博客
什么是个人身份信息(PII)?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

个人身份信息(PII)是可以识别特定个人的数据。可用于区分个人的信息'另一个人的身份或用于匿名数据匿名的身份也被视为PII。

尽管PII具有几个正式的定义,但请将其视为可以单独使用或与其他信息一起使用以识别,联系或定位特定人员的任何信息。

通过了解PII的概念,您的组织将了解如何使用 信息安全 正确存储,处理和管理PII数据。在大多数辖区中,必须通过附加的安全要求来保护PII,并且许多行业都具有法律或合规性要求。

组织可以'保护他们不去的个人识别信息 '不知道。在本文中,我们涵盖了PII的广泛定义以及尽可能多的PII来源(例如,数据库,共享网络驱动器,备份磁带和 第三方风险 and 第四方风险 源于  供应商 )。

谁负责保护个人身份信息(PII)?

从法律角度来看,保护个人识别信息的责任可能从无责任到组织的全部责任。通常,责任由持有PII的组织和数据的个人所有者共同承担。  

也就是说,尽管您可能不承担法律责任。大多数消费者认为保护您的个人数据是您的责任。这意味着即使您的组织不承担法律责任,您也可能遭受声誉损害。鉴于此,它'公认的保护PII的最佳做法。

越来越多的发生 数据泄露 涉及个人身份信息(PII)的行为导致数十亿美元的股东损失,数百万美元的监管罚款以及个人身份盗窃的风险增加's whose 敏感数据 was exposed. 数据泄露 对个人和组织有害:

  • 个人伤害: 身份盗用,尴尬或勒索。
  • 组织危害: 失去公共信任,法律责任,企业价值降低,业务关闭或补救成本。

为了保护PII的机密性,组织需要使用 网络安全风险评估第三方风险管理供应商风险管理 and 信息风险管理。如果我们以同样的热情保护我们的公共信息和敏感信息,我们'公开更少的公共信息和更敏感的数据。组织需要采用基于风险的方法来保护 机密性,完整性和可访问性(CIA三合会) 和它的顾客's PII. 

尽量减少使用,收集和保留个人身份信息(PII)

当组织最大限度地减少其使用,收集和存储的PII数量时,就可以减少涉及PII的数据泄露所造成的损害的可能性。您的组织必须将对PII的要求最小化到绝对必要的程度。它还应定期审查其拥有的个人信息以及个人数据是否仍然相关和必要。

一般来说:

  • 审查当前持有的PII,并确保其准确,相关,及时和完整。
  • 将PII持有量降至操作所需的最低水平。
  • 定期检查PII资产。
  • 制定计划以删除任何不必要的PII收集和使用。

如何对个人身份信息(PII)进行分类

像任何形式的数据一样,并非所有PII都是相等的。应该通过确定PII机密性影响程度来评估PII。 

PII机密性影响级别从低,中或高不等,以表明如果访问,使用或披露数据可能对个人或组织造成潜在危害。 

每个组织都需要决定将使用哪些因素来确定影响程度,然后创建并实施适当的策略,程序和控制。也就是说,有六个一般因素:

  1. 可识别性: 使用PII识别特定个人有多容易?
  2. PII数量: 有多少人会遭受数据泄露? 
  3. 数据字段灵敏度: 每个单独的PII数据元素有多敏感?
  4. 使用环境: 如何收集,存储,使用,处理,披露或传播PII?
  5. 保护机密的义务: 您的组织是否有任何法律或法规义务保护PII?义务包括法律,法规或其他法规,例如《隐私法》,《通用数据保护法规》(GDPR),《健康保险可移植性和责任法案》(HIPAA)和OMB指南
  6. 访问和定位PII: 谁可以访问PII,他们可以从哪里访问?

如何保护个人身份信息(PII)

并非所有数据都应以相同的方式受到保护。组织必须根据PII在其机密性影响级别中对PII进行分类的方式,采取适当的保护措施来保护PII的机密性。 

某些PII甚至不需要保护。想象一下,您的组织运营着一个公用电话目录,允许管道工共享他们的电话号码。在这种情况下,不需要保护PII(电话号码),因为您的组织有权公开发布它。 

对于确实需要保护的敏感PII,您应该使用可操作的,特定于隐私的 网络安全 controls such as:

  • 政策和程序: 制定全面的政策和程序以保护个人识别信息的机密性。
  • 训练:  通过要求所有员工在被授予访问包含PII信息技术的权限之前接受适当的培训,减少未经授权访问,使用或披露PII的可能性。

哪些隐私法与个人身份信息(PII)有关?

在大多数国家和地区的立法中都存在PII:

  1. 美国: 美国国家标准技术研究院(NIST) 保护个人身份信息机密性指南 将PII定义为由代理机构维护的有关个人的任何信息,包括可用于区分或追踪个人的任何信息'标识,例如姓名,社会保险号,出生日期和地点,母亲's maiden name, or 生物识别  记录;以及与个人链接或可链接的其他信息以及其他信息,例如受保护的健康信息,教育,财务和就业信息。  
  2. 欧洲联盟: 指令95/46 / EC将个人数据定义为可以识别个人身份的信息,例如ID号或特定于身体,生理,心理,经济,文化或社会身份的因素。
  3. 澳大利亚:  1988年《隐私法》规定了许多隐私权,这些信息称为信息隐私原则(IPP)。这些原则规定了澳大利亚政府和企业如何收集个人识别信息。它还要求澳大利亚人有权知道为什么收集有关他们的信息以及谁将看到这些信息。
  4. 新西兰: 《隐私法》控制组织如何收集,使用,披露,存储和访问个人信息。他们对PII的定义是关于可识别的活着的人的信息。
  5. 英国: 英国《 2018年数据保护法》'通用数据保护条例(GDPR)的实施。它要求必须公正,合法和透明地使用PII; 用于明确的目的;以适当,相关且仅限于必要的方式进行;准确,并在必要时保持最新;保留的时间不应超过必要的时间,并以确保适当安全性的方式进行处理,包括防止非法或未经授权的处理,访问,丢失,破坏或损坏。
  6. 加拿大:  个人信息保护和电子文档法(PIPEDA) 确保组织必须获得个人'同意收集,使用或披露PII。

什么算作个人身份信息(PII)?

PII的示例包括但不限于:

  • 名称:  全名,娘家姓,母亲'的姓氏或别名。
  • 个人身份证号码: 社会安全号码(SSN),护照号码,驾驶员'的许可证号,纳税人识别号,金融帐号,银行帐号或信用卡号。
  • 地址信息: 街道地址,工作地址或电子邮件地址。
  • 人物的特征: 摄影图像(尤其是面部或其他识别特征),指纹,笔迹,视网膜扫描,语音签名,面部几何或其他生物特征数据。
  • 链接或可链接信息: 与上述类别之一相关的信息,例如出生日期,出生地点,种族,宗教,ip地址,电话号码,社交媒体,政治观点,体重,活动,地理指标,就业信息,医疗信息,教育信息,财务信息或任何其他唯一标识符。

什么是常见的个人身份信息(PII)安全控制?

  • 配置管理: PII暴露的最常见方式之一是通过  资料泄漏  是由于亚马逊等云存储平台的配置不当造成的's S3, check your S3安全 permissions or 别人会的。
  • 防止数据丢失系统跟踪敏感数据在组织内外的传入和传出,并确定可能表明数据泄露的模式。
  • 数据屏蔽: 数据的存储和传输仅包含交易所需的详细信息,仅此而已。
  • 自动化的供应商调查表: 自动评估您的第三方供应商' security.
  • 数据泄漏检测: 持续监视Web上是否有数据泄漏。
  • 凭证暴露检测: 持续监视网络中是否有泄漏的凭据。
  • 道德墙: 实施筛选机制以限制对与个人无关的PII的访问's work.
  • 权限控制和监视: 监视特权更改以及过多,不当或未使用的特权。
  • PII访问监控: 监视对包含PII的文件和数据库的访问。
  • 审计试用存档: 确保审核跟踪被安全地存档,以确保数据完整性不会受到损害。
  • 用户跟踪: 跟踪包含PII的信息系统中的用户活动。
  • 供应商访问监控: 监视承包商和第三方供应商对PII的访问,如果不需要完成其工作,则禁用其访问。
  • 网络安全等级: 衡量您的组织'要了解的网络安全等级 网络安全风险 and overall 安全态势 趋势。
  • 第三方和第四方网络安全等级: 监视您的供应商及其供应商的网络安全等级,以了解其总体安全态势如何发展以及潜在风险 网络攻击。
  • 盗版保护: 您的顾客'的PII可能会暴露于 抢注 旨在通过错别字窃取您流量的网络罪犯。

使用UpGuard保护个人身份信息(PII)

UpGuard  helps companies like 洲际交流 泰勒·弗莱 纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA保护其个人身份信息(PII),并防止数据泄漏和泄露。

UpGuard BreachSight's域名抢注模块 can reduce the 网络风险 related to 抢注,以及预防  违反 ,避免监管罚款并保护您的客户'通过网络安全等级和持续暴露检测获得信任。 

我们也可以为您提供帮助 持续监控,评估安全问卷并将其发送给您的供应商 to control 第三方风险 并改善您的安全状况,以及 自动创建清单,执行策略并检测对IT基础架构的意外更改.

UpGuard '网络风险研究已在《纽约时报》,彭博社,吉兹莫多,福布斯和《华盛顿邮报》上发表。

立即预订演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
 UpGuard 客户支持团队 UpGuard 客户支持团队 UpGuard 客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状