logo

Você protege as Informações Pessoalmente Identificáveis (PII)?

O que são informações pessoalmente identificáveis?

De alto interesse para a segurança da informação, as informações pessoalmente identificáveis (PII) são dados que podem ser usados para descobrir a identidade de uma pessoa, como por exemplo: CPF, RG, dados biométricos, nome completo, endereço de e-mail e outros. 


Esses dados são frequentemente coletados e usados para oferecer produtos e serviços personalizados aos seus clientes, mas também podem ser alvo de cibercriminosos que querem roubar, vender ou sequestrar essas informações. 


Os mercados mais maduros em relação à proteção de dados geralmente têm regulamentações abrangentes e práticas bem estabelecidas para proteger as Informações Pessoais Identificáveis (PII). Alguns desses mercados incluem a União Europeia (UE) com o Regulamento Geral de Proteção de Dados (GDPR) e os Estados Unidos com várias leis estaduais e regulamentações setoriais. Em destaque, algumas categorias comuns de PII que são consideradas sensíveis em muitos desses mercados:

 

  • Dados de Identificação Pessoal (PII): Isso inclui informações como nome, endereço, número de telefone, endereço de e-mail, data de nascimento, número de identificação governamental, como o CPF no Brasil ou o SSN nos Estados Unidos, entre outros.
  • Dados de Saúde (PHI - Protected Health Information): Informações relacionadas à saúde física ou mental de um indivíduo, geralmente protegidas por regulamentações específicas de saúde, como a HIPAA nos Estados Unidos.
  • Dados Financeiros: Informações sobre contas bancárias, cartões de crédito, histórico de transações financeiras e outros dados financeiros pessoais.
  • Dados Biométricos: Características físicas ou comportamentais únicas, como impressões digitais, retina, voz, entre outros.
  • Dados Genéticos: Informações relacionadas ao DNA e genética de um indivíduo.
  • Dados de Localização: Dados que indicam a localização física de uma pessoa em tempo real ou histórico.
  • Informações de Conta: Nomes de usuário, senhas e outras credenciais de acesso.
  • Dados Profissionais: Informações sobre a carreira profissional de um indivíduo, incluindo histórico de empregos, experiência, educação, etc.
  • Dados de Menores: Informações relacionadas a crianças e adolescentes, muitas vezes sujeitas a proteções adicionais.
  • Informações Biográficas e Demográficas: Isso inclui detalhes sobre a vida de uma pessoa, como estado civil, etnia, orientação sexual, etc.

 

Nos mercados mais maduros, as organizações geralmente são obrigadas a seguir rigorosas diretrizes e padrões para a coleta, armazenamento, processamento e compartilhamento de PII. Essas práticas visam proteger a privacidade e os direitos dos indivíduos em relação aos seus dados pessoais.


No Brasil, a Lei Geral de Proteção de Dados - LGPD define PII como "informação que permite a identificação de uma pessoa natural, direta ou indiretamente". Algumas categorias específicas de PII, conforme definido pela LGPD, incluem, mas não se limitam a:

 

  • Nome: Nome completo ou qualquer parte dele que permita a identificação da pessoa.
  • Endereço: Endereço residencial ou comercial.
  • Número de Identificação: Qualquer número que permita a identificação única da pessoa, como RG, CPF, passaporte, entre outros.
  • Dados de Contato: Números de telefone e endereço de e-mail.
  • Dados de Localização: Dados que indicam a localização física da pessoa.
  • Dados Biométricos: Características físicas ou comportamentais que podem ser usadas para identificar uma pessoa, como impressões digitais ou reconhecimento facial.
  • Dados de Saúde: Informações relacionadas à saúde física ou mental da pessoa.
  • Dados Financeiros: Informações sobre contas bancárias, cartões de crédito e transações financeiras.
  • Dados Profissionais: Informações sobre a carreira profissional da pessoa.
  • Dados de Menores: Dados de crianças e adolescentes, sujeitos a requisitos específicos de proteção.

