博客
什么是个人身份信息(PII)?

什么是个人身份信息(PII)?

 摘要形状  摘要形状

个人身份信息(PII)是可以识别特定个人的数据。可用于区分个人的信息'S来自另一个或用于Deanynyizy匿名数据的S身份也被认为是pii。

虽然PII有几个正式定义,但将其视为可根据自己或其他信息使用的任何信息,以识别,联系或找到特定人员。

通过了解PII的概念,您的组织将理解如何使用 信息安全 正确存储,处理和管理PII数据。在大多数司法管辖区内,必须使用额外的安全要求和许多行业具有法律或合规性要求的保护。

组织可以't保护pii他们不 '知道。在本文中,我们涵盖了PII和尽可能多的PII来源的广泛定义(例如,数据库,共享网络驱动器,备份磁带和备用磁带 第三方风险 and 第四方风险 that stem from  供应商 )。

谁负责保护个人身份信息(PII)?

从法律角度来看,保护PII的责任可能是无责任成为组织的唯一责任。通常,责任与持有PII和数据的个人所有者的组织共享。  

那说,虽然你可能不会有法律负责。大多数消费者认为,您有责任保护其个人数据。这意味着即使您的组织没有法律责任,您也可能遭受声誉损害。鉴于此,它'普遍接受最好的练习来保护PII。

不断增加的发生  数据违规  涉及个人可识别的信息(PII)有贡献数十亿美元的股东亏损,数百万美元的监管罚款以及对个人的身份盗窃风险增加's whose 敏感数据  was exposed.  数据违规  对个人和组织有害:

  • 个人伤害: 身份盗窃,尴尬或勒索。
  • 组织危害: 公共信任,法律责任,减少企业价值,闭幕或修复成本的丧失。

为了保护PII的机密性,组织需要使用 网络安全风险评估第三方风险管理供应商风险管理 and 信息风险管理。如果我们保护我们的公共信息和敏感信息,具有平等的热情,我们'LL揭示了较少的公共信息和更敏感的数据。组织需要有一种基于风险的方法来保护 机密性,完整性和可访问性(CIA Triad) 它及其客户's PII. 

最大限度地减少个人身份信息(PII)的使用,收集和保留

当组织最小化他们使用的PII量,收集和存储时,通过涉及PII的数据违规造成的伤害的可能性。您的组织必须最小化其对PII的请求只能为绝对必要的。它还应定期查看它所拥有的个人信息以及个人数据是否仍然有关和必要。

一般来说:

  • 审查目前PII的持股,确保它准确,相关,及时,完整。
  • 将PII控股降低到运行所需的最小值。
  • 定期审查PII控股。
  • 建立计划,以消除任何不必要的收集和使用PII。

如何对个人身份信息进行分类(PII)

与任何形式的数据一样,并非所有的pii都相同。应通过确定其PII机密性影响水平来评估PII。 

PII机密性冲击级别范围从低,中等或高点表示可能导致个人或组织的潜在伤害,如果访问或披露数据。 

每个组织都需要决定它将用于确定影响级别的哪些因素,然后创建和运行适当的策略,程序和控件。也就是说,有六种普遍因素:

  1. 可识别性: PII可以使用多么容易识别特定个人?
  2. PII的数量: 有多少人将在数据泄露中暴露? 
  3. 数据字段灵敏度: 每个PII数据元素有多敏感?
  4. 使用背景: 如何收集,存储,使用,处理,披露或传播的PII如何?
  5. 保护保密的义务: 您的组织是否有任何法律或监管义务来保护PII?义务包括法律,法规或其他任务,如隐私法,一般数据保护条例(GDPR),健康保险便携性和问责法(HIPAA)和OMB指导
  6. 访问和位置PII: 谁可以访问PII,他们可以从哪里访问它?

如何保护个人身份信息(PII)

并非所有数据都应该以相同的方式保护。组织必须根据其在其机密性影响水平中对PII分类的方式来保护PII的适当保障措施以保护PII的机密性。 

一些PII甚至没有受到保护。想象一下,您的组织操作了一个公用电话目录,允许水管器分享他们的电话号码。在这种情况下,不需要保护PII(电话号码),因为您的组织有权公开释放它。 

对于您需要保护的敏感PII,您应该使用操作,隐私特定和  网络安全  controls such as:

  • 政策与程序: 制定综合政策和程序,以保护PII的机密性。
  • 训练:  通过要求所有员工获得适当的培训,减少未经授权的访问,使用或披露的可能性在授予包含PII的信息技术之前,所有员工都会获得适当的培训。

什么隐私法与个人身份信息(PII)有关?

在大多数国家和地区的立法中存在PII:

  1. 美国: 国家标准与技术研究所(NIST) 保护个人身份信息的机密性指南 将PII定义为有关由机构维护的个人的任何信息,包括可用于区分或追踪个人的任何信息'S识别,如姓名,社会安全号码,出生日期和出生地,母亲's maiden name, or 生物统计学  记录;以及任何与其他信息相关联或互联的信息,例如受保护的健康信息,教育,财务和就业信息。  
  2. 欧洲联盟: 指令95/46 / EC将个人数据定义为信息,可以识别诸如身体,生理,精神,经济,文化或社会形式的身份证号码或因素等人。
  3. 澳大利亚:  1988年隐私法规定了一些称为信息隐私原则(IPP)的隐私权。这些原则决定了澳大利亚政府和企业如何收集PII。它还要求澳大利亚人有权知道为什么收集有关他们的信息,并谁将看到信息。
  4. 新西兰:  隐私法控制组织如何收集,使用,披露,存储和访问个人信息。他们对PII的定义是有关可识别,生活人士的信息。
  5. 英国: 2018年数据保护法是英国'S一般数据保护规范的实施(GDPR)。它决定了PII必须公平,合法地透明地使用; 对于指定,明确的目的;以足够的方式,相关和仅限于必要的方式;准确,必要时,保持最新;不再是必要并以确保适当的安全性的方式处理,包括防止非法或未授权的处理,访问,丢失,破坏或损坏。
  6. 加拿大:  个人信息保护和电子文件法(Pipeda) 确保组织必须获得个人'同意收集,使用或披露PII。

什么是个人身份信息(PII)?

PII的例子包括但不限于:

  • 名称:  全名,娘家姓,母亲'S少女姓名或别名。
  • 个人身份证号码: 社会安全号码(SSN),护照号码,司机'S许可证号,纳税人识别号码,财务帐号,银行帐号或信用卡号码。
  • 地址信息: 街道地址,工作地址或电子邮件地址。
  • 人物的特征: 摄影图像(尤其是面部或其他识别特性),指纹,手写,视网膜扫描,语音签名,面部几何或其他生物识别数据。
  • 链接或可链接信息: 与上述类别之一相关的信息,如出生日期,出生地,种族,宗教,IP地址,电话号码,社交媒体,政治观点,重量,活动,地理指标,就业信息,医疗信息,教育信息,财务信息或任何其他独特的标识符。

什么是常见的个人身份信息(PII)安全控制?

  • 配置管理: pii最常见的方式之一是通过a  数据泄漏  由亚马逊这样的云存储平台配置不良引起的's S3, check your  S3安全  permissions or 别人会。
  • 数据丢失预防系统跟踪组织中的敏感数据传输,并识别可能提出数据泄露的模式。
  • 数据屏蔽:  仅存储和传输数据,只能使用事务所需的详细信息而传输。
  • 自动供应商问卷: 自动评估您的第三方供应商' security.
  • 数据泄漏检测: 连续监控Web进行数据泄漏。
  • 凭证曝光检测: 连续监控Web进行泄露的凭据。
  • 道德墙: 实施筛选机制,以限制对与个体无关的PII的访问's work.
  • 特权控制和监控: 监控权限更改和过度,不合适或未使用的权限。
  • PII访问监控: 监视对包含PII的文件和数据库的访问权限。
  • 审计试验归档: 确保审计跟踪牢固存档以确保数据完整性不会受到损害。
  • 用户跟踪: 跟踪包含PII的信息系统中的用户活动。
  • 供应商访问监控: 监控承包商和第三方供应商访问PII并在不需要完成其工作时禁用他们的访问权限。
  • 网络安全评级: 衡量您的组织'S网络安全评级了解 网络安全风险 and overall 安全姿势 is trending.
  • 第三和第四派对网络安全评级: 监控您的供应商及其供应商网络安全评级,以了解其整体安全姿势的趋势以及其暴露于潜力 网络攻击。
  • typosquatting. 保护: 你的客户'可以通过露出PII  typosquatting.  旨在通过拼写错误窃取您的交通的网络罪犯。

使用Upguard保护个人身份信息(PII)

upguard. helps companies like 洲际交流 泰勒炒 纽约证券交易所,IAG,第一州超级,Akamai,Morningstar和NASA保护他们个人身份的信息(PII)并防止数据泄漏和违规。

upguard. BreachSight's typosquatting模块 can reduce the  网络风险  related to  typosquatting. ,以及预防  违规 ,避免监管罚款并保护您的客户'通过网络安全评级和连续曝光检测来信任。 

我们也可以帮助您 不断监控,利率和向供应商发送安全问卷 to control 第三方风险 并提高您的安全姿势,以及 自动创建库存,实施策略,并检测IT基础架构的意外更改.

upguard.'纽约时报,彭博,Gizmodo,Forbes和华盛顿邮政中,Cyber​​ Risk Research已经出现。

今天预订演示。

自由

upguard. logo in white
upguard. free resources available for download
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
upguard. logo in white
电子书,报告& Whitepapers
upguard. free resources available for download
upguard. customer support teamupguard. customer support teamupguard. customer support team

见上upguard

通过我们的网络安全专家预订免费,个性化的船上呼叫。
 摘要形状  摘要形状

相关文章

了解有关网络安全中最新问题的更多信息。
 提供图标

注册我们的时事通讯

每周获取您收件箱中的最新策划网络安全新闻,违反,活动和更新。
 摘要形状  摘要形状
免费即时安全分数

您的组织有多安全?

请求免费网络安全报告以发现您的网站,电子邮件,网络和品牌的关键风险。
  •  检查图标
    即时洞察力您可以立即采取行动
  •  检查图标
    数百个风险因素,包括电子邮件安全,SSL,DNS健康,开放式端口和常见漏洞
网站安全扫描结果网站安全扫描评级 摘要形状
发布时间: 2021-05-11 03:37:49

最近发表