logo

Você protege as Informações Pessoalmente Identificáveis (PII)?

O que são as PII?

De alto interesse para a segurança da informação, as informações pessoalmente identificáveis (PII) são dados que podem ser usados para descobrir a identidade de uma pessoa, como por exemplo: CPF, RG, dados biométricos, nome completo, endereço de e-mail e outros. 


Esses dados são frequentemente coletados e usados pelas empresas para oferecer produtos e serviços personalizados aos seus clientes, mas também podem ser alvo de cibercriminosos que querem roubar, vender ou sequestrar essas informações.  


Os mercados mais maduros em relação à proteção de dados geralmente têm regulamentações abrangentes e práticas bem estabelecidas para proteger as Informações Pessoais Identificáveis (PII). Alguns desses mercados incluem a União Europeia (UE) com o Regulamento Geral de Proteção de Dados (GDPR) e os Estados Unidos com várias leis estaduais e regulamentações setoriais. Em destaque, algumas categorias comuns de PII que são consideradas sensíveis em muitos desses mercados:

 

  1. Dados de Identificação Pessoal (PII): Isso inclui informações como nome, endereço, número de telefone, endereço de e-mail, data de nascimento, número de identificação governamental, como o CPF no Brasil ou o SSN nos Estados Unidos, entre outros.
  2. Dados de Saúde (PHI - Protected Health Information): Informações relacionadas à saúde física ou mental de um indivíduo, geralmente protegidas por regulamentações específicas de saúde, como a HIPAA nos Estados Unidos.
  3. Dados Financeiros: Informações sobre contas bancárias, cartões de crédito, histórico de transações financeiras e outros dados financeiros pessoais.
  4. Dados Biométricos: Características físicas ou comportamentais únicas, como impressões digitais, retina, voz, entre outros.
  5. Dados Genéticos: Informações relacionadas ao DNA e genética de um indivíduo.
  6. Dados de Localização: Dados que indicam a localização física de uma pessoa em tempo real ou histórico.
  7. Informações de Conta: Nomes de usuário, senhas e outras credenciais de acesso.
  8. Dados Profissionais: Informações sobre a carreira profissional de um indivíduo, incluindo histórico de empregos, experiência, educação, etc.
  9. Dados de Menores: Informações relacionadas a crianças e adolescentes, muitas vezes sujeitas a proteções adicionais.
  10. Informações Biográficas e Demográficas: Isso inclui detalhes sobre a vida de uma pessoa, como estado civil, etnia, orientação sexual, etc.

 

Nos mercados mais maduros, as organizações geralmente são obrigadas a seguir rigorosas diretrizes e padrões para a coleta, armazenamento, processamento e compartilhamento de PII. Essas práticas visam proteger a privacidade e os direitos dos indivíduos em relação aos seus dados pessoais.


No Brasil, a Lei Geral de Proteção de Dados - LGPD define PII como "informação que permite a identificação de uma pessoa natural, direta ou indiretamente". Algumas categorias específicas de PII, conforme definido pela LGPD, incluem, mas não se limitam a:

 

  1. Nome: Nome completo ou qualquer parte dele que permita a identificação da pessoa.
  2. Endereço: Endereço residencial ou comercial.
  3. Número de Identificação: Qualquer número que permita a identificação única da pessoa, como RG, CPF, passaporte, entre outros.
  4. Dados de Contato: Números de telefone e endereço de e-mail.
  5. Dados de Localização: Dados que indicam a localização física da pessoa.
  6. Dados Biométricos: Características físicas ou comportamentais que podem ser usadas para identificar uma pessoa, como impressões digitais ou reconhecimento facial.
  7. Dados de Saúde: Informações relacionadas à saúde física ou mental da pessoa.
  8. Dados Financeiros: Informações sobre contas bancárias, cartões de crédito e transações financeiras.
  9. Dados Profissionais: Informações sobre a carreira profissional da pessoa.
  10. Dados de Menores: Dados de crianças e adolescentes, sujeitos a requisitos específicos de proteção.

 

É importante ressaltar que a LGPD impõe obrigações às organizações em relação ao tratamento dessas informações, incluindo a necessidade de obter consentimento adequado para o processamento, garantir a segurança dos dados e permitir que os titulares dos dados exerçam seus direitos de privacidade.


O termo "PII confidenciais" não é comumente usado em regulamentações de privacidade. No entanto, algumas regulamentações e políticas de segurança podem distinguir entre diferentes tipos de Informações Pessoais Identificáveis (PII) com base em sua sensibilidade. Vamos abordar a distinção entre PII sensíveis e não sensíveis.

 

  1. PII Sensíveis (Confidenciais): Este termo é geralmente usado para se referir a informações pessoais que são consideradas particularmente sensíveis ou propensas a causar danos significativos se forem comprometidas. Exemplos comuns incluem números de Seguro Social, números de cartão de crédito, informações de saúde, dados biométricos, e assim por diante. A sensibilidade dessas informações muitas vezes é reconhecida por regulamentações de privacidade e políticas de segurança.
  2. PII Não Sensíveis (Não Confidenciais): Essas são informações pessoais que, por si só, podem não ser consideradas altamente sensíveis ou propensas a causar danos significativos se forem comprometidas. Exemplos podem incluir nomes, endereços de e-mail, números de telefone e outras informações que, embora importantes, não apresentam o mesmo nível de risco à privacidade e à segurança.

 

A determinação de quais informações são consideradas sensíveis ou confidenciais muitas vezes é feita por regulamentações de privacidade, leis de proteção de dados e políticas internas de organizações. O Regulamento Geral de Proteção de Dados (GDPR) na União Europeia, a Lei Geral de Proteção de Dados (LGPD) no Brasil e leis estaduais nos Estados Unidos, como a Lei de Privacidade do Consumidor da Califórnia (CCPA), são exemplos de regulamentações que abordam diferentes categorias de informações pessoais e impõem requisitos específicos com base na sensibilidade dessas informações.


As organizações também podem criar políticas internas para classificar e proteger informações com base em sua sensibilidade, adotando medidas de segurança adicionais para PII consideradas mais confidenciais.


Por isso, é essencial que as empresas protejam as PII de forma adequada e eficiente, cumprindo as leis e normas de privacidade de dados vigentes. É importante que as empresas que lidam com esses dados implementem medidas de segurança adequadas, como criptografia, controle de acesso, monitoramento e auditoria, para proteger as PII de forma eficaz.


A ISO/IEC 27001 enfatiza a importância de identificar ativos de informação e avaliar seu valor, criticidade e sensibilidade. Isso inclui informações pessoais identificáveis (PII), entre outros ativos de informação. As organizações são incentivadas a conduzir uma análise de risco para identificar e avaliar os riscos associados à confidencialidade, integridade e disponibilidade desses ativos.


Ao lidar com PII, a norma destaca a necessidade de implementar controles apropriados de segurança da informação para proteger esses ativos. Esses controles podem incluir medidas como criptografia, controle de acesso, treinamento de pessoal e outros mecanismos para garantir a segurança e privacidade das informações.


Portanto, enquanto a ISO/IEC 27001 não classifica PII como "confidencial" ou "não confidencial" da mesma forma que algumas regulamentações específicas ou políticas organizacionais podem fazer, ela oferece uma estrutura sólida para a gestão de informações sensíveis e a implementação de controles de segurança necessários. As organizações podem, por meio de sua análise de riscos e políticas internas, determinar a sensibilidade das informações, incluindo aquelas relacionadas à PII.


Como você pode proteger as PII?  

Vamos falar dos dados não estruturados que correspondem a maior parte dos dados gerados e armazenados em qualquer ambiente operativo de empresas. Os PII podem estar nesses documentos, arquivos, serem mostrados em telas e impressos. A descoberta e classificação de dados são os primeiros passos para garantir a segurança de todos os dados sensíveis armazenados em endpoints e repositórios. Uma vez identificados, a empresa precisa criptografar e rastrear todos os arquivos sensíveis. Isso permite atender aos requisitos regulatórios e garantir que apenas usuários autorizados possam acessar dados sensíveis. Nossa solução da Fasoo pode definir o nível de sensibilidade correspondendo a padrões, termos de dicionário, expressões regulares e contexto para identificar arquivos com PII. Também pode detectar arquivos obsoletos e redundantes para reduzir o inventário desnecessário de dados. Pessoal de risco e segurança pode visualizar arquivos detectados em um console centralizado para entender o risco e determinar a disposição do arquivo. Uma vez identificados, a empresa pode optar por classificar automaticamente arquivos que contenham informações sensíveis, adicionando metadados e criptografando-os com base em seu nível de sensibilidade e classificação. Políticas de segurança dinâmicas nos arquivos criptografados determinam quem pode acessar os arquivos e se o usuário pode visualizar, editar, imprimir, compartilhar ou copiar dados do arquivo. Pessoal de risco e segurança pode auditar o acesso aos arquivos para demonstrar conformidade com políticas internas, requisitos do cliente e normas governamentais.


O Fasoo Data Radar (FDR) pode identificar e classificar arquivos contendo PII e bloquear fatores de risco antecipadamente por meio de medidas de acompanhamento, como a criptografia. Ao usar a tecnologia de marcação (tag), o FDR detecta arquivos contendo todos os tipos de dados sensíveis, não apenas PII, independentemente da localização. Arquivos que atendem aos critérios na política podem ser gerenciados de maneira eficiente. Isso estabelece uma base para identificar e gerenciar arquivos previamente desconhecidos, incluindo dados gerados em tempo real. Acima de tudo, ao descobrir, classificar, criptografar e atribuir controle de acesso a todos os dados não estruturados sensíveis, a empresa pode atender efetivamente aos requisitos de conformidade. O extenso registro e relatório no FDR permitem ao DPO e ao chefe jurídico comprovar a auditores e reguladores que a empresa gerencia eficazmente todo o PII.

A criptografia é essencial para a proteção de dados

30 abr., 2024
Criptografia: Protegendo Seus Dados com Eficiência

Olhando para o Futuro da Cibersegurança com o Gartner

Por Luis Figueiredo 28 mar., 2024
Previsões e Tendências Fascinantes do Gartner para a Cibersegurança
Formas geométricas em cores neon representando dados não estruturados protegidos por uma caixa forte

Dados não estruturados: como gerenciar e blindar as informações mais valiosas de sua empresa

Por Luis Figueiredo 14 fev., 2024
Os dados não estruturados representam cerca de 80% do volume total de dados gerados globalmente e muitas vezes contêm informações sensíveis que precisam ser protegidas
Share by: