اطلاعات قابل شناسایی شخصی (PII) چیست؟
اطلاعات شناسایی شخصی (PII) هر داده ای است که به طور بالقوه می تواند یک فرد خاص را شناسایی کند. هر اطلاعاتی که می تواند برای متمایز کردن یک شخص از فرد دیگر مورد استفاده قرار گیرد و بتوان از آن برای بی نام کردن داده های ناشناس قبلی استفاده کرد، PII در نظر گرفته می شود.
PII ممکن است به تنهایی یا همراه با سایر دادههای مرتبط برای شناسایی یک فرد مورد استفاده قرار گیرد و ممکن است از شناسههای مستقیم مانند اطلاعات پاسپورت استفاده شود که میتواند شخص را منحصراً شناسایی کند یا شبه شناسههایی مانند نژاد که میتواند با شبه دیگر ترکیب شود. شناسه ها، مانند تاریخ تولد، برای شناسایی موفقیت آمیز یک فرد.
پیشنهاد نویسنده: خواندن مقاله ی “درک PII در شرایط خدمات Google” نیز به شما توصیه می شود.
اطلاعات قابل شناسایی شخصی (PII) چیست؟
چرا PII باید ایمن باشد؟
حفاظت از PII برای حریم خصوصی شخصی، حریم خصوصی داده ها، حفاظت از داده ها، حریم خصوصی اطلاعات و امنیت اطلاعات ضروری است. تنها با چند بیت از اطلاعات شخصی یک فرد، سارقان می توانند حساب های جعلی به نام فرد ایجاد کنند، بدهی داشته باشند، پاسپورت جعلی ایجاد کنند یا هویت یک فرد را به یک مجرم بفروشند.
از آنجایی که دادههای شخصی افراد روزانه ثبت، ردیابی و استفاده میشود – مانند اسکنهای بیومتریک با اثر انگشت و سیستمهای تشخیص چهره که برای باز کردن قفل دستگاهها استفاده میشود – حفاظت از هویت افراد و هر گونه اطلاعات شناسایی منحصر به فرد برای آنها ضروری است.
چه چیزی PII در نظر گرفته می شود؟
هر اطلاعاتی که بتواند افراد را بهعنوان فردی مجزا از سایرین شناسایی کند، PII است. ممکن است شامل موارد زیر باشد:
- نام
- نشانی
- پست الکترونیک
- شماره تلفن
- تاریخ تولد
- شماره پاسپورت
- اثر انگشت
- شماره گواهینامه رانندگی
- شماره کارت اعتباری یا نقدی
- شماره تامین اجتماعی
تعاریف PII متفاوت است. به گفته اداره خدمات عمومی ایالات متحده (GSA)، “تعریف PII به هیچ دسته ای از اطلاعات یا فناوری متصل نیست. بلکه نیاز به ارزیابی مورد به مورد خطر خاصی دارد که یک فرد را می توان شناسایی کرد.” در انجام این ارزیابی، برای یک آژانس مهم است که تشخیص دهد هر زمان که اطلاعات اضافی در دسترس عموم قرار گیرد – در هر رسانه و از هر منبع – که با سایر اطلاعات موجود ترکیب شود، میتواند به PII تبدیل شود. برای شناسایی یک فرد.”
اگرچه تعریف حقوقی PII ممکن است از حوزه قضایی به حوزه قضایی دیگر و از ایالتی به ایالت دیگر متفاوت باشد، این اصطلاح معمولاً به اطلاعاتی اشاره دارد که می تواند برای تشخیص یا ردیابی هویت یک فرد، به تنهایی یا در ترکیب با سایر اطلاعات شخصی یا هویتی مرتبط استفاده شود.
وزارت انرژی (DOE) PII را اینگونه تعریف می کند: “هر گونه اطلاعات جمع آوری یا نگهداری شده توسط این بخش در مورد یک فرد، شامل تحصیلات، تراکنش های مالی، سابقه پزشکی و سابقه جنایی یا شغلی، و اطلاعاتی که می تواند مورد استفاده قرار گیرد. شناسایی یا ردیابی هویت یک فرد، مانند نام، شماره تامین اجتماعی، تاریخ و محل تولد، نام دختر مادر، دادههای بیومتریک، و شامل هر گونه اطلاعات شخصی دیگری که به یک فرد خاص مرتبط یا قابل پیوند است.”
این اطلاعات شامل نمونه های بیشتری از مواردی است که می تواند PPI در نظر گرفته شود و بسته به میزان آسیب، شرمساری یا ناراحتی که برای فرد یا سازمان ایجاد می کند، “در صورت گم شدن، به خطر افتادن یا افشای اطلاعات”، می تواند حساس تر باشد.
PII حساس چیست و چه تفاوتی با نوع غیر حساس آن دارد؟
PII می تواند حساس یا غیر حساس باشد. PII غیر حساس اطلاعاتی است که می تواند به صورت رمزگذاری نشده بدون آسیب رساندن به فرد منتقل شود. PII غیر حساس را می توان به راحتی از سوابق عمومی، دفترچه تلفن، فهرست راهنمای شرکت ها و وب سایت ها جمع آوری کرد. این ممکن است شامل اطلاعاتی مانند کد پستی، نژاد، جنسیت، تاریخ تولد و مذهب باشد — اطلاعاتی که به خودی خود نمی توانند برای تشخیص هویت فرد مورد استفاده قرار گیرند.
PII حساس به اطلاعاتی گفته میشود که در صورت فاش شدن، ممکن است در صورت وقوع نقض داده، به فرد آسیب برساند. این نوع داده های حساس اغلب دارای الزامات قانونی، قراردادی یا اخلاقی برای افشای محدود هستند.
بنابراین PII حساس باید در هنگام انتقال و زمانی که داده ها در حالت استراحت هستند رمزگذاری شوند. چنین اطلاعاتی شامل دادههای بیومتریک، اطلاعات پزشکی تحت پوشش قوانین مسئولیتپذیری و مسئولیتپذیری بیمه سلامت (HIPAA)، اطلاعات مالی قابل شناسایی شخصی (PIFI) و شناسههای منحصربهفرد مانند شماره پاسپورت یا تامین اجتماعی است.
سوابق پرسنل کارکنان؛ اطلاعات مالیاتی، از جمله شماره تامین اجتماعی و شماره شناسایی کارفرما (EIN)؛ اطلاعات رمز عبور؛ شماره کارت اعتباری؛ حساب های بانکی؛ اطلاعات حساب الکترونیکی و دیجیتالی، مانند آدرس ایمیل و شماره حساب اینترنتی؛ و شماره های شناسایی مدرسه و سوابق نیز در لیست PII حساس هستند.
PII چگونه در سرقت هویت استفاده می شود؟
تعدادی از خردهفروشان، سازمانهای مرتبط با سلامت، مؤسسات مالی – از جمله بانکها و آژانسهای گزارشدهی اعتباری – و آژانسهای فدرال، مانند دفتر مدیریت پرسنل (OPM) و وزارت امنیت داخلی (DHS)، نقض دادهها را تجربه کردهاند. که PII افراد را در معرض خطر قرار می دهد و آنها را به طور بالقوه در برابر سرقت هویت آسیب پذیر می کند.
بسته به آنچه که مجرمان سایبری تلاش می کنند به دست آورند، نوع اطلاعاتی که سارقان هویت اطلاعاتی دنبال می کنند، تغییر خواهد کرد. با هک و دسترسی به رایانه ها و سایر فایل های دیجیتالی، آنها می توانند حساب های بانکی را باز کنند یا با اطلاعات دزدیده شده مناسب، ادعاهای جعلی را ثبت کنند.
در برخی موارد، مجرمان می توانند تنها با یک آدرس ایمیل حساب باز کنند. دیگران به نام، آدرس، تاریخ تولد، شماره تامین اجتماعی و اطلاعات بیشتر نیاز دارند. حتی برخی از حساب ها را می توان از طریق تلفن یا اینترنت باز کرد.
علاوه بر این، فایلهای فیزیکی – مانند صورتحسابها، رسیدها، یک کپی فیزیکی از شناسنامه، کارتهای تامین اجتماعی یا اطلاعات اجاره – میتوانند در صورت نفوذ به خانه شخصی به سرقت بروند. سارقان می توانند PII را برای سود قابل توجهی بفروشند. مجرمان ممکن است از اطلاعات قربانیان بدون اینکه متوجه شوند استفاده کنند. در حالی که سارقان ممکن است از کارت های اعتباری قربانیان استفاده نکنند، ممکن است با استفاده از اطلاعات قربانیان خود حساب های جدید و جداگانه ای باز کنند.
قوانین و مقررات PII
از آنجایی که حجم داده های ساختاریافته و بدون ساختار موجود در دسترس است، تعداد نقض های داده و حملات سایبری توسط بازیگرانی که ارزش PII را درک می کنند، همچنان در حال افزایش است. در نتیجه، نگرانی هایی در مورد نحوه رسیدگی سازمان های دولتی و خصوصی به اطلاعات حساس مطرح شده است.
سازمانهای دولتی و سایر سازمانها باید سیاستهای سختگیرانهای در مورد جمعآوری PII از طریق وب، نظرسنجیهای مشتریان یا تحقیقات کاربر داشته باشند. نهادهای نظارتی قوانین جدیدی را برای محافظت از داده های مصرف کننده وضع می کنند، در حالی که کاربران به دنبال راه های ناشناس تری برای دیجیتال ماندن هستند.
مقررات عمومی حفاظت از داده های اتحادیه اروپا (EU) (GDPR) یکی از تعداد فزاینده مقررات و قوانین حفظ حریم خصوصی است که بر نحوه انجام تجارت سازمان ها تأثیر می گذارد. GDPR، که برای هر سازمانی که PII را از شهروندان اتحادیه اروپا جمعآوری میکند، اعمال میشود، به یک استاندارد واقعی در سراسر جهان تبدیل شده است. GDPR این سازمان ها را برای حفاظت از داده های PII کاملاً مسئول می داند، صرف نظر از اینکه مقر آنها کجاست.
بهترین شیوه های امنیتی PII
از آنجایی که سازمانها به طور مداوم PII و سایر دادههای حساس را جمعآوری، ذخیره و توزیع میکنند، کارمندان، مدیران و پیمانکاران شخص ثالث باید پیامدهای دادههای نادرست را درک کرده و پاسخگو باشند. تجزیه و تحلیل پیشبینیکننده و هوش مصنوعی (AI) در سازمانها برای غربال کردن مجموعههای بزرگ دادهها استفاده میشود تا هر داده ذخیرهشده با تمام قوانین PII مطابقت داشته باشد.
علاوه بر این، سازمان هایی که رویه هایی را برای کنترل دسترسی ایجاد می کنند می توانند از افشای سهوی PII جلوگیری کنند. بهترین روش های دیگر شامل استفاده از رمزگذاری قوی، رمزهای عبور ایمن و احراز هویت دو مرحله ای (2FA) و چند عاملی (MFA) است.
توصیه های دیگر برای محافظت از PII عبارتند از:
- تشویق کارکنان به تمرین روش های خوب پشتیبان گیری از داده ها
- از بین بردن یا حذف ایمن رسانه های قدیمی با داده های حساس
- نصب نرم افزار، اپلیکیشن و به روز رسانی موبایل
- استفاده از شبکه های بی سیم امن، به جای Wi-Fi عمومی
- استفاده از شبکه های خصوصی مجازی و تغییر آی پی
برای محافظت از PII، باید:
- آنچه را که در رسانه های اجتماعی به اشتراک می گذارند محدود کنید.
- اسناد مهم را قبل از دور انداختن آنها خرد کنید.
- آگاه باشید که شماره تامین اجتماعی خود را به چه کسانی می دهند. و
- کارت تامین اجتماعی خود را در مکانی امن نگه دارید.
- افراد همچنین باید مطمئن شوند که در سایت های امن HTTP (HTTPS) خریدهای آنلاین انجام می دهند یا امور مالی را مرور می کنند. مراقب آپلود اسناد حساس در فضای ابری باشید و در صورت عدم استفاده دستگاه ها را قفل کنید.
ارسال پاسخ