personligt identifierbar Information (PII)

Vad är personligt identifierbar Information (PII)

personligt identifierbar Information (PII) är en juridisk term som gäller informationssäkerhetsmiljöer. Medan PII har flera formella definitioner, generellt sett, är det information som kan användas av organisationer på egen hand eller med annan information för att identifiera, kontakta eller lokalisera en enda person, eller för att identifiera en individ i sammanhang.,

icke-känslig PII kan överföras i osäker form utan att skada en individ. Känslig PII måste överföras och lagras i säker form, till exempel med kryptering, eftersom det kan skada en individ, om den avslöjas.

organisationer använder begreppet PII för att förstå vilka data de lagrar, bearbetar och hanterar som identifierar personer och kan ha ytterligare ansvar, säkerhetskrav och i vissa fall rättsliga eller efterlevnadskrav.,

personligt identifierbar Information (PII) i Integritetslagstiftningen

PII och liknande termer finns i lagstiftningen i många länder och territorier:

  • i USA, National Institute of Standards and Technology (NIST) s Guide för att skydda sekretessen för personligt identifierbar Information definierar ”personligt identifierbar” som information som namn, personnummer och biometriska register, som kan användas för att skilja eller spåra en persons identitet.,
  • i Europeiska unionen definierar direktiv 95/46/EG ”personuppgifter” som information som kan identifiera en person via ett ID-nummer eller faktorer som är specifika för fysisk, fysiologisk, mental, ekonomisk, kulturell eller social identitet.
  • i Australien definierar Privacy Act 1988 ”personlig information” som information eller en åsikt, oavsett om det är sant eller inte, om en person vars identitet är uppenbar eller rimligen kan fastställas—en mycket bredare definition än i de flesta andra länder.,
  • i Nya Zeeland definierar Privacy Act ”personlig information” som någon information som hänför sig till en levande, identifierbar människa, inklusive namn, kontaktuppgifter, finansiell hälsa och inköpsposter.
  • i Kanada definierar lagen om skydd av personuppgifter och elektroniska dokument (PIPEDA) och Integritetslagen ”personuppgifter” som uppgifter som på egen hand, eller i kombination med andra delar av data, kan identifiera en individ.

vad kvalificerar sig som PII?,

Enligt NIST personlig information Guide, följande poster definitivt kvalificerar sig som en ANSVARSFÖRSÄKRING, eftersom de kan otvetydigt identifiera en människa: fullständigt namn (om inte vanligare), ansikte, adress, e-post, ID-nummer, pass-nummer, fordonets registreringsskylt, körkort, fingeravtryck eller handskrift, kreditkort nummer, digital identitet, födelsedatum, födelseplats, genetisk information, telefonnummer, användarnamn eller användarnamn.

vad anses vara PII?,

Utöver dessa tydliga identifierare finns det ”kvasi-identifierare” eller ”pseudo-identifierare” som tillsammans med annan information kan användas för att identifiera en person. Till exempel, enligt en amerikansk statlig studie, kan 87% av den amerikanska befolkningen identifieras unikt genom en kombination av kön, postnummer och födelsedatum. Pseudo-identifierare kan inte betraktas som PII enligt amerikansk lagstiftning, men kommer sannolikt att betraktas som PII i Europa.

Vem ansvarar för att skydda PII?,

ur ett juridiskt perspektiv är ansvaret för att skydda PII inte enbart hänförligt till organisationer; ansvaret kan delas med de enskilda ägarna av data. Företag kan eller kan inte vara juridiskt ansvariga för den PII de innehar.

enligt en studie av Experian anser 42% av konsumenterna att det är ett företags ansvar att skydda sina personuppgifter, och 64% av konsumenterna sa att de skulle avskräckas från att använda ett företags tjänster efter ett databrott., Mot bakgrund av den allmänna uppfattningen att organisationer är ansvariga för PII är det en allmänt accepterad bästa praxis för att säkra PII. Ett gemensamt och effektivt sätt att göra detta är att använda en ram för datasekretess.

se hur Imperva-Datamaskering kan hjälpa dig med PII-säkerhet.

skapa en ram för datasekretess

en ram för datasekretess är en dokumenterad konceptuell struktur som kan hjälpa företag att skydda känsliga data som betalningar, personuppgifter och immateriella rättigheter., Ramverket specificerar hur känsliga data ska definieras, hur risker som påverkar data ska analyseras och hur kontroller ska implementeras för att säkra den.

även om det finns etablerade datasekretessramar som Payment Card Industry Data Security Standard (PCI DSS), ISO 27000-familjen av standarder och EU General Data Protection Regulation (GDPR), finns det fördelar med att skapa en anpassad ram för din organisation.,

ett anpassat Dataskyddsramverk hjälper dig att lägga tonvikten på de mest känsliga och värdefulla uppgifterna inom din organisation och designkontroller som passar din organisationsstruktur, kultur, lagstadgade krav och säkerhetsbudget.

följ stegen nedan för att skapa en anpassad ram för datasekretess.

klassificering

definiera, bedöma och klassificera PII din organisation tar emot, lagrar, hanterar eller överför., För varje typ av personlig information, identifiera:

  • Den nivå som krävs av sekretess
  • Hur känsliga uppgifterna är att integritet—vad händer om det är försvunnen eller skadad
  • Hur viktigt det är att ha de uppgifter som finns tillgängliga vid alla tidpunkter
  • Vilken nivå av samtycke har organisationen fått i förhållande till de uppgifter

för Bedömning

Genomföra ett Privatliv konsekvensanalys (PIA) för att avgöra, för varje typ eller klassificering eller personlig information, hur den samlas in, där den förvaras och hur det avlägsnas, liksom det potentiella säkerhetsrisker för varje typ av ANSVARSFÖRSÄKRING.,Perates i

  • identifiera frivilliga standarder som du behöver följa, till exempel PCI DSS
  • Bestäm organisationens säkerhets—och ansvarspolicy med avseende på produkter och tjänster från tredje part—till exempel molnlagringstjänster
  • PII säkerhetskontroller

    Datasekretessramen bör definiera vilka säkerhetskontroller organisationen behöver ha för att förhindra dataförlust eller dataläckage:

    • ändra hantering-spårning och revision ändringar i konfigurationen på IT-system som kan har säkerhetskonsekvenser, till exempel att lägga till/ta bort användarkonton.,
    • förebyggande av dataförlust—implementeringssystem som kan spåra känsliga data som överförs inom organisationen eller utanför den och identifiera onaturliga mönster som kan föreslå ett brott.
    • datamaskering—se till att data lagras eller överförs med minimala uppgifter som krävs för den specifika transaktionen, med andra detaljer maskerade eller utelämnade.
    • etiska väggar—genomföra screeningmekanismer för att förhindra vissa avdelningar eller individer inom en organisation från att visa PII som inte är relevant för deras arbete, eller som kan skapa en intressekonflikt.,
    • privilegierad användarövervakning—övervaka all privilegierad åtkomst till filer och databaser, skapa användare och nyligen beviljade privilegier, blockera och varna när misstänkt aktivitet upptäcks.
    • granskning av känslig dataåtkomst—parallellt med övervakning av privilegierade användare, övervakning och revision av all tillgång till känsliga data, blockering och varning om misstänkt eller avvikande aktivitet.,
    • säker verifieringskedja arkivering-se till att all verksamhet som bedrivs på eller i förhållande till PII granskas och behålls under en period av 1-7 år, för rättsliga eller efterlevnadsändamål, och även för att möjliggöra rättsmedicinsk utredning av säkerhetsincidenter.
    • hantering av användarrättigheter—identifiera orimliga, olämpliga eller oanvända användarrättigheter och vidta korrigerande åtgärder, till exempel att ta bort användarkonton som inte har använts på flera månader.,
    • User tracking—implementera sätt att spåra användaraktivitet, online och när du använder organisationssystem, för att identifiera försumlig exponering av känsliga data, kompromissa med användarkonton eller skadliga insiders.

    Lämna ett svar

    Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *