Informações de identificação pessoal (PII)

Informações de identificação pessoal (PII) são quaisquer informações ou dados confidenciais destinados a identificar um indivíduo. Às vezes, uma única peça de PII pode identificar uma pessoa específica, enquanto outras vezes, outros detalhes de PII relevantes são necessários para resultar em uma correspondência precisa com um indivíduo.

Os malfeitores aproveitam a crescente necessidade de apresentar essas informações pessoais. Os hackers podem pegar um arquivo com milhares de indivíduos com PII e usar seus dados pessoais para causar caos em suas vidas. Muitas vezes, eles podem distinguir ou rastrear a identidade de um indivíduo específico com um ou mais identificadores diretos.

Quando usadas adequadamente e de acordo com a Lei de Privacidade da Administração de Serviços Gerais (GSA) dos Estados Unidos e as Regras de Comportamento para o Tratamento de Informações de Identificação Pessoal (PII), essas informações vitais servem como identificadores abreviados para estabelecimentos de saúde, agências estaduais de veículos automotores e seguradoras.

O que se qualifica como informação de identificação pessoal?

Informações de identificação pessoal (PII) são qualquer coisa que possa conter identificadores diretos, que podem identificar com precisão a identidade de alguém, como dados necessários para uma carteira de motorista ou passaporte. As informações sobre esses cartões de identificação, livros ou outra documentação podem incluir seu endereço residencial e número do seguro social ou da carteira de motorista.

Quase-identificadores, como informações sobre herança racial, podem ser combinados e usados com outros quase-identificadores, incluindo data de nascimento (DOB), para identificar um indivíduo com sucesso.

Aqui estão os principais tipos de PII que as empresas usam para identificar indivíduos:

  • Nome completo
  • Endereço para correspondência
  • Número de telefone
  • Endereço de e-mail
  • Registros médicos
  • Informações financeiras, como números de cartão de crédito, contas bancárias ou informações de relatórios de crédito
  • Informações do passaporte, como locais e datas da viagem
  • Números de contas e senhas da Internet
  • Informações biométricas

As PII não confidenciais e indiretas incluem as informações de quase identificação mencionadas anteriormente, que geralmente são registradas publicamente ou coletadas de forma tão anônima que não são facilmente vinculadas a um indivíduo por si só.

Aqui estão alguns exemplos de PII não confidenciais:

  • CEP
  • Corrida
  • Gênero
  • Data de nascimento
  • Local de nascimento
  • Religião

Embora cada um desses quase identificadores possa servir como uma ferramenta para identificar um indivíduo em conjunto com identificadores diretos, eles são de pouco valor para os malfeitores por si só. Muitas PIIs não confidenciais são componentes de uma carteira de motorista, passaporte ou registro de cobrança. Ainda assim, sem um identificador direto, os melhores hackers geralmente encontram um beco sem saída ao tentar usá-los para fins fraudulentos.

Quem coleta oficialmente as informações de identificação pessoal disponíveis?

Atualmente, quase todas as empresas coletam, armazenam, transmitem e processam PII em algum grau. No entanto, algumas organizações mantêm informações mais confidenciais do que outras, como organizações de saúde e um departamento ou agência de veículos motorizados.

Com isso, o big data se tornou uma grande força nos negócios atualmente, oferecendo às empresas insights sobre padrões de compra, comportamentos de navegação, localização geográfica e muito mais dos clientes. Isso significa que os dados se tornaram um componente dos negócios modernos e os consumidores estão fornecendo mais PII o tempo todo.

Alguns malfeitores não oficiais querem acesso a informações de identificação pessoal

O problema de compartilhar essas informações vitais é que violações de dados estão continuamente em ascensão. Os ciberatacantes reconhecem o valor dessas informações, que servem como um atalho para aprender a história de vida de alguém, incluindo informações financeiras.

Se os hackers não conseguirem roubar diretamente de uma vítima de violação de dados, eles podem comprometer sua reputação pessoal tentando usar seu número de previdência social para abrir contas de cartão de crédito e muito mais.

Por que as informações de identificação pessoal são valiosas para hackers e fraudadores?

Os atacantes cibernéticos nunca param de procurar maneiras de extrair todos os benefícios ilícitos possíveis de uma violação de dados. As PII são ricas em detalhes e tornam uma tarefa rápida e fácil identificar e aterrorizar indivíduos que precisavam confiar em um hospital, banco ou IRS.

Como os ladrões obtêm acesso às informações de identificação pessoal?

O roubo de dados e as violações de dados em grande escala se tornaram tão comuns que as pessoas mal prestam atenção, a menos que isso as afete diretamente.

Existem riscos perto de casa que todos precisam considerar. O fato é que o perigo está à espreita de todos, já que todos compartilhamos PII diariamente e, uma vez nas mãos de terceiros, é como esperar que o outro sapato caia.

Aqui estão algumas maneiras pelas quais os ladrões conhecem pessoas por meio de suas PII, gostem ou não:

  • Roubo de caixas de correio. Muitas pessoas deixam a correspondência na caixa postal por dias seguidos, graças aos serviços bancários on-line e ao pagamento de contas. Cada correspondência é rica em dados, incluindo notificações do Bureau of Motor Vehicles, contas médicas e extratos de cartão de crédito.
  • Mergulhando no lixo. A lixeira ou lixeira é a próxima parada depois da caixa de correio; portanto, se um criminoso não quiser correr o risco de entrar na varanda de alguém, a lixeira é uma aposta mais segura. Eles podem encontrar todas as mesmas informações em correspondências descartadas sem chamar tanta atenção.

Outras formas pelas quais os criminosos obtêm acesso às PII incluem acesso sem fio não seguro, incidentes perdidos e achados, phishing e fraudes pretextivas, mídias sociais e manobras de engenharia social.

Essas são apenas algumas maneiras alternativas pelas quais os ladrões obtêm acesso à identidade de um indivíduo. Ainda assim, elas são tão perigosas para os indivíduos quanto as violações de dados lançadas para roubar informações pessoais ou de identificação.

Como o GDPR aborda as PII?

O Regulamento Geral de Proteção de Dados GDPR entrou em vigor em maio de 2019 com o objetivo principal de proteger a privacidade dos consumidores da União Europeia (UE) e salvaguardar os dados. O GDPR exigia que empresas em toda a UE e em todo o mundo cumprissem seus extensos requisitos para proteger seus dados, funcionários, clientes e fornecedores terceirizados.

As informações que as empresas devem proteger incluem PII, e todas elas têm a obrigação legal de mantê-las seguras e protegidas.

O Parlamento Europeu projetou o GDPR para proteger os consumidores da UE, em primeiro lugar, essencialmente dando-lhes liberdade sobre suas PII. Aqui estão algumas maneiras pelas quais os consumidores da UE podem controlar suas informações pessoais ao fazer negócios:

  • Solicitar que as empresas excluam PII
  • Solicitação de correção de erros factuais
  • Solicitar acesso aos dados pessoais armazenados
  • Solicite a exportação de dados pessoais para revisar e usar, se assim o desejarem

Quais são as melhores maneiras pelas quais as empresas podem proteger as PII?

Todas as empresas podem tomar medidas especiais para proteger as PII do cliente em benefício de todos. Aqui estão algumas das melhores maneiras de manter essas informações vitais protegidas contra criminosos, on-line e em qualquer outro lugar:

  • Criptografe dados ao compartilhar ou armazenar eletronicamente
  • Implemente políticas de senha fortes para smartphones, tablets e laptops
  • Incentive os funcionários a usar senhas diferentes para cada site, aplicativo e conta
  • Crie protocolos de segurança adicionais, como perguntas de segurança de sites
  • Tome especial cuidado com computadores e outros dispositivos desativados, removendo e destruindo discos rígidos antes de descartá-los ou doá-los. A última etapa a ser executada é restaurar as configurações originais do dispositivo para garantir que esteja limpo antes de descartá-lo.
  • Use um triturador para descartar as cópias impressas dos documentos de maneira adequada. Destrua cuidadosamente cada documento para garantir que nenhuma PII seja discernível.
  • Lembre os funcionários e a gerência de não deixarem documentos ricos em PII na copiadora ou em qualquer outro lugar em que possam parar enquanto trabalham em um arquivo.

Quanto mais as empresas fizerem para permanecerem atentas às PII, maiores serão as chances de mantê-las protegidas contra violações de dados e quaisquer outras ameaças.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?