Informazioni di identificazione personale (PII)

Cosa sono le informazioni di identificazione personale (PII)

Informazioni di identificazione personale (PII) è un termine legale relativo agli ambienti di sicurezza delle informazioni. Mentre PII ha diverse definizioni formali, in generale, si tratta di informazioni che possono essere utilizzate dalle organizzazioni da sole o con altre informazioni per identificare, contattare o localizzare una singola persona o per identificare un individuo nel contesto.,

Le PII non sensibili possono essere trasmesse in forma non protetta senza causare danni a un individuo. Le PII sensibili devono essere trasmesse e archiviate in forma sicura, ad esempio utilizzando la crittografia, perché potrebbero causare danni a un individuo, se divulgate.

Le organizzazioni utilizzano il concetto di PII per capire quali dati memorizzano, elaborano e gestiscono che identificano le persone e possono comportare ulteriori responsabilità, requisiti di sicurezza e, in alcuni casi, requisiti legali o di conformità.,

Informazioni di identificazione personale (PII), nel rispetto della Legge sulla Privacy

PII e termini simili esistono nella legislazione di molti paesi e territori:

  • Negli Stati Uniti, il National Institute of Standards and Technology (NIST) ha la Guida a Proteggere la Riservatezza dei dati personali definisce le “identificazione personale”, come informazioni come nome, numero di previdenza sociale, e biometrici record, che può essere utilizzato per distinguere o traccia l’identità di un individuo.,
  • Nell’Unione Europea, la direttiva 95/46/CE definisce i “dati personali” come informazioni che possono identificare una persona tramite un numero di identificazione, o fattori specifici per l’identità fisica, fisiologica, mentale, economica, culturale o sociale.
  • In Australia, il Privacy Act 1988 definisce “informazioni personali” come informazioni o un’opinione, vera o meno, su un individuo la cui identità è apparente o può essere ragionevolmente accertata—una definizione molto più ampia che nella maggior parte degli altri paesi.,
  • In Nuova Zelanda, la legge sulla privacy definisce “informazioni personali” come qualsiasi informazione relativa a un essere umano vivente e identificabile, inclusi nomi, dettagli di contatto, salute finanziaria e record di acquisto.
  • In Canada, il Personal Information Protection and Electronic Documents Act (PIPEDA) e il Privacy Act definiscono “informazioni personali” come dati che da soli, o combinati con altri dati, possono identificare un individuo.

Cosa si qualifica come PII?,

Secondo la Guida PII del NIST, i seguenti elementi si qualificano definitivamente come PII, perché possono identificare inequivocabilmente un essere umano: nome completo (se non comune), volto, indirizzo di casa, e-mail, numero di identificazione, numero di passaporto, numero di targa del veicolo, patente di guida, impronte digitali o grafia, numero di carta di credito, identità digitale, data di nascita, luogo di nascita,

Che cosa è considerato PII?,

Oltre a questi identificatori chiari, ci sono “quasi identificatori” o “pseudo identificatori” che, insieme ad altre informazioni, possono essere utilizzati per identificare una persona. Ad esempio, secondo uno studio governativo statunitense, l ‘ 87% della popolazione statunitense può essere identificato in modo univoco da una combinazione di sesso, codice postale e data di nascita. Pseudo identificatori non possono essere considerati PII ai sensi della legislazione degli Stati Uniti, ma sono suscettibili di essere considerati come PII in Europa.

Chi è responsabile della protezione delle PII?,

Dal punto di vista giuridico, la responsabilità della protezione delle PII non è attribuita esclusivamente alle organizzazioni; la responsabilità può essere condivisa con i singoli proprietari dei dati. Le aziende possono o non possono essere legalmente responsabili per le PII che detengono.

Tuttavia, secondo uno studio di Experian, il 42% dei consumatori ritiene che sia responsabilità di un’azienda proteggere i propri dati personali e il 64% dei consumatori ha dichiarato di essere scoraggiato dall’utilizzare i servizi di un’azienda a seguito di una violazione dei dati., Alla luce della percezione pubblica che le organizzazioni sono responsabili per PII, è una buona pratica ampiamente accettata per garantire PII. Un modo comune ed efficace per farlo è utilizzare un framework per la privacy dei dati.

Scopri come Imperva Data Masking può aiutarti con la sicurezza PII.

Creazione di un framework per la privacy dei dati

Un framework per la privacy dei dati è una struttura concettuale documentata che può aiutare le aziende a proteggere dati sensibili come pagamenti, informazioni personali e proprietà intellettuale., Il framework specifica come definire i dati sensibili, come analizzare i rischi che influiscono sui dati e come implementare i controlli per proteggerli.

Sebbene esistano framework consolidati per la privacy dei dati, come lo standard PCI DSS (Payment Card Industry Data Security Standard), la famiglia di standard ISO 27000 e il Regolamento generale sulla protezione dei dati dell’UE (GDPR), la creazione di un framework personalizzato per la tua organizzazione offre vantaggi.,

Un framework di protezione dei dati personalizzato ti aiuterà a mettere l’accento sui dati più sensibili e preziosi all’interno della tua organizzazione e sui controlli di progettazione adatti alla struttura organizzativa, alla cultura, ai requisiti normativi e al budget di sicurezza.

Segui i passaggi riportati di seguito per creare un framework personalizzato per la privacy dei dati.

Classificazione

Definire, valutare e classificare le PII che l’organizzazione riceve, archivia, gestisce o trasferisce., Per ogni tipo di PII, di identificare:

  • Il livello di riservatezza
  • Come sensibili i dati per l’integrità—che cosa succede se si è perso o danneggiato
  • Quanto sia importante è avere i dati di tutti i tempi
  • Qual è il livello di consenso è l’organizzazione ricevute in relazione ai dati

Valutazione

Condurre una Valutazione d’Impatto sulla Privacy (PIA) di determinare, per ciascun tipo o classificazione o informazioni personali, come viene raccolto, in cui è memorizzato, e come sono eliminati, così come i potenziali rischi per la sicurezza per ogni tipo di informazioni personali.,perates in

  • Identificare gli standard volontari si devono rispettare, come PCI DSS
  • Determinare la propria organizzazione la sicurezza e la responsabilità politica per quanto riguarda prodotti e servizi di terzi—ad esempio, i servizi di cloud storage
  • PII Controlli di Sicurezza

    I Dati Privacy Quadro dovrebbe definire i controlli di sicurezza, l’organizzazione deve avere in atto per impedire la perdita di dati o perdita di dati:

    • Gestione del Cambiamento—il monitoraggio e il controllo delle modifiche alla configurazione di sistemi IT che potrebbe avere implicazioni per la sicurezza, come ad esempio l’aggiunta/rimozione di un account utente.,
    • Prevenzione della perdita di dati-implementazione di sistemi in grado di monitorare i dati sensibili trasferiti all’interno dell’organizzazione o al di fuori di essa e identificare modelli innaturali che potrebbero suggerire una violazione.
    • Mascheramento dei dati-garantire che i dati vengano memorizzati o trasmessi con i dettagli minimi richiesti per la transazione specifica, con altri dettagli mascherati o omessi.
    • Muri etici—implementazione di meccanismi di screening per impedire a determinati dipartimenti o individui all’interno di un’organizzazione di visualizzare PII che non sono rilevanti per il loro lavoro o che potrebbero creare un conflitto di interessi.,
    • Monitoraggio utente privilegiato-monitoraggio di tutti gli accessi privilegiati a file e database, creazione utente e privilegi appena concessi, blocco e avviso quando viene rilevata attività sospette.
    • Controllo dell’accesso ai dati sensibili-parallelamente alle attività di monitoraggio da parte degli utenti privilegiati, monitoraggio e controllo di tutti gli accessi ai dati sensibili, blocco e avviso su attività sospette o anomale.,
    • Archiviazione sicura della traccia di controllo—garantire che qualsiasi attività condotta su o in relazione alle PII sia verificata e conservata per un periodo di 1-7 anni, per scopi legali o di conformità, e anche per consentire indagini forensi su incidenti di sicurezza.
    • Gestione dei diritti utente-identificazione di privilegi utente eccessivi, inappropriati o inutilizzati e adozione di azioni correttive, come la rimozione di account utente che non sono stati utilizzati per diversi mesi.,
    • Tracciamento degli utenti-implementazione di modalità di monitoraggio delle attività degli utenti, online e durante l’utilizzo di sistemi organizzativi, per identificare l’esposizione negligente di dati sensibili, compromissione degli account utente o addetti ai lavori dannosi.

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *