informação pessoalmente identificável (PII)

O Que É informação pessoalmente identificável (PII)

informação pessoalmente identificável (PII) é um termo legal pertencente a ambientes de segurança da informação. Enquanto o PII tem várias definições formais, geralmente falando, é informação que pode ser usada por organizações por conta própria ou com outras informações para identificar, contatar ou localizar uma única pessoa, ou para identificar um indivíduo em contexto.,

o IPI não sensível pode ser transmitido de forma insegura sem causar danos a um indivíduo. O PII sensível deve ser transmitido e armazenado de forma segura, por exemplo, usando criptografia, porque pode causar danos a um indivíduo, se divulgado.as organizações usam o conceito de PII para entender quais os dados que armazenam, processam e gerem que identificam as pessoas e podem ter responsabilidades adicionais, requisitos de segurança e, em alguns casos, requisitos legais ou de Conformidade.,

Informações Pessoalmente Identificáveis (PII) na Lei de Privacidade

PII e termos similares existem na legislação de muitos países e territórios:

  • Nos Estados Unidos, o Instituto Nacional de Padrões e Tecnologia (NIST)’s Guia para Proteger a Confidencialidade da Informação pessoal define “informação de identificação pessoal” como obter informações como nome, número de segurança social, biométricos e de registros, o que pode ser usado para distinguir ou rastrear a identidade de um indivíduo.,na União Europeia, a Directiva 95/46/CE define “dados pessoais” como informações que podem identificar uma pessoa através de um número de identificação ou factores específicos da identidade física, fisiológica, mental, económica, cultural ou social.na Austrália, o Privacy Act 1988 define “informação pessoal” como informação ou opinião, verdadeira ou não, sobre um indivíduo cuja identidade é aparente, ou pode razoavelmente ser verificada—uma definição muito mais ampla do que na maioria dos outros países.,
  • Na Nova Zelândia, a Lei de Privacidade define “informações pessoais” como qualquer informação relacionada a um ser humano vivo e identificável, incluindo nomes, detalhes de contato, saúde financeira e registros de compra.no Canadá, o Personal Information Protection and Electronic Documents Act (PIPEDA) and Privacy Act define “personal information” como dados que, por si só, ou combinados com outras peças de dados, podem identificar um indivíduo.

O que se qualifica como PII?,

de Acordo com o NIST PII Guia, os seguintes itens, definitivamente, qualificar-se como PII, porque eles podem identificar de forma inequívoca de um ser humano: nome completo (se não for comum), rosto, endereço residencial, e-mail, número de IDENTIFICAÇÃO, número do passaporte, número da placa do veículo, a carteira de motorista de impressões digitais ou manuscrito, número de cartão de crédito, identidade digital, data de nascimento, local de nascimento, informações genéticas, número de telefone, nome de login ou nome de tela.

o Que É Considerado PII?,

para além destes identificadores claros, existem “quase identificadores” ou “pseudo identificadores” que, juntamente com outras informações, podem ser utilizados para identificar uma pessoa. Por exemplo, de acordo com um estudo governamental dos EUA, 87% da população dos EUA pode ser identificada de forma única por uma combinação de gênero, código postal e data de nascimento. Os Pseudo identificadores podem não ser considerados IPI ao abrigo da legislação dos Estados Unidos, mas são susceptíveis de ser considerados IPI na Europa.quem é responsável pela salvaguarda da IPI?,

de uma perspectiva legal, a responsabilidade pela proteção de PII não é atribuída apenas às organizações; a responsabilidade pode ser compartilhada com os proprietários individuais dos dados. As empresas podem ou não ser legalmente responsáveis pelo IPI que detêm.no entanto, de acordo com um estudo da Experian, 42% dos consumidores acreditam que é responsabilidade de uma empresa proteger seus dados pessoais, e 64% dos consumidores disseram que seriam desencorajados de usar os Serviços de uma empresa após uma quebra de dados., À luz da percepção pública de que as organizações são responsáveis pela PII, é uma boa prática amplamente aceita garantir a PII. Uma forma comum e eficaz de o fazer é utilizando um quadro de Privacidade de dados.

veja como A Máscara de dados do Imperva pode ajudá-lo com a segurança do PII.

criar um quadro de Privacidade de dados

um quadro de Privacidade de dados é uma estrutura conceptual documentada que pode ajudar as empresas a proteger dados sensíveis como pagamentos, informações pessoais e propriedade intelectual., O framework especifica como definir dados sensíveis, como analisar os riscos que afetam os dados, e como implementar controles para protegê-los.apesar de existirem quadros de privacidade de dados estabelecidos, como a norma de segurança de dados do setor de cartões de pagamento (PCI DSS), a família de normas ISO 27000 e o Regulamento Geral de proteção de dados da UE (GDPR), há benefícios em criar um quadro personalizado para a sua organização.,

Uma Estrutura personalizada de proteção de dados irá ajudá-lo a colocar uma ênfase nos dados mais sensíveis e valiosos dentro de sua organização, e controles de design que são adequados para a sua estrutura organizacional, cultura, requisitos regulamentares e orçamento de segurança.

siga os passos abaixo para criar uma estrutura personalizada de Privacidade de dados.

classificação

Define, avalia e classifica PII a sua organização recebe, armazena, gere ou transfere., Para cada tipo de PII, identificar:

  • O nível de confidencialidade
  • Como confidenciais os dados para integridade—o que acontece se ele for perdido ou danificado
  • Como é importante ter os dados disponíveis em todos os tempos
  • Qual é o nível de consentimento a organização recebeu em relação aos dados

Avaliação

Realizar um Privacidade de Avaliação de Impacto (PIA) para determinar, para cada tipo ou classificação ou informações de identificação pessoal, como é que é recolhida, onde está armazenado, e como ele é eliminado, bem como os potenciais riscos de segurança para cada tipo de PII.,perates em

  • Identificar padrões voluntários que você precisa para cumprir, tais como PCI DSS
  • Determinar a segurança de sua organização e de responsabilidade política com relação a produtos e serviços de terceiros—por exemplo, serviços de armazenamento em nuvem
  • PII Controles de Segurança

    A Privacidade de Dados Quadro deve definir quais controles de segurança a organização precisa ter para evitar a perda de dados ou vazamento de dados:

    • Gestão de Mudanças—o acompanhamento e a auditoria de alterações de configuração de sistemas que possam ter implicações de segurança, tais como adicionar/remover contas de usuário.,sistemas de implementação de prevenção da perda de dados que podem rastrear dados sensíveis transferidos dentro da organização ou fora dela, e identificar padrões não naturais que possam sugerir uma violação.Máscara de Dados-garantir que os dados são armazenados ou transmitidos com os mínimos detalhes necessários para a operação específica, com outros detalhes mascarados ou omitidos.paredes éticas-implementando mecanismos de triagem para impedir certos departamentos ou indivíduos dentro de uma organização de visualizar PII que não é relevante para o seu trabalho, ou que pode criar um conflito de interesses.,monitorização privilegiada do utilizador—monitorização de todos os acessos privilegiados a ficheiros e bases de dados, criação de utilizadores e privilégios recentemente concedidos, bloqueio e alerta quando é detectada actividade suspeita.auditoria de acesso a dados sensíveis-paralelamente às actividades de controlo por parte de utilizadores privilegiados, monitorização e auditoria de todo o acesso a dados sensíveis, bloqueio e alerta para actividades suspeitas ou anómalas.,arquivo da pista de auditoria segura-garantir que todas as atividades realizadas em ou em relação à PII são auditadas e retidas por um período de 1-7 anos, para fins legais ou de conformidade, e também para permitir a investigação forense de incidentes de segurança.gestão de direitos de utilizador—identificação de privilégios de utilizador excessivos, inadequados ou não utilizados e tomada de medidas correctivas, tais como a remoção de contas de utilizador que não são utilizadas há vários meses.,
    • rastreamento de usuário-implementando formas de rastrear a atividade do Usuário, online e ao usar sistemas organizacionais, para identificar a exposição negligente de dados sensíveis, comprometimento de contas de usuário, ou insiders maliciosos.

    Deixe uma resposta

    O seu endereço de email não será publicado. Campos obrigatórios marcados com *