Informații de Identificare personală (PII)

Ce Este de Informații de Identificare personală (PII)

Informații de Identificare personală (PII) este un termen legal referitoare la securitatea informațiilor medii. În timp ce PII are mai multe definiții formale, în general, informațiile pot fi utilizate de organizații pe cont propriu sau cu alte informații pentru a identifica, contacta sau localiza o singură persoană sau pentru a identifica o persoană în context.,PII non-sensibile pot fi transmise într-o formă nesigură, fără a provoca daune unui individ. PII sensibile trebuie transmise și stocate în formă sigură, de exemplu, folosind criptarea, deoarece ar putea dăuna unei persoane, dacă este dezvăluită.organizațiile utilizează conceptul de PII pentru a înțelege ce date stochează, procesează și gestionează, care identifică persoanele și pot avea responsabilități suplimentare, cerințe de securitate și, în unele cazuri, cerințe legale sau de conformitate.,

Informații de Identificare personală (PII), în Legea de Confidențialitate

PII și condiții similare există în legislația multor țări și teritorii:

  • În Statele Unite ale americii, Institutul Național de Standarde și Tehnologie (NIST) modelului Ghid pentru Protejarea Confidențialității de Informații de Identificare personală definește „identificabile” ca informații cum ar fi numele, numărul de securitate socială, și înregistrările biometrice, care poate fi folosit pentru a distinge sau urme identitatea individului.,in Uniunea Europeana, Directiva 95/46 / CE defineste „datele cu caracter personal” ca fiind informatii care pot identifica o persoana prin intermediul unui numar de identificare, sau factori specifici identitatii fizice, fiziologice, psihice, economice, culturale sau sociale.
  • în Australia, Legea privind confidențialitatea din 1988 definește „informațiile personale” ca informații sau o opinie, adevărată sau nu, despre o persoană a cărei identitate este aparentă sau poate fi stabilită în mod rezonabil—o definiție mult mai largă decât în majoritatea celorlalte țări.,
  • în Noua Zeelandă, Legea privind confidențialitatea definește „informațiile personale” ca orice informație care se referă la o ființă umană vie, identificabilă, inclusiv nume, detalii de contact, sănătate financiară și înregistrări de cumpărare.
  • în Canada, Legea privind protecția informațiilor personale și a documentelor electronice (PIPEDA) și Legea privind confidențialitatea definește „informațiile personale” ca date care, singure sau combinate cu alte date, pot identifica o persoană.

ce se califică drept PII?,conform Ghidului NIST PII, următoarele elemente se califică cu siguranță drept PII, deoarece pot identifica fără echivoc o ființă umană: numele complet (dacă nu este obișnuit), fața, adresa de domiciliu, e-mailul, numărul de identificare, numărul pașaportului, numărul plăcii vehiculului, permisul de conducere, amprentele sau scrisul de mână, numărul cărții de credit, identitatea digitală, data nașterii, locul nașterii, informațiile genetice, numărul de telefon, numele de

Ce Este Considerat PII?,dincolo de acești identificatori clari, există „cvasi identificatori” sau „pseudo identificatori” care, împreună cu alte informații, pot fi utilizați pentru a identifica o persoană. De exemplu, potrivit unui studiu guvernamental american, 87% din populația SUA poate fi identificată în mod unic printr-o combinație de sex, Cod poștal și data nașterii. Pseudo identificatorii nu pot fi considerați PII în conformitate cu legislația Statelor Unite, dar este probabil să fie considerați PII în Europa.

cine este responsabil pentru protejarea PII?,

Din punct de vedere juridic, responsabilitatea pentru protejarea PII nu este atribuită exclusiv organizațiilor; responsabilitatea poate fi împărtășită cu proprietarii individuali ai datelor. Companiile pot sau nu pot fi responsabile din punct de vedere legal pentru PII pe care le dețin.cu toate acestea, potrivit unui studiu realizat de Experian, 42% dintre consumatori consideră că este responsabilitatea unei companii să-și protejeze datele personale, iar 64% dintre consumatori au declarat că ar fi descurajați să utilizeze serviciile unei companii în urma unei încălcări a datelor., Având în vedere percepția publică că organizațiile sunt responsabile pentru PII, este o bună practică acceptată pe scară largă pentru a asigura PII. O modalitate comună și eficientă de a face acest lucru este utilizarea unui cadru de Confidențialitate a datelor.

vedeți cum mascarea datelor Imperva vă poate ajuta cu securitatea PII.

crearea unui cadru de Confidențialitate a datelor

un cadru de Confidențialitate a datelor este o structură conceptuală documentată care poate ajuta companiile să protejeze datele sensibile, cum ar fi plățile, informațiile personale și proprietatea intelectuală., Cadrul specifică modul de definire a datelor sensibile, modul de analiză a riscurilor care afectează datele și modul de implementare a controalelor pentru a le asigura.deși există cadre stabilite privind confidențialitatea datelor, cum ar fi standardul de securitate a datelor privind cardurile de plată (PCI DSS), familia de standarde ISO 27000 și Regulamentul general UE privind protecția datelor (GDPR), există beneficii pentru crearea unui cadru personalizat pentru organizația dvs.,un cadru personalizat de protecție a datelor vă va ajuta să puneți accentul pe cele mai sensibile și valoroase date din cadrul organizației dvs. și pe controalele de proiectare adecvate structurii organizaționale, culturii, cerințelor de reglementare și bugetului de securitate.urmați pașii de mai jos pentru a crea un cadru personalizat de Confidențialitate a datelor.

clasificare

definiți, evaluați și clasificați PII pe care organizația dvs. le primește, stochează, gestionează sau transferă., Pentru fiecare tip de PII, identificați:

  • nivelul necesar de confidențialitate
  • cât de sensibile sunt datele la integritate—ce se întâmplă dacă sunt pierdute sau corupte
  • cât de important este să aveți datele disponibile în orice moment
  • ce nivel de consimțământ a primit organizația în legătură cu datele

evaluare

efectuați o evaluare a impactului asupra confidențialității (Pia) pentru a determina, pentru fiecare tip sau clasificare sau IIP, modul în care este colectat, locul în care este depozitat și modul în care este eliminat, precum și riscurile potențiale de securitate pentru fiecare tip de IIP.,perates în

  • Identifica standarde voluntare trebuie să le respecte, cum ar fi PCI DSS
  • Determina organizației de securitate și politica de răspundere cu privire la al treilea petrecere produse și servicii—de exemplu, servicii de stocare cloud
  • PII Controale de Securitate

    Datele de Confidențialitate Cadru ar trebui să definească care controalele de securitate organizația trebuie să aibă în loc pentru a preveni pierderea de date sau de scurgere de date:

    • Managementul Schimbării—de urmărire și de audit modificări de configurare a sistemelor IT, care ar putea avea implicații de securitate, cum ar fi adăugarea/eliminarea de conturi de utilizator.,prevenirea pierderilor de date—implementarea sistemelor care pot urmări datele sensibile transferate în cadrul organizației sau în afara acesteia și identificarea tiparelor nenaturale care ar putea sugera o încălcare.
    • mascarea datelor-asigurarea faptului că datele sunt stocate sau transmise cu detaliile minime necesare pentru tranzacția specifică, cu alte detalii mascate sau omise.
    • pereți etici-implementarea mecanismelor de screening pentru a împiedica anumite departamente sau persoane din cadrul unei organizații să vizualizeze PII care nu este relevant pentru activitatea lor sau care ar putea crea un conflict de interese.,
    • Privileged user monitoring-monitorizarea tuturor accesului privilegiat la fișiere și baze de date, Crearea de utilizatori și privilegii nou acordate, blocarea și alertarea atunci când este detectată o activitate suspectă.auditarea accesului la date sensibile-în paralel cu monitorizarea activităților de către utilizatorii privilegiați, monitorizarea și auditarea accesului la date sensibile, blocarea și alertarea asupra activității suspecte sau anormale.,
    • arhivare securizată a traseului de audit—asigurarea faptului că orice activitate desfășurată pe sau în legătură cu PII este auditată și reținută pentru o perioadă de 1-7 ani, în scopuri legale sau de conformitate, precum și pentru a permite investigarea criminalistică a incidentelor de securitate.gestionarea drepturilor utilizatorilor-identificarea privilegiilor de utilizator excesive, inadecvate sau neutilizate și luarea de măsuri corective, cum ar fi eliminarea conturilor de utilizator care nu au fost utilizate de câteva luni.,urmărirea utilizatorilor—implementarea modalităților de urmărire a activității utilizatorilor, online și în timp ce utilizează sisteme organizaționale, pentru a identifica expunerea neglijentă a datelor sensibile, compromiterea conturilor de utilizator sau persoane din interior rău intenționate.

    Lasă un răspuns

    Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *