hogy a szervezetek felelősek a PII-ért, széles körben elfogadott legjobb gyakorlat a PII biztosítása. Ennek közös és hatékony módja az Adatvédelmi keretrendszer használata.

nézze meg, hogyan segíthet az Imperva adatok maszkolása a PII biztonságában.

adatvédelmi keret létrehozása

az Adatvédelmi keretrendszer dokumentált fogalmi struktúra, amely segíthet a vállalkozásoknak az érzékeny adatok, például a fizetések, a személyes adatok és a szellemi tulajdon védelmében., A keretrendszer meghatározza az érzékeny adatok definiálását, az adatokat érintő kockázatok elemzését, valamint az ellenőrzések végrehajtásának módját a biztonság érdekében.

bár léteznek olyan adatvédelmi keretek, mint például a fizetési kártya iparági adatbiztonsági szabvány (PCI DSS), az ISO 27000 szabványcsalád, valamint az EU általános adatvédelmi rendelete (GDPR), előnyei vannak annak, hogy egyéni keretet hozzon létre szervezete számára.,

az egyéni Adatvédelmi keretrendszer segít a szervezeten belüli legérzékenyebb és legértékesebb adatokra helyezni a hangsúlyt, valamint a szervezeti felépítéshez, kultúrához, szabályozási követelményekhez és biztonsági költségvetéshez megfelelő tervezési vezérlőket.

kövesse az alábbi lépéseket egyéni adatvédelmi keret létrehozásához.

Classification

határozza meg, értékelje és osztályozza a PII-t, amelyet a szervezet kap, tárol, kezel vagy továbbít., Minden típusú PII, azonosítani:

  • A szükséges szintű titoktartási
  • Mennyire érzékeny az adatok integritását—mi történik, ha elveszett, vagy sérült
  • Mennyire fontos, hogy a rendelkezésre álló adatok minden alkalommal
  • Milyen szintű hozzájárulását a szervezet a kapott adatok tekintetében

Értékelést

Végezzen Adatvédelmi hatásvizsgálat (PIA), hogy meghatározza az egyes típusú, vagy osztályozás vagy PII, hogy az összegyűjtött, ahol tárolják, hogyan ártalmatlanítják, valamint a potenciális biztonsági kockázatok minden típusára PII.,perates a

  • Azonosítani önkéntes előírásoknak meg kell felelni, például a PCI DSS
  • Meghatározza a szervezet biztonsági, valamint a politikai felelősség tekintetében harmadik féltől származó termékek, illetve szolgáltatások—például a cloud tárolási szolgáltatások
  • PII Biztonsági Ellenőrzések

    Az Adatvédelmi Keret kell határozni, hogy mely biztonsági ellenőrzések a szervezetnek szüksége van, hogy megakadályozza az adatok elvesztéséért vagy adatok szivárgás:

    • a Változás-Menedzsment,—követés, ellenőrzés változások konfigurációs rajta rendszerek, amelyek lehet, hogy biztonsági következményei, mint például hozzáadása/eltávolítása a felhasználói fiókok.,
    • adatvesztés-megelőzési rendszerek, amelyek nyomon követhetik a szervezeten belül vagy azon kívül továbbított érzékeny adatokat, és azonosíthatják azokat a természetellenes mintákat, amelyek megsértésre utalhatnak.
    • adatmaszkolás-annak biztosítása, hogy az adatokat az adott tranzakcióhoz szükséges minimális adatokkal tárolják vagy továbbítsák, más adatokkal maszkolva vagy elhagyva.
    • etikus falak-szűrési mechanizmusok végrehajtása annak megakadályozására, hogy egyes szervezeti egységek vagy egyének egy szervezeten belül megtekinthessék a munkájuk szempontjából nem releváns PII-t, vagy amelyek összeférhetetlenséget okozhatnak.,
    • privilegizált felhasználói megfigyelés-a fájlokhoz és adatbázisokhoz való minden privilegizált hozzáférés, a felhasználó létrehozása és az újonnan megadott jogosultságok ellenőrzése, blokkolás és riasztás, ha gyanús tevékenységet észlelnek.
    • érzékeny adatokhoz való hozzáférés auditálása-A privilegizált felhasználók által végzett megfigyelési tevékenységekkel párhuzamosan az érzékeny adatokhoz való hozzáférés ellenőrzése és ellenőrzése, a gyanús vagy rendellenes tevékenységekre való blokkolás és riasztás.,
    • Secure audit trail archiving-annak biztosítása, hogy a PII-n vagy azzal kapcsolatban folytatott tevékenységeket 1-7 évig, jogi vagy megfelelőségi célból auditálják és megőrizzék, valamint lehetővé tegyék a biztonsági események törvényszéki vizsgálatát.
    • felhasználói jogok kezelése-túlzott, nem megfelelő vagy fel nem használt felhasználói jogosultságok azonosítása és korrekciós intézkedések meghozatala, például a több hónapja nem használt felhasználói fiókok eltávolítása.,
    • a Felhasználó követés—végrehajtási módja a nyomkövető felhasználói tevékenység, online, miközben a szervezeti rendszerek azonosításához gondatlan expozíció az érzékeny adatok, kompromisszum a felhasználói fiókok, vagy rosszindulatú bennfentesek.

    Vélemény, hozzászólás?

    Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük