Como funcionam os Dados pessoais identificáveis (PII)

O que são PII

Dados pessoais identificáveis (PII) são dados importantes para sua empresa, pois permitem gerenciar identidades digitais. PII incluem dados que podem identificar uma pessoa, como número de CPF, datas ou locais de nascimento. O manuseio inadequado de PII pode levar ao roubo de identidade, afetando seus usuários ou clientes. Isso também pode resultar em multas significativas e danos à reputação da sua organização.

Muito provavelmente, evitar completamente o processamento de PII não é uma opção viável para sua organização. Em vez disso, ela precisa de práticas e sistemas adequados para garantir o manuseio correto de PII. Neste artigo, analisaremos mais detalhadamente os PII. Examinaremos as leis de proteção de dados relevantes, consideraremos as ameaças comuns aos PII e forneceremos orientações sobre como sua organização pode adotar medidas de proteção.

O que são PII?

PII engloba quaisquer dados que possam ser usados para identificar especificamente um indivíduo. Esses dados são categorizados em dois tipos: identificadores diretos e indiretos.

Identificadores diretos podem identificar explicitamente uma pessoa. Eles incluem dados como:

• Números de CPF.
• Números de passaporte.
• Números de carteira de motorista.

Esses identificadores são geralmente exclusivos de cada indivíduo. Dessa forma, podem revelar diretamente a identidade de uma pessoa sem a necessidade de qualquer contexto adicional.

Por outro lado, os identificadores indiretos podem não identificar uma pessoa por si só, mas podem fazê-lo quando combinados com outros dados. Por exemplo, considere uma data de nascimento e um local de nascimento. Individualmente, esses identificadores indiretos podem não ser suficientes para revelar a identidade de uma pessoa. No entanto, quando interligados, eles podem.

Expandindo esses conceitos, é importante entender que dados que não são PII também podem se tornar PII, dependendo do contexto de uso ou se forem agregados a outras informações. Por exemplo, sabemos que um código postal por si só pode não ser considerado PI. No entanto, a combinação do código postal com o cargo e o empregador de um indivíduo pode restringir as identidades, principalmente em áreas menos populosas.

Estruturas jurídica e regulatória

O gerenciamento e o tratamento de PII são regidos por diversas leis e regulamentações importantes de privacidade de dados que visam proteger a privacidade individual. Seguem abaixo um resumo das regulamentações mais importantes:

O Regulamento Geral de Proteção de Dados (GDPR) na União Europeia (UE) é uma das leis de privacidade de dados mais rigorosas do mundo. Ela impõe obrigações a organizações em qualquer lugar do mundo, desde que estas tenham como alvo ou coletem dados relacionados a residentes da UE. O GDPR enfatiza a transparência, a segurança e a responsabilização de todas as entidades que processam esses dados, ao mesmo tempo que concede aos indivíduos direitos significativos sobre os próprios dados.

Semelhante ao GDPR, a Lei de Privacidade do Consumidor da Califórnia (CCPA) concede aos residentes da Califórnia direitos específicos sobre seus dados:

• O direito de saber quais dados pessoais estão sendo coletados sobre eles.
• O direito de solicitar a eliminação dos seus dados.
• O direito de optar por não permitir a venda de suas informações pessoais.

A CCPA também exige que as empresas protejam os dados dos californianos com medidas de segurança razoáveis.

Por fim, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) nos Estados Unidos protege todas as "informações de saúde individualmente identificáveis" mantidas ou transmitidas pelas entidades abrangidas ou seus parceiros comerciais. Esta lei exige a proteção e o tratamento confidencial das informações de saúde protegidas.

O descumprimento dessas leis pode acarretar penalidades severas. As organizações podem enfrentar repercussões legais, multas e danos à reputação da empresa. Se a sua organização lida com PII, você precisa entender essas regulamentações e implementar as políticas e os procedimentos necessários para garantir a conformidade com elas.

