اطلاعات قابل شناسایی شخصی (PII) چیست؟

اطلاعات قابل شناسایی شخصی (PII) چیست؟

اطلاعات شناسایی شخصی (PII) هر داده ای است که به طور بالقوه می تواند یک فرد خاص را شناسایی کند. هر اطلاعاتی که می تواند برای متمایز کردن یک شخص از فرد دیگر مورد استفاده قرار گیرد و بتوان از آن برای بی نام کردن داده های ناشناس قبلی استفاده کرد، PII در نظر گرفته می شود.

PII ممکن است به تنهایی یا همراه با سایر داده‌های مرتبط برای شناسایی یک فرد مورد استفاده قرار گیرد و ممکن است از شناسه‌های مستقیم مانند اطلاعات پاسپورت استفاده شود که می‌تواند شخص را منحصراً شناسایی کند یا شبه شناسه‌هایی مانند نژاد که می‌تواند با شبه دیگر ترکیب شود. شناسه ها، مانند تاریخ تولد، برای شناسایی موفقیت آمیز یک فرد.

 

پیشنهاد نویسنده:‌ خواندن مقاله ی “درک PII در شرایط خدمات Google” نیز به شما توصیه می شود.

 

 

اطلاعات قابل شناسایی شخصی (PII) چیست؟

چرا PII باید ایمن باشد؟

حفاظت از PII برای حریم خصوصی شخصی، حریم خصوصی داده ها، حفاظت از داده ها، حریم خصوصی اطلاعات و امنیت اطلاعات ضروری است. تنها با چند بیت از اطلاعات شخصی یک فرد، سارقان می توانند حساب های جعلی به نام فرد ایجاد کنند، بدهی داشته باشند، پاسپورت جعلی ایجاد کنند یا هویت یک فرد را به یک مجرم بفروشند.

از آنجایی که داده‌های شخصی افراد روزانه ثبت، ردیابی و استفاده می‌شود – مانند اسکن‌های بیومتریک با اثر انگشت و سیستم‌های تشخیص چهره که برای باز کردن قفل دستگاه‌ها استفاده می‌شود – حفاظت از هویت افراد و هر گونه اطلاعات شناسایی منحصر به فرد برای آنها ضروری است.

 

چه چیزی PII در نظر گرفته می شود؟

هر اطلاعاتی که بتواند افراد را به‌عنوان فردی مجزا از سایرین شناسایی کند، PII است. ممکن است شامل موارد زیر باشد:

• نام
• نشانی
• پست الکترونیک
• شماره تلفن
• تاریخ تولد
• شماره پاسپورت
• اثر انگشت
• شماره گواهینامه رانندگی
• شماره کارت اعتباری یا نقدی
• شماره تامین اجتماعی

تعاریف PII متفاوت است. به گفته اداره خدمات عمومی ایالات متحده (GSA)، “تعریف PII به هیچ دسته ای از اطلاعات یا فناوری متصل نیست. بلکه نیاز به ارزیابی مورد به مورد خطر خاصی دارد که یک فرد را می توان شناسایی کرد.” در انجام این ارزیابی، برای یک آژانس مهم است که تشخیص دهد هر زمان که اطلاعات اضافی در دسترس عموم قرار گیرد – در هر رسانه و از هر منبع – که با سایر اطلاعات موجود ترکیب شود، می‌تواند به PII تبدیل شود. برای شناسایی یک فرد.”

اگرچه تعریف حقوقی PII ممکن است از حوزه قضایی به حوزه قضایی دیگر و از ایالتی به ایالت دیگر متفاوت باشد، این اصطلاح معمولاً به اطلاعاتی اشاره دارد که می تواند برای تشخیص یا ردیابی هویت یک فرد، به تنهایی یا در ترکیب با سایر اطلاعات شخصی یا هویتی مرتبط استفاده شود.

وزارت انرژی (DOE) PII را اینگونه تعریف می کند: “هر گونه اطلاعات جمع آوری یا نگهداری شده توسط این بخش در مورد یک فرد، شامل تحصیلات، تراکنش های مالی، سابقه پزشکی و سابقه جنایی یا شغلی، و اطلاعاتی که می تواند مورد استفاده قرار گیرد. شناسایی یا ردیابی هویت یک فرد، مانند نام، شماره تامین اجتماعی، تاریخ و محل تولد، نام دختر مادر، داده‌های بیومتریک، و شامل هر گونه اطلاعات شخصی دیگری که به یک فرد خاص مرتبط یا قابل پیوند است.”

این اطلاعات شامل نمونه های بیشتری از مواردی است که می تواند PPI در نظر گرفته شود و بسته به میزان آسیب، شرمساری یا ناراحتی که برای فرد یا سازمان ایجاد می کند، “در صورت گم شدن، به خطر افتادن یا افشای اطلاعات”، می تواند حساس تر باشد.

 

PII حساس چیست و چه تفاوتی با نوع غیر حساس آن دارد؟

PII می تواند حساس یا غیر حساس باشد. PII غیر حساس اطلاعاتی است که می تواند به صورت رمزگذاری نشده بدون آسیب رساندن به فرد منتقل شود. PII غیر حساس را می توان به راحتی از سوابق عمومی، دفترچه تلفن، فهرست راهنمای شرکت ها و وب سایت ها جمع آوری کرد. این ممکن است شامل اطلاعاتی مانند کد پستی، نژاد، جنسیت، تاریخ تولد و مذهب باشد — اطلاعاتی که به خودی خود نمی توانند برای تشخیص هویت فرد مورد استفاده قرار گیرند.
PII حساس به اطلاعاتی گفته می‌شود که در صورت فاش شدن، ممکن است در صورت وقوع نقض داده، به فرد آسیب برساند. این نوع داده های حساس اغلب دارای الزامات قانونی، قراردادی یا اخلاقی برای افشای محدود هستند.

بنابراین PII حساس باید در هنگام انتقال و زمانی که داده ها در حالت استراحت هستند رمزگذاری شوند. چنین اطلاعاتی شامل داده‌های بیومتریک، اطلاعات پزشکی تحت پوشش قوانین مسئولیت‌پذیری و مسئولیت‌پذیری بیمه سلامت (HIPAA)، اطلاعات مالی قابل شناسایی شخصی (PIFI) و شناسه‌های منحصربه‌فرد مانند شماره پاسپورت یا تامین اجتماعی است.

سوابق پرسنل کارکنان؛ اطلاعات مالیاتی، از جمله شماره تامین اجتماعی و شماره شناسایی کارفرما (EIN)؛ اطلاعات رمز عبور؛ شماره کارت اعتباری؛ حساب های بانکی؛ اطلاعات حساب الکترونیکی و دیجیتالی، مانند آدرس ایمیل و شماره حساب اینترنتی؛ و شماره های شناسایی مدرسه و سوابق نیز در لیست PII حساس هستند.

 

PII چگونه در سرقت هویت استفاده می شود؟

تعدادی از خرده‌فروشان، سازمان‌های مرتبط با سلامت، مؤسسات مالی – از جمله بانک‌ها و آژانس‌های گزارش‌دهی اعتباری – و آژانس‌های فدرال، مانند دفتر مدیریت پرسنل (OPM) و وزارت امنیت داخلی (DHS)، نقض داده‌ها را تجربه کرده‌اند. که PII افراد را در معرض خطر قرار می دهد و آنها را به طور بالقوه در برابر سرقت هویت آسیب پذیر می کند.

بسته به آنچه که مجرمان سایبری تلاش می کنند به دست آورند، نوع اطلاعاتی که سارقان هویت اطلاعاتی دنبال می کنند، تغییر خواهد کرد. با هک و دسترسی به رایانه ها و سایر فایل های دیجیتالی، آنها می توانند حساب های بانکی را باز کنند یا با اطلاعات دزدیده شده مناسب، ادعاهای جعلی را ثبت کنند.

در برخی موارد، مجرمان می توانند تنها با یک آدرس ایمیل حساب باز کنند. دیگران به نام، آدرس، تاریخ تولد، شماره تامین اجتماعی و اطلاعات بیشتر نیاز دارند. حتی برخی از حساب ها را می توان از طریق تلفن یا اینترنت باز کرد.
علاوه بر این، فایل‌های فیزیکی – مانند صورت‌حساب‌ها، رسیدها، یک کپی فیزیکی از شناسنامه، کارت‌های تامین اجتماعی یا اطلاعات اجاره – می‌توانند در صورت نفوذ به خانه شخصی به سرقت بروند. سارقان می توانند PII را برای سود قابل توجهی بفروشند. مجرمان ممکن است از اطلاعات قربانیان بدون اینکه متوجه شوند استفاده کنند. در حالی که سارقان ممکن است از کارت های اعتباری قربانیان استفاده نکنند، ممکن است با استفاده از اطلاعات قربانیان خود حساب های جدید و جداگانه ای باز کنند.

 

قوانین و مقررات PII

از آنجایی که حجم داده های ساختاریافته و بدون ساختار موجود در دسترس است، تعداد نقض های داده و حملات سایبری توسط بازیگرانی که ارزش PII را درک می کنند، همچنان در حال افزایش است. در نتیجه، نگرانی هایی در مورد نحوه رسیدگی سازمان های دولتی و خصوصی به اطلاعات حساس مطرح شده است.

سازمان‌های دولتی و سایر سازمان‌ها باید سیاست‌های سخت‌گیرانه‌ای در مورد جمع‌آوری PII از طریق وب، نظرسنجی‌های مشتریان یا تحقیقات کاربر داشته باشند. نهادهای نظارتی قوانین جدیدی را برای محافظت از داده های مصرف کننده وضع می کنند، در حالی که کاربران به دنبال راه های ناشناس تری برای دیجیتال ماندن هستند.

مقررات عمومی حفاظت از داده های اتحادیه اروپا (EU) (GDPR) یکی از تعداد فزاینده مقررات و قوانین حفظ حریم خصوصی است که بر نحوه انجام تجارت سازمان ها تأثیر می گذارد. GDPR، که برای هر سازمانی که PII را از شهروندان اتحادیه اروپا جمع‌آوری می‌کند، اعمال می‌شود، به یک استاندارد واقعی در سراسر جهان تبدیل شده است. GDPR این سازمان ها را برای حفاظت از داده های PII کاملاً مسئول می داند، صرف نظر از اینکه مقر آنها کجاست.

 

بهترین شیوه های امنیتی PII

از آنجایی که سازمان‌ها به طور مداوم PII و سایر داده‌های حساس را جمع‌آوری، ذخیره و توزیع می‌کنند، کارمندان، مدیران و پیمانکاران شخص ثالث باید پیامدهای داده‌های نادرست را درک کرده و پاسخگو باشند. تجزیه و تحلیل پیش‌بینی‌کننده و هوش مصنوعی (AI) در سازمان‌ها برای غربال کردن مجموعه‌های بزرگ داده‌ها استفاده می‌شود تا هر داده ذخیره‌شده با تمام قوانین PII مطابقت داشته باشد.

علاوه بر این، سازمان هایی که رویه هایی را برای کنترل دسترسی ایجاد می کنند می توانند از افشای سهوی PII جلوگیری کنند. بهترین روش های دیگر شامل استفاده از رمزگذاری قوی، رمزهای عبور ایمن و احراز هویت دو مرحله ای (2FA) و چند عاملی (MFA) است.

توصیه های دیگر برای محافظت از PII عبارتند از:

• تشویق کارکنان به تمرین روش های خوب پشتیبان گیری از داده ها
• از بین بردن یا حذف ایمن رسانه های قدیمی با داده های حساس
• نصب نرم افزار، اپلیکیشن و به روز رسانی موبایل
• استفاده از شبکه های بی سیم امن، به جای Wi-Fi عمومی
• استفاده از شبکه های خصوصی مجازی و تغییر آی پی

برای محافظت از PII، باید:

• آنچه را که در رسانه های اجتماعی به اشتراک می گذارند محدود کنید.
• اسناد مهم را قبل از دور انداختن آنها خرد کنید.
• آگاه باشید که شماره تامین اجتماعی خود را به چه کسانی می دهند. و
• کارت تامین اجتماعی خود را در مکانی امن نگه دارید.
• افراد همچنین باید مطمئن شوند که در سایت های امن HTTP (HTTPS) خریدهای آنلاین انجام می دهند یا امور مالی را مرور می کنند. مراقب آپلود اسناد حساس در فضای ابری باشید و در صورت عدم استفاده دستگاه ها را قفل کنید.