 

É importante ressaltar que a LGPD impõe obrigações às organizações em relação ao tratamento dessas informações, incluindo a necessidade de obter consentimento adequado para o processamento, garantir a segurança dos dados e permitir que os titulares dos dados exerçam seus direitos de privacidade.


O termo "PII confidenciais" não é comumente usado em regulamentações de privacidade. No entanto, algumas regulamentações e políticas de segurança podem distinguir entre diferentes tipos de Informações Pessoais Identificáveis (PII) com base em sua sensibilidade:

 

  • PII Sensíveis (Confidenciais): Este termo é geralmente usado para se referir a informações pessoais que são consideradas particularmente sensíveis ou propensas a causar danos significativos se forem comprometidas. Exemplos comuns incluem números de Seguro Social, números de cartão de crédito, informações de saúde, dados biométricos, e assim por diante. A sensibilidade dessas informações muitas vezes é reconhecida por regulamentações de privacidade e políticas de segurança.
  • PII Não Sensíveis (Não Confidenciais): Essas são informações pessoais que, por si só, podem não ser consideradas altamente sensíveis ou propensas a causar danos significativos se forem comprometidas. Exemplos podem incluir nomes, endereços de e-mail, números de telefone e outras informações que, embora importantes, não apresentam o mesmo nível de risco à privacidade e à segurança.

 

A determinação de quais informações são consideradas sensíveis ou confidenciais muitas vezes é feita por regulamentações de privacidade, leis de proteção de dados e políticas internas de organizações. O Regulamento Geral de Proteção de Dados (GDPR) na União Europeia, a Lei Geral de Proteção de Dados (LGPD) no Brasil e leis estaduais nos Estados Unidos, como a Lei de Privacidade do Consumidor da Califórnia (CCPA), são exemplos de regulamentações que abordam diferentes categorias de informações pessoais e impõem requisitos específicos com base na sensibilidade dessas informações.


As organizações também podem criar políticas internas para classificar e proteger informações com base em sua sensibilidade, adotando medidas de segurança adicionais para PII consideradas mais confidenciais.


Por isso, é essencial que as empresas protejam as PII de forma adequada e eficiente, cumprindo as leis e normas de privacidade de dados vigentes. É importante que as empresas que lidam com esses dados implementem medidas de segurança adequadas, como criptografia, controle de acesso, monitoramento e auditoria, para proteger as PII de forma eficaz.


A ISO/IEC 27001 enfatiza a importância de identificar ativos de informação e avaliar seu valor, criticidade e sensibilidade. Isso inclui informações pessoais identificáveis (PII), entre outros ativos de informação. As organizações são incentivadas a conduzir uma análise de risco para identificar e avaliar os riscos associados à confidencialidade, integridade e disponibilidade desses ativos.


Ao lidar com PII, a norma destaca a necessidade de implementar controles apropriados de segurança da informação para proteger esses ativos. Esses controles podem incluir medidas como criptografia, controle de acesso, treinamento de pessoal e outros mecanismos para garantir a segurança e privacidade das informações.


Portanto, enquanto a ISO/IEC 27001 não classifica PII como "confidencial" ou "não confidencial" da mesma forma que algumas regulamentações específicas ou políticas organizacionais podem fazer, ela oferece uma estrutura sólida para a gestão de informações sensíveis e a implementação de controles de segurança necessários. As organizações podem, por meio de sua análise de riscos e políticas internas, determinar a sensibilidade das informações, incluindo aquelas relacionadas à PII.


como proteger as PII? 

