Che cos'è la PII e come deve proteggerla la sua organizzazione?

Cosa sono i dati sensibili e dove si trovano nella collaborazione?

Ogni organizzazione gestisce una qualche forma di dati sensibili, come la proprietà intellettuale, i registri finanziari, i documenti legali e le informazioni regolamentate come i dettagli delle carte di pagamento, le informazioni sanitarie protette e le informazioni di identificazione personale (PCI/PHI/PII).

L'obiettivo della gestione dei dati sensibili è identificare e mitigare i rischi associati alla gestione di dati regolamentati e alla discussione di rapporti commerciali riservati in strumenti di collaborazione come Slack e Microsoft Teams. Se trapelate o esfiltrate, queste informazioni potrebbero danneggiare la reputazione dell'azienda, costare la quota di mercato o portare a cause legali e azioni normative.

Cosa sono le informazioni di identificazione personale (PII)?

Le informazioni di identificazione personale (PII) sono tutte le informazioni che, se collegate a una persona specifica, possono essere utilizzate da sole o con altri dati rilevanti per scoprire la sua identità.

Esistono due tipi di identificatori. Il primo è costituito da identificatori diretti, come le informazioni del passaporto o un numero di cliente unico che può identificare una persona in modo univoco. Il secondo è costituito dagli identificatori indiretti, o i cosiddetti quasi-identificatori, come la data di nascita. Se combinate con altri quasi-identificatori come i codici postali, queste informazioni potrebbero rivelare con successo l'identità di una persona.

Cosa si intende per PII?

Qualsiasi informazione collegata a una persona specifica che possa essere utilizzata per scoprire la sua identità è considerata un'informazione di identificazione personale (PII).

Esempi di PII includono 

• Nome completo (legale)
• Indirizzo di casa
• Indirizzo e-mail
• Numero di previdenza sociale
• Numero di passaporto
• Numero di patente di guida
• Numeri di carta di credito
• Data di nascita
• Numero di telefono
• Proprietà di proprietà, ad esempio Numero di identificazione del veicolo (VIN)
• Accedi ai dettagli
• Numero di serie del processore o del dispositivo
• Controllo dell'accesso ai media (MAC)
• Indirizzo Internet (IP)
• ID dispositivo
• I biscotti

Queste sono considerate PII perché sono identificatori statici che si collegano in modo coerente a una persona o a un gruppo di persone. Se combinati con altre informazioni, potrebbero identificare, rintracciare o localizzare con successo una persona o un gruppo di persone.

PII sensibili e non sensibili

Non tutte le informazioni di identificazione personale (PII) comportano lo stesso livello di rischio.

Le PII sensibili comprendono informazioni che, se divulgate, potrebbero causare un danno significativo a una persona. Questo può avvenire attraverso frodi finanziarie, furti di identità o danni alla reputazione. Le PII sensibili sono spesso soggette a controlli normativi più severi e richiedono misure di protezione più severe.

D'altra parte, le PII non sensibili comprendono dati personali che hanno minori probabilità di causare danni se esposti da soli. Tuttavia, se combinate con altri dati, anche le PII non sensibili possono diventare identificative e aumentare il rischio.

Sebbene le PII non sensibili non richiedano sempre la crittografia o la rielaborazione, meritano comunque di essere protette. Soprattutto se conservati insieme a informazioni sensibili.

Leggi sulla privacy dei dati e PII

Con l'aumento delle violazioni dei dati e delle minacce informatiche, le normative globali sulla protezione dei dati sono diventate più rigorose. Le organizzazioni che raccolgono, elaborano o archiviano PII devono rispettare le leggi sulla sicurezza dei dati regionali e specifiche del settore. Questo per evitare accessi non autorizzati e proteggere la privacy individuale.

Negli Stati Uniti, il Privacy Act del 1974 regola il modo in cui le agenzie federali gestiscono i dati personali. Le leggi specifiche del settore, come l'HIPAA (per la sanità) e il GLBA (per le istituzioni finanziarie), impongono controlli severi sulle informazioni sensibili.

Allo stesso modo, il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea e il Consumer Privacy Act (CCPA) della California richiedono alle organizzazioni trasparenza, responsabilità e consenso nella gestione dei dati personali.

I requisiti chiave della maggior parte dei regolamenti includono:

• Implementare solidi controlli di sicurezza per evitare fughe di dati o accessi non autorizzati.
• Ridurre al minimo la raccolta di PII non necessarie.
• Fornisce alle persone i diritti sui loro dati personali, tra cui l'accesso, la correzione e la cancellazione.
• Segnalare tempestivamente le violazioni dei dati alle autorità e agli utenti interessati.

La mancata osservanza di queste leggi può portare a multe sostanziali, danni alla reputazione e perdita di fiducia da parte dei clienti. Poiché i dati continuano a fluire attraverso i confini e le piattaforme, è importante allineare le politiche sulle PII della sua organizzazione alle normative in evoluzione sulla protezione dei dati.

Come vengono rubate le PII?

Le PII possono essere compromesse in diversi modi e con poche informazioni personali, i malintenzionati possono fare grandi danni. Alcuni dei molti scenari possibili includono la creazione di falsi conti a suo nome, l'accumulo di debiti, la falsificazione di un passaporto a suo nome e il furto e la vendita della sua identità.

Con le attività commerciali che si svolgono sempre più spesso online, i file digitali possono essere facilmente violati e accessibili ai criminali informatici. Questo è particolarmente vero se la sua protezione informatica è troppo lasca. Senza una protezione solida e una politica di protezione delle PII, le organizzazioni e i loro clienti sono esposti a grandi rischi.

Uno dei modi più facili per i criminali informatici per cercare di entrare in possesso di informazioni personali è l'e-mail. Con l'e-mail come mezzo principale di comunicazione, molto può essere a rischio se non sta proteggendo il suo ambiente in modo adeguato. 

Come proteggere le informazioni di identità personale (PII)

Il servizio di abbonamento basato su SaaS di Mimecast affronta tutte le sfide che le organizzazioni di servizi finanziari devono affrontare per proteggere le PII e altre informazioni sensibili contenute nelle e-mail. Sfruttando una vera e propria architettura cloud, le soluzioni Mimecast aiutano a ridurre i costi e la complessità della protezione delle e-mail, migliorando drasticamente le prestazioni e potenziando la sicurezza e la conformità.

Le soluzioni Mimecast per la protezione delle PII aiutano:

• Proteggersi dalle minacce alla sicurezza provenienti dalle e-mail. Mimecast non solo blocca lo spam e i virus, ma mitiga anche lo spear-phishing, gli attacchi di impersonificazione, il ransomware, l'attacco man in the browser e altri attacchi sofisticati. 
• Migliora la resilienza delle e-mail con un uptime di 100%. Mimecast Mailbox Continuity offre un accesso ininterrotto alle e-mail e agli allegati in tempo reale e storici, anche durante le interruzioni e gli attacchi, utilizzando strumenti di uso quotidiano come Outlook per Windows, le applicazioni mobili e il web.
• Semplificare l'archiviazione e la conformità. Mimecast Cloud Archive funge da archivio centrale off-site per le e-mail, i file e le IM conversations, fornendo agli utenti funzionalità di ricerca fulminee e agli amministratori strumenti per semplificare le politiche di conservazione delle e-mail, l'e-discovery e il blocco legale. Mimecast facilita anche la gestione dellaconformità PCI-DSS e FINRA , nonché irequisiti di conservazione delle e-mail di SEC.
• Responsabilizzare gli utenti. Mimecast offre ai suoi utenti strumenti per la sicurezza, l'archiviazione e la continuità self-service, oltre a funzionalità per l'invio di messaggi e la condivisione di file di grandi dimensioni in modo sicuro.

Protezione delle informazioni personali con Mimecast

La protezione delle PII (informazioni di identificazione personale) nelle comunicazioni via e-mail è una parte fondamentale della conformità dei servizi finanziari. L'e-mail è diventata il mezzo principale di comunicazione con colleghi, clienti, venditori e partner. Per questo motivo, le organizzazioni di servizi finanziari sono obbligate a implementare soluzioni sicure ed efficaci per proteggere le PII.

Questo requisito è reso più urgente dal fatto che l'e-mail è il vettore di attacco numero 1 per gli hacker che cercano di rubare PII e altre informazioni sensibili. Le società di servizi finanziari sono vulnerabili a un'ampia varietà di sofisticati attacchi via e-mail. Questi possono ingannare gli utenti e ingannare anche i dipendenti più esigenti. Il lavoro di protezione delle PII è reso più complesso da normative rigorose e in evoluzione, forza lavoro distribuita e ambienti IT complessi.

Mimecast può aiutarla. Con un approccio all-in-one alla sicurezza, all'archiviazione e alla continuità delle e-mail, Mimecast offre servizi basati sul cloud per proteggere le PII, i sistemi e-mail e gli utenti, semplificando al contempo la gestione delle business email.

Vantaggi della protezione delle PII con Mimecast

Con Mimecast, può:

• Lancia e scala rapidamente le soluzioni per la protezione delle PII, riducendo i costi operativi e di capitale, grazie alla soluzione cloud SaaS di Mimecast, 100%.
• Migliora la sicurezza e la resilienza di Microsoft Office 365, Microsoft Exchange e Google G Suite.
• Semplifica la gestione della posta elettronica con una single console per l'impostazione dei criteri, il reporting, la risoluzione dei problemi e la gestione della sicurezza, dell'archiviazione e della continuità della posta elettronica.

Per saperne di più sulla protezione delle PII con Mimecast e sulle soluzioni di conformità sanitaria Mimecast.