Identificar e salvaguardar as PII (informações de identificação pessoal)

Quem gostaria que as suas informações pessoais identificáveis e dados sensíveis fossem comprometidos e utilizados por alguém para actividades fraudulentas? Mas a triste realidade é que isso se tornou uma prática comum.

Recentemente, foi revelado que quase 50% das violações de dados entre 2021 e 2023 foram de Informações Pessoais Identificáveis (IPI) dos clientes, e 40% desses dados eram de funcionários. Estes dados foram registados durante a inquérito em outubro de 2023.

As informações que identificam pessoalmente não são muito complicadas, mas é importante compreender o que são e a importância de as proteger. Este guia contém todas as respostas para o ajudar a proteger as suas informações pessoais e a si próprio. 

O que são IPI (Informações Pessoais Identificáveis)?

As PII, ou Informações Pessoais Identificáveis, são informações que constituem uma parte significativa da sua identidade e que podem apontar diretamente para si. 

Imagine-o como um código secreto que, por si só ou quando misturado com outras informações, pode revelar a sua identidade. Portanto, não se trata apenas do seu nome e morada; é como as peças de um puzzle que, quando juntas, criam a imagem completa de "si". 

Por exemplo, suponha que o seu nome é João. Existem muitas outras pessoas em todo o mundo com o mesmo nome, pelo que este não pode ser considerado uma IPI. Mas e se dissermos que o seu nome é John Doe e que vive em Manhattan com um número de segurança social AXY123? Agora, passa a ser uma IPI e pode identificá-lo exclusivamente de outros Johns que vivem noutras áreas.

As IIP podem ser divididas em não sensíveis e sensíveis. Iremos abordá-las de seguida.

Informações PII não sensíveis e sensíveis

O Departamento de Defesa dos EUA fornece uma lista de exemplos no que respeita a informações de identificação pessoal. Desde números de segurança social a endereços pessoais, todos eles podem ser abrangidos pelas informações de identificação pessoal.

Vejamos as duas categorias distintas de IIP: 

Informações pessoais sensíveis

As informações de identificação pessoal sensíveis são informações que podem identificar um indivíduo muito facilmente. Este tipo de informações de identificação pessoal pode ser prejudicial para a pessoa a quem pertencem se forem recuperadas por um cibercriminoso. 

Exemplos de informações sensíveis de identificação pessoal

• Número de Segurança Social (SSN)
• Carta de condução
• Endereço de correio eletrónico
• Informações sobre o cartão de crédito
• Informações sobre o passaporte
• Informações financeiras
• Registos médicos

Informações de identificação pessoal não sensíveis

Qualquer informação, como o nome de solteira, que possa identificar uma pessoa, mas que não possa ser utilizada para a prejudicar, é definida como IIP não sensível. 

Exemplos de informações de identificação pessoal não sensíveis

• Nome próprio
• Código postal
• Corrida
• Género
• Data de nascimento
• Local de nascimento
• Religião

Se você ou qualquer outra empresa pretender recolher informações de identificação pessoal, terá de utilizar formulários online, inquéritos e redes sociais, de preferência com um acordo de não divulgação associado. Certifique-se de que, sempre que fornecer as suas IIP a alguém, verifica se essa pessoa tem um plano adequado para utilizar, armazenar e proteger as informações.

Porque é que as informações que identificam pessoalmente são importantes?

As informações de identificação pessoal são fundamentais porque protegem os seus dados. Todas as empresas ou organizações que possuem as suas informações de identificação pessoal são legalmente obrigadas a salvaguardá-las a todo o custo. A proteção das informações pessoais é uma garantia de segurança e proteção das suas informações pessoais.

As empresas podem utilizar as suas informações para vários fins, por exemplo:

• Publicidade direccionada
• Prevenção de fraudes
• Aplicação da lei
• Pontuação de crédito
• Rastreio de emprego

Como é que as informações que identificam pessoalmente podem ser roubadas?

Ataques como engenharia social utilizando um nome de domínio ou uma mensagem de correio eletrónico falsos, podem induzir as pessoas a revelar informações pessoais. Também é possível que informações privadas sejam divulgadas através de uma conta de correio eletrónico pirateada, violações de dados, etc.

Seguem-se algumas formas comuns de roubo de informações pessoais: 

1. E-mails de phishing: Mensagens electrónicas falsas que induzem as vítimas a revelar as suas informações pessoais
2. Violações de dados: Os atacantes exploram as vulnerabilidades dos sistemas para violar bases de dados sensíveis
3. Mergulho no contentor do lixo: Recuperação de documentos eliminados do lixo que contêm informações de identificação pessoal
4. Engenharia social: Manipulação de vítimas insuspeitas para que partilhem informações pessoais
5. Malware: Software malicioso que se infiltra em ficheiros que contêm informações pessoais no seu computador
6. Ameaças internas: Os seus próprios empregados que divulgam informações que identificam pessoalmente as pessoas com intenções maliciosas ou por dinheiro
7. Escutas cibernéticas: escuta de comunicações em linha para roubar informações pessoais
8. Contas de correio eletrónico pirateadas: Obtenção de acesso a contas de correio eletrónico para ler conversas com informações pessoais
9. Ataques "man-in-the-middle: O atacante intercepta as comunicações em linha para roubar informações pessoais
10. Ataques de força bruta: Obtenção de acesso não autorizado a contas através da utilização de força bruta, como repetições constantes, e posterior roubo de informações pessoais

Métodos de proteção das informações pessoais

Vários países adoptaram várias leis de proteção de dados para criar directrizes para as empresas que recolhem, armazenam e partilham informações pessoais dos clientes. Vejamos as formas como pode salvaguardar as suas informações pessoais.

• Utilize palavras-passe fortes sempre que necessário.
• Tenha cuidado com os detalhes que partilha online.
• Monitorize regularmente os seus relatórios de crédito para detetar sinais de fraude.

Se é proprietário de uma empresa, deve considerar os passos abaixo mencionados:

• Recolhemos apenas as informações que identificam pessoalmente que são necessárias para prestar um serviço específico.
• A encriptação utilizada nas empresas deve ser robusta para impedir o acesso não autorizado às informações pessoais dos seus funcionários e clientes.
• O acesso às informações que identificam pessoalmente as pessoas deve ser limitado apenas aos funcionários que delas necessitam para desempenhar as suas funções.
• Deve ser realizada uma sessão de formação para dar formação aos funcionários sobre a forma de proteger as informações que identificam pessoalmente.
• Mantenha-se sempre atento a quaisquer violações de segurança que possam ocorrer subitamente.
• Deve existir um plano de resposta a violações de dados para que possa ser utilizado rapidamente para responder a uma violação de dados e minimizar os danos.

O Departamento de Segurança Interna dos EUA também publicou um documento perspicaz documento que define como proteger e partilhar as suas informações pessoais em segurança.

Importância da proteção das informações pessoais contra violações de dados

Uma violação de dados ocorre quando alguém que não tem autorização da empresa acede aos sistemas informáticos, o que pode levar à aquisição de informações sensíveis. 

Durante a pesquisa, encontrámos um estudo que mostrava que mais de 6 milhões de registos foram violados em todo o mundo em 2023. Este é um dos factores mais preocupantes para os líderes das empresas.

Estas violações de dados podem ocorrer devido a várias razões, como por exemplo:

• Malware
• Hacking
• Erros humanos

As empresas podem seguir as práticas mencionadas abaixo para proteger os seus dados contra violações:

• Aplicação de medidas de segurança adequadas.
• Educar os seus empregados sobre as melhores práticas no domínio da cibersegurança cibersegurança.
• Ter um plano de resposta e de correção em vigor caso ocorram subitamente violações de dados.

Leis e regulamentos de PII

As informações pessoais são reguladas por muitas leis e regulamentos. Estas garantem que a privacidade dos indivíduos está segura e que não têm de se preocupar com ameaças como a falsificação de identidade. Algumas destas leis federais são:

1. Lei da Privacidade de 1974

A Lei da Privacidade de 1974 estabelece as regras para os agentes federais no que diz respeito à recolha, utilização e divulgação de informações de identificação pessoal. Esta lei também obriga as agências federais a informarem as pessoas se podem divulgar as suas informações de identificação pessoal, e existem sanções em caso de incumprimento. No entanto, existem alguns casos especiais e excepções a esta situação.

2. Lei da Portabilidade e Responsabilidade dos Seguros de Saúde

Depois há a HIPAA, a Lei de Portabilidade e Responsabilidade dos Seguros de Saúdeo super-herói dos registos de saúde. Esta lei exige que as instituições e os prestadores de cuidados de saúde mantenham a informação dos doentes sob sigilo e não divulguem os seus registos de saúde sem o seu consentimento.

3. Lei da Liberdade de Informação

E não se esqueçam da FOIA, a Lei da Liberdade de Informação. É o bilhete dourado para as pessoas que querem investigar os ficheiros do governo. Diz às agências federais: "Mostrem os vossos cartões, a menos que sejam super secretos". Basicamente, é o passe do público para os bastidores da informação governamental! No entanto, a FOIA também actua como protetor das PII, pedindo às agências de aplicação da lei que retenham informações que possam ser pessoalmente identificáveis ou prejudiciais.

4. Regulamento Geral sobre a Proteção de Dados (RGPD) 

Em 1995, existia uma diretiva relativa à proteção de dados, mas mais tarde, RGPD para salvaguardar as informações pessoais. Agora, qualquer empresa que lide com dados pessoais de cidadãos da UE, quer esteja sediada na UE ou noutro país (sim, até nos EUA!), tem de seguir o mesmo conjunto de regras.

O incumprimento pode resultar em coimas pesadas - 4% da sua receita anual global ou 20 milhões de euros, o que for mais doloroso - pela violação de determinadas disposições. Além disso, as pessoas têm o direito de apresentar queixa se considerarem que os seus direitos no âmbito do RGPD foram violados. 

Lembre-se de que o RGPD é o xerife global da privacidade dos dados, garantindo que as empresas não brincam com as informações pessoais das pessoas. É o guardião dos seus dados, mantendo o mundo digital sob controlo.

Como é que as empresas podem proteger os dados dos seus clientes?

Para as empresas que pretendem melhorar a sua segurança, considere estas dicas úteis:

• Implementar a segmentação da rede: Pense nisto como construir muros no seu reino digital. Se uma área for violada, as outras podem manter-se fortes. É como ter compartimentos secretos no seu cofre de dados.
• Aplicar políticas e procedimentos de segurança: Defina as regras e certifique-se de que todos as cumprem. É como ter um manual de segurança - todos sabem o que é permitido e o que é proibido.
• Efetuar frequentemente cópias de segurança dos dados: Imagine os seus dados como um tesouro e as cópias de segurança como um esconderijo secreto. Se os piratas vierem (também conhecidos como violações de dados), ainda tem o seu esconderijo secreto para recorrer. 
• Estabelecer um plano de resposta abrangente para violações de dados: Planear todos os passos - desde a deteção do problema até à sua resolução. 

Impacto do roubo de identidade e da utilização indevida de informações pessoais

A usurpação de identidade não é uma brincadeira - pode trazer sérias dores de cabeça a nível financeiro. Imagine que alguém se faz passar por si e vai às compras ou contrai empréstimos em seu nome sem o pedir - ou, pior ainda, leva a cabo actividades ilegais! 

A usurpação de identidade e o roubo de informações pessoais podem levar a: 

1. Danos financeiros graves 
2. Angústia emocional e ansiedade 
3. Perturbação jurídica por crimes cometidos em seu nome
4. Perda de credibilidade e reputação no sector 
5. Perda de confiança dos clientes

Palavras finais

Um vetor popular para a recuperação de informações pessoais são os e-mails de phishing que se fazem passar por ou falsificam o seu nome de domínio. Recomendamos a configuração de um DMARC para que seus emails e domínios permaneçam protegidos contra isso. E não há melhor maneira de configurar e monitorizar a sua implementação com segurança do que o PowerDMARC! Somos uma equipa de especialistas em segurança de domínios que se especializam em ajudá-lo a minimizar a fraude de e-mail através da autenticação. Entre em contacto hoje para uma teste gratuito do DMARC!

Não se esqueça de partilhar o mínimo possível de informações pessoais na Internet! Mantenha-se seguro e vigilante em linha.

• Sobre
• Últimos Posts

Ahona Rudra

Ahona é gerente de marketing da PowerDMARC, com mais de 5 anos de experiência em escrever sobre tópicos de segurança cibernética, especializada em segurança de domínio e e-mail. Ahona possui uma pós-graduação em Jornalismo e Comunicação, solidificando sua carreira no setor de segurança desde 2019.

Últimos posts de Ahona Rudra (ver todos)

• A Blockchain pode ajudar a melhorar a segurança do e-mail? - 9 de maio de 2024
• Proxies de centro de dados: Revelando o cavalo de batalha do mundo proxy - 7 de maio de 2024
• Kimsuky explora políticas DMARC "Nenhum" em recentes ataques de phishing - 6 de maio de 2024