Ameaças aos PII

Os ciberataques atuais ameaçam a segurança dos PII da sua organização. Compreender essas ameaças é importante para que sua organização possa implementar medidas de segurança eficazes. As ameaças comuns aos PII incluem:

• Comprometimentos de dados: quando dados sensíveis, protegidos ou confidenciais são acessados ou divulgados sem autorização. Esses comprometimentos de dados podem ser resultado de ciberataques sofisticados ou podem simplesmente decorrer de erros humanos. No entanto, o impacto de um comprometimento de dados pode ser incrivelmente abrangente, causando danos financeiros e de reputação significativos.
• Ataques de phishing: tentativas enganosas — geralmente realizadas por e-mail — de obter informações confidenciais fingindo ser uma entidade confiável. Muitas vezes, o objetivo de um ataque de phishing é extrair PII como nomes de usuário, senhas ou dados de cartão de crédito. Phishing é um dos métodos mais comuns usados por invasores para coletar PII para fins maliciosos.

Malware: qualquer software desenvolvido intencionalmente para danificar um computador, servidor, cliente ou rede de computadores. Ao infectar um sistema com malware, os cibercriminosos podem causar danos subsequentes, como roubo de PII, bloqueio de usuários legítimos ou outras ações prejudiciais.

Práticas recomendadas para proteger PII

Sua organização deve implementar as seguintes práticas recomendadas de proteção de dados para proteger PII contra as ciberameaças mencionadas acima e outras.

Minimização de dados

Colete apenas os dados necessários para a finalidade pretendida. Se você não tem um bom motivo para coletar determinados dados, não o faça Quanto menos informações sensíveis você processar, menor será o risco de uma exposição acidental. Além disso, isso mantém sua pegada de conformidade a menor possível, simplificando a tarefa de cumprir as regulamentações de proteção de dados.

Anonimização e pseudonimização de dados

Sempre que possível, anonimize ou pseudonimize os dados para aumentar a privacidade. A anonimização, também conhecida como desidentificação, envolve a remoção de elementos que permitam a identificação pessoal dos dados. Isso torna impossível identificar o indivíduo sem informações adicionais.

A pseudonimização substitui identificadores por rótulos fictícios. Isso permite que os dados sejam processados sem revelar identidades pessoais.

Criptografia

Use criptografia para proteger os dados em repouso, em trânsito e em uso. Ao fazer isso, você garante que os dados permaneçam ilegíveis para qualquer pessoa que não tenha a chave de descriptografia adequada, caso sejam interceptados.

Armazenamento seguro

Utilize soluções de armazenamento seguras, como bancos de dados seguros ou buckets de armazenamento em nuvem, para proteger os dados contra acessos não autorizados e ataques. Certifique-se de que essas soluções de armazenamento estejam protegidas com controles de acesso adequados.

Auditorias de segurança regulares

Realize auditorias de segurança e avaliações de vulnerabilidade regulares para identificar e mitigar possíveis falhas de segurança no sistema.

Adotar essas práticas ajuda a garantir que seus PII estejam protegidos contra acesso não autorizado e uso indevido. Isso reduzirá o risco de comprometimentos de dados e ajudará você a cumprir as leis de privacidade.

Abordagem de proteção de PII da CrowdStrike

Neste artigo, abordamos os PII, as regulamentações que regem a proteção deles e as ameaças que eles enfrentam. Também analisamos as práticas recomendadas para a proteção de PII em sua organização. 

O CrowdStrike Falcon® Data Protection oferece monitoramento contínuo e visibilidade em tempo real dos dados confidenciais em suas aplicações e sistemas nativos em nuvem. Isso ajuda a rastrear onde os PII estão armazenados e como estão sendo acessados em toda a sua organização. Como uma plataforma nativa de IA que oferece segurança contínua, o CrowdStrike Falcon® Data Protection aplica políticas de segurança de dados dinamicamente, ajustando suas medidas de proteção conforme novas ameaças são detectadas ou conforme os dados se movem dentro da rede.