Vamos falar dos dados não estruturados que correspondem a maior parte dos dados gerados e armazenados em qualquer ambiente operativo de empresas. Os PII podem estar nesses documentos, arquivos, serem mostrados em telas e impressos. A descoberta e classificação de dados são os primeiros passos para garantir a segurança de todos os dados sensíveis armazenados em endpoints e repositórios. Uma vez identificados, a empresa precisa criptografar e rastrear todos os arquivos sensíveis. Isso permite atender aos requisitos regulatórios e garantir que apenas usuários autorizados possam acessar dados sensíveis. Nossa solução da Fasoo pode definir o nível de sensibilidade correspondendo a padrões, termos de dicionário, expressões regulares e contexto para identificar arquivos com PII. Também pode detectar arquivos obsoletos e redundantes para reduzir o inventário desnecessário de dados. Pessoal de risco e segurança pode visualizar arquivos detectados em um console centralizado para entender o risco e determinar a disposição do arquivo. Uma vez identificados, a empresa pode optar por classificar automaticamente arquivos que contenham informações sensíveis, adicionando metadados e criptografando-os com base em seu nível de sensibilidade e classificação. Políticas de segurança dinâmicas nos arquivos criptografados determinam quem pode acessar os arquivos e se o usuário pode visualizar, editar, imprimir, compartilhar ou copiar dados do arquivo. Pessoal de risco e segurança pode auditar o acesso aos arquivos para demonstrar conformidade com políticas internas, requisitos do cliente e normas governamentais.


O Fasoo Data Radar (FDR) pode identificar e classificar arquivos contendo PII e bloquear fatores de risco antecipadamente por meio de medidas de acompanhamento, como a criptografia. Ao usar a tecnologia de marcação (tag), o FDR detecta arquivos contendo todos os tipos de dados sensíveis, não apenas PII, independentemente da localização. Arquivos que atendem aos critérios na política podem ser gerenciados de maneira eficiente. Isso estabelece uma base para identificar e gerenciar arquivos previamente desconhecidos, incluindo dados gerados em tempo real. Acima de tudo, ao descobrir, classificar, criptografar e atribuir controle de acesso a todos os dados não estruturados sensíveis, a empresa pode atender efetivamente aos requisitos de conformidade. O extenso registro e relatório no FDR permitem ao DPO e ao chefe jurídico comprovar a auditores e reguladores que a empresa gerencia eficazmente todo o PII.

Rocket Exceed TurboX e NoMachine: O Melhor do Acesso Remoto Corporativo

Por Luis Figueiredo 30 de outubro de 2024
Soluções de Acesso Remoto e Virtualização da Fiandeira Tecnologia Em um mercado onde a performance e a segurança no acesso remoto são fundamentais, a Fiandeira Tecnologia se destaca com suas plataformas Rocket Exceed TurboX e NoMachine Enterprise Desktop, superando concorrentes renomados como Microsoft Azure Virtual Desktop, VMware Horizon, e Citrix. O Rocket Exceed TurboX oferece alta performance gráfica, essencial para projetos CAD e design 3D, com baixa latência e escalabilidade para suportar milhares de usuários simultâneos, garantindo estabilidade em conexões de banda limitada. Já o NoMachine Enterprise Desktop entrega flexibilidade multiplataforma e controle total, possibilitando personalizações robustas e transições suaves entre sistemas operacionais. Imagine uma plataforma que permita o trabalho remoto em dispositivos variados, assegure alta qualidade de áudio e vídeo e suporte setores criativos e de engenharia com máxima eficiência. A Fiandeira Tecnologia oferece essas soluções com alta performance e segurança, protegendo dados sensíveis com criptografia avançada e autenticação multifatorial. Seja para operações gráficas intensivas com o Rocket Exceed TurboX ou para flexibilidade e controle com o NoMachine Enterprise Desktop, a Fiandeira Tecnologia é a escolha inteligente para ambientes corporativos. Veja como essas plataformas superam outras soluções, oferecendo melhor custo-benefício e facilidade de implementação. Rocket Exceed TurboX: Performance Gráfica Inigualável para Ambientes de Alta Demanda Alta Performance Gráfica: Ideal para aplicações CAD e design 3D, garantindo que equipes de engenharia e arquitetura trabalhem com fluidez em projetos complexos, possibilitando uma experiência visual rica e responsiva. Baixa Latência: Performance estável mesmo em conexões de banda limitada, essencial para times distribuídos. Escalabilidade: O TurboX suporta milhares de usuários simultâneos, ideal para corporações globais com operações complexas. Essa característica é crucial para empresas que necessitam de alta disponibilidade. Segurança Avançada: Com criptografia de ponta a ponta e múltiplos fatores de autenticação, atende aos padrões rigorosos de segurança corporativa. Essas características fazem do Rocket Exceed TurboX a escolha ideal para empresas que demandam alto desempenho gráfico. NoMachine Enterprise Desktop: Flexibilidade e Controle Absolutos Acesso Multiplataforma: Permite acesso remoto em Windows, macOS, Linux e dispositivos móveis, promovendo flexibilidade. Alta Personalização e Controle: As empresas podem configurar o ambiente com total granularidade, ajustando políticas de uso e integrando com a infraestrutura existente. Suporte a Áudio e Vídeo de Alta Qualidade: Ideal para usuários que precisam transferir mídia com qualidade superior. Isso é especialmente importante em setores criativos onde a qualidade do conteúdo é fundamental. Transição Suave entre Sistemas Operacionais: Facilita o gerenciamento de equipes com máquinas heterogêneas, permitindo que os funcionários trabalhem sem interrupções entre diferentes sistemas operacionais. O NoMachine Enterprise Desktop é amplamente adotado por equipes que necessitam de flexibilidade para acessar servidores e sistemas diversos sem complicações. Comparativo com Concorrentes Quando comparadas a soluções como Microsoft Azure Virtual Desktop (AVD) e VMware Horizon, as plataformas da Fiandeira Tecnologia se destacam pela facilidade de implementação e custo-benefício. O AVD é poderoso pela integração nativa com outros serviços da Microsoft; no entanto, não é otimizado para aplicações gráficas intensivas como o Rocket Exceed TurboX. Isso torna o AVD mais adequado para fluxos de trabalho tradicionais de escritório. O VMware Horizon e o Citrix Virtual Apps and Desktops oferecem grande escalabilidade e são altamente reconhecidas no mercado. Contudo, ambas apresentam custos elevados e maior complexidade na configuração em comparação ao NoMachine Enterprise Desktop. O Rocket Exceed TurboX simplifica a integração com menos necessidade de hardware adicional, oferecendo uma solução mais econômica sem comprometer o desempenho.  Soluções como TSplus, TeamViewer Remote e AnyDesk são populares para acesso remoto, mas apresentam limitações técnicas significativas. Embora funcionem bem para pequenas e médias empresas, não possuem a escalabilidade necessária nem a capacidade de lidar com workloads gráficos intensivos como o Rocket Exceed TurboX. Segurança: A Base das Soluções Fiandeira Com soluções que integram criptografia avançada e autenticação multifatorial, a Fiandeira se destaca frente a concorrentes que oferecem segurança básica, mas insuficiente para ambientes corporativos. Casos de Uso: Soluções para Desempenho e Flexibilidade Reais Empresas de design gráfico e equipes de desenvolvimento se beneficiam da performance gráfica do Rocket Exceed TurboX e da flexibilidade do NoMachine Enterprise Desktop, permitindo uma colaboração eficiente e o uso de servidores Linux sem interrupções. Conclusão: Fiandeira Tecnologia como Referência em Acesso Remoto e Virtualização A Fiandeira Tecnologia oferece uma combinação de segurança, performance e flexibilidade sem precedentes no mercado de virtualização. Escolher o Rocket Exceed TurboX ou o NoMachine Enterprise Desktop é garantir eficiência e retorno sobre investimento em um ambiente corporativo dinâmico.

Data Security Platform: Proteção de Dados Não Estruturados com Zero Trust

Por Luis Figueiredo 15 de agosto de 2024
Descubra como uma Data Security Platform (DSP) protege seus dados não estruturados com Zero Trust, garantindo segurança, conformidade e gestão eficiente
Prédios com linhas em neon, pessoas entrando e saindo deles e um outdoor mostrando um cadeado.

O fator humano na segurança cibernética: está preparado?

Por Fiandeira Tecnologia 13 de junho de 2024
A segurança cibernética enfrenta desafios crescentes com a digitalização e o trabalho remoto. Erros humanos são responsáveis por muitos incidentes, causando altos custos. Conscientização e treinamento contínuos são essenciais para fortalecer a segurança.
Share by: