Personlig Identifiserbar Informasjon (PII)

Hva Er Personlig Identifiserbar Informasjon (PII)

Personlig Identifiserbar Informasjon (PII) er en juridisk term knyttet til informasjonssikkerhet miljøer. Mens PII har flere formelle definisjoner, generelt sett, det er informasjon som kan brukes av organisasjoner på egen hånd, eller med annen informasjon for å identifisere, kontakte eller finne en enkelt person, eller til å identifisere et individ i kontekst.,

Ikke-sensitive PII (personlig identifiserbar informasjon kan bli overført i usikre form, uten å forårsake skade på en person. Sensitive PII må være sendt, og lagret i et sikkert skjema, for eksempel ved hjelp av kryptering, fordi det kan føre til skade på en person, hvis kjent.

Organisasjoner bruker begrepet PII (personlig identifiserbar informasjon for å forstå hvilke data de lagre, behandle og administrere, og som identifiserer mennesker, og kan bære ekstra ansvar, krav til sikkerhet, og i noen tilfeller juridiske eller lovmessige krav.,

Personlig Identifiserbar Informasjon (PII) i Personvern-Loven

PII og tilsvarende vilkår finnes i lovgivningen i mange land og territorier:

  • I Usa, National Institute of Standards and Technology (NIST)’s Guide til å Beskytte Konfidensialiteten av Personlig Identifiserbar Informasjon som definerer «personlig identifiserbar» som informasjon som navn, personnummer, og biometriske poster, som kan brukes til å skille eller spore en persons identitet.,
  • I Eu, direktiv 95/46/EF definerer «personlige data» som informasjon som kan identifisere en person via et ID-nummer, eller faktorer som er spesifikke for fysiske, fysiologiske, psykiske, økonomiske, kulturelle eller sosiale identitet.
  • I Australia, the Privacy Act 1988 definerer «personlige opplysninger» som informasjon eller en mening, om det er sant eller ikke om et individ hvis identitet er innlysende eller kan med rimelighet bli konsatert—en mye bredere definisjon enn i de fleste andre land.,
  • I New Zealand, Privacy Act definerer «personlige opplysninger» som noen del av informasjonen som er relatert til en levende, identifiserbar menneske, inkludert navn, kontaktinformasjon, finansielle styrke, og kjøpe oppføringer.
  • I Canada, Beskyttelse av Personlige Opplysninger og Elektroniske Dokumenter Act (PIPEDA) og Privacy Act definerer «personlige opplysninger» som data som på egen hånd, eller kombinert med andre biter av data, kan identifisere en person.

Hva som Kvalifiserer som PII (personlig identifiserbar informasjon?,

i Henhold til NIST PII Guide, følgende elementer definitivt kvalifisere som PII, fordi de kan utvetydig identifisere et menneske: fullt navn (hvis det ikke er vanlig), ansikt, hjemmeadresse, e-post, ID-nummer, passnummer, kjøretøy plate nummer, førerkort, fingeravtrykk eller håndskrift, kredittkortnummer, digital identitet, fødselsdato, fødested, genetisk informasjon, telefonnummer, brukernavn eller brukernavn.

Hva som Regnes som sensitiv informasjon?,

Utover disse entydige identifikatorer, det er «kvasi identifikatorer» eller «pseudo identifikatorer» som, sammen med annen informasjon, kan brukes til å identifisere en person. For eksempel, ifølge et AMERIKANSK statlig studie, 87% av den AMERIKANSKE befolkningen kan bli identifisert ved en kombinasjon av kjønn, postnummer og fødselsdato. Pseudo-identifikatorer kan ikke anses som sensitiv informasjon under de Forente Staters lovgivning, men det er sannsynlig å bli vurdert som PII i Europa.

– Hvem er Ansvarlig for Sikring av sensitiv informasjon?,

Fra et juridisk perspektiv, ansvar for å beskytte sensitiv informasjon er ikke utelukkende knyttet til organisasjoner, ansvar kan deles med de individuelle eiere av data. Selskaper kan eller ikke kan være rettslig ansvarlig for PII de holder.

Imidlertid, ifølge en undersøkelse utført av Experian, 42% av forbrukerne mener at det er selskapets ansvar å beskytte deres personlige opplysninger, og 64% av forbrukerne svarte at de ville bli avskrekket fra å bruke selskapets tjenester etter et datainnbrudd., I lys av den offentlige oppfatningen at organisasjoner som er ansvarlig for PII, det er en allment akseptert beste praksis for å sikre sensitiv informasjon. En vanlig og effektiv måte å gjøre dette på er ved hjelp av en Data-Rammeverket for Personvern.

Se hvordan Imperva Data Maskering kan hjelpe deg med PII sikkerhet.

Opprette en Data-Rammeverket for Personvern

En Data-Rammeverket for Personvern er en dokumentert konseptuelle struktur som kan hjelpe virksomheter med å beskytte sensitive data som betalinger, personlig informasjon, og intellektuell eiendom., Rammene angir hvordan man skal definere sensitive data, hvordan å analysere risikoer som påvirker dataene, og hvordan de skal gjennomføre kontroller for å sikre det.

Mens det er etablert personvern rammeverk for eksempel Betaling Kortet Industrien Data Security Standard (PCI DSS), ISO 27000-familien av standarder, og EU-General Data Protection Regulation (GDPR), det er fordeler ved å opprette en tilpasset rammeverk for organisasjonen.,

En tilpasset Data Protection Rammeverket vil hjelpe deg å sette fokus på de mest sårbare og verdifulle data i din organisasjon, og design-kontroller som er egnet for din organisatoriske struktur, kultur, regulatoriske krav, sikkerhet og budsjett.

Følg fremgangsmåten nedenfor for å opprette en tilpasset Data-Rammeverket for Personvern.

Klassifisering

Definere, vurdere og klassifisere PII organisasjonen mottar, lagrer, behandler, eller overføringer., For hver type av PII (personlig identifiserbar informasjon, identifisere:

  • Det nødvendige nivå av konfidensialitet
  • Hvordan sensitive data er å integritet—hva skjer hvis den er mistet eller ødelagt
  • Hvor viktig det er å ha data som er tilgjengelig til enhver tid
  • Hvilket nivå av samtykke har organisasjonen mottatt i forhold til data

Vurdering

Gjennomføre en Privacy Impact Assessment (PIA) for å finne ut, for hver type eller klassifisering eller PII, hvor det er samlet inn, hvor det er lagret, og hvor det er avhendet, så vel som potensielle sikkerhetsrisikoer for hver type PII (personlig identifiserbar informasjon.,perates i

  • Identifisere frivillige standarder som du trenger for å følge med, for eksempel PCI DSS
  • Bestemme organisasjonen for sikkerhet og ansvar politikk med hensyn til tredjeparts produkter og tjenester—for eksempel, sky lagring
  • PII sikkerhetskontroller

    Data-Rammeverket for Personvern bør definere hvilke sikkerhetskontroller organisasjonen må ha på plass for å hindre tap av data eller data lekkasje:

    • Change Management—sporing og overvåking endringer i konfigurasjonen på IT-systemer som kan ha sikkerhetsmessige konsekvenser, for eksempel å legge til/fjerne brukerkontoer.,
    • Data Loss Prevention—implementering av systemer som kan spore sensitive data overføres i organisasjonen eller utenfor det, og identifisere unaturlig mønstre som kan antyde et brudd.
    • Data masking—å sikre at data som er lagret eller som overføres med minimal nødvendige detaljer for den bestemte transaksjonen, med andre detaljer maskert eller utelatt.
    • Etiske vegger—gjennomføre screening mekanismer for å hindre at enkelte avdelinger eller enkeltpersoner innenfor en organisasjon fra visning PII (personlig identifiserbar informasjon som ikke er relevant for deres arbeid, eller som kan skape en interessekonflikt.,
    • Privilegert bruker overvåking—overvåking av alle privilegert tilgang til filer og databaser, bruker etablering og nylig tildelt privilegier, blokkere og varsler når det oppdager mistenkelig aktivitet.
    • Sensitive data access revisjon—parallelt til overvåkning av privilegerte brukere, overvåking og revisjon alle tilgang til sensitive data, blokkere og varsler om mistenkelige eller unormal aktivitet.,
    • Sikre audit trail arkivering—å sikre at alle aktiviteter utført på eller i forhold til PII er revidert og beholdt for en periode på 1-7 år, for juridiske eller overholdes, og også for å aktivere rettsmedisinsk undersøkelse av sikkerhetshendelser.
    • User rights management—identifisere overdreven, upassende, eller ubrukte bruker privilegier og ta korrigerende tiltak, for eksempel å fjerne brukerkontoer som ikke har blitt brukt i flere måneder.,
    • Bruker sporing—implementering av metoder for å spore brukerens aktivitet, online og mens du bruker organisatoriske systemer for å identifisere uaktsom eksponering av sensitive data, forstyrrelse av brukerkontoer, eller skadelig innsidere.

    Legg igjen en kommentar

    Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *