识别和保护 PII(个人身份信息)
作者:
阅读时间 7 分钟
谁会希望自己的个人身份信息和敏感数据被泄露并被用于欺诈活动?但可悲的现实是,这种情况现在已经司空见惯。
最近的一项调查显示,在 2021 年至 2023 年期间发生的数据泄露事件中,近 50% 涉及客户的个人身份信息 (PII),其中 40% 来自员工。这些数据是在 a调查中记录的。.
PII 并不复杂,但了解它是什么以及保护它的重要性仍然很重要。本指南包含所有答案,可帮助您保护您的 PII 和您自己。
什么是 PII(个人身份信息)?
PII 即个人身份信息,是您身份的重要组成部分,可以直接指向您。
把它想象成一个秘密代码,单独使用或与其他信息混合使用,都能揭示你的身份。因此,它不仅仅是你的姓名和地址;它就像拼图,拼在一起就能拼出 "你 "的全貌。
例如,假设你叫约翰。全世界有很多人拥有相同的名字,因此不能将其视为 PII。但是,如果我们说你叫无名氏,住在曼哈顿,社会保险号是 AXY123 呢?现在,它就成了一个 PII,可以将你与住在其他地区的其他约翰唯一地识别出来。
PII 可分为非敏感信息和敏感信息。接下来我们将介绍它。
非敏感和敏感 PII 信息
美国国防部提供了一份 示例清单有关 PII 的例子。从社会保险号到个人地址,所有这些都属于个人身份信息。
让我们来看看 PII 的两个不同类别:
敏感 PII
敏感 PII 是指很容易识别个人的信息。如果被网络犯罪分子获取,这类 PII 可能会对个人造成损害。
敏感个人身份信息示例
- 社会保障号(SSN)
- 驾驶执照
- 邮寄地址
- 信用卡信息
- 护照信息
- 财务信息
- 医疗记录
非敏感 PII
任何可识别个人身份但不能用于伤害个人的信息(如婚前姓氏)都被定义为非敏感 PII。
非敏感个人身份信息示例
- 姓名
- 邮政编码
- 竞赛
- 性别
- 出生日期
- 出生地
- 宗教
如果您或任何企业想要收集 PII,他们就必须使用在线表格、调查和社交媒体,并最好附上保密协议。确保在向他人提供 PII 时,检查他们是否制定了适当的信息使用、存储和保护计划。
PII 为何重要?
PII 至关重要,因为它能保护您的数据。任何拥有您 PII 的企业或组织都有法律义务不惜一切代价保护您的 PII。它为您个人信息的安全提供了保障。
企业可以将您的信息用于多种用途,例如
- 有针对性的广告
- 预防欺诈
- 执法
- 信用评分
- 就业筛选
PII 如何被盗?
攻击,如 社会工程使用欺骗性域名或电子邮件的社交工程等攻击都可能诱使用户泄露 PII。此外,黑客入侵电子邮件账户、数据泄露等情况也可能导致私人信息泄露。
以下是一些常见的 PII 被盗方式:
- 网络钓鱼电子邮件:伪造电子邮件诱骗受害者披露其 PII
- 数据泄露:攻击者利用系统漏洞入侵敏感数据库
- 垃圾箱潜水:从垃圾中找回包含 PII 的已删除文件
- 社会工程学:操纵毫无戒心的受害者共享个人信息
- 恶意软件:恶意软件:侵入计算机上包含 PII 的文件的恶意软件
- 内部威胁:自己的员工出于恶意或金钱目的披露 PII
- 网络窃听网络窃听:窃听在线通信以窃取 PII
- 被黑客攻击的电子邮件账户:获取电子邮件账户访问权限以阅读包含 PII 的聊天内容
- 中间人攻击:攻击者拦截在线通信以窃取 PII
- 暴力攻击:通过使用暴力手段(如不断重试)未经授权访问账户,然后窃取 PII
保护 PII 的方法
各国已通过多项数据保护法律,为收集、存储和共享客户个人信息的公司制定指导方针。让我们来看看如何保护您的 PII。
- 必要时使用强密码。
- 谨慎对待您在网上分享的详细信息。
- 例行监控您的信用报告,查找欺诈迹象。
如果您是企业主,您应该考虑以下步骤:
- 只收集提供特定服务所需的 PII。
- 企业使用的加密技术应该非常强大,以防止员工和客户的 PII 遭到未经授权的访问。
- 只有履行职责所需的员工才能访问 PII。
- 应举办培训班,培训员工如何保护 PII。
- 始终密切关注任何可能突然发生的安全漏洞。
- 应制定数据泄露应对计划,以便快速应对数据泄露并将损失降到最低。
美国国土安全部还发布了一份颇有见地的 文件规定了如何安全地保护和共享您的 PII。
保护 PII 免受数据泄露的重要性
当未经公司授权的人访问计算机系统,可能导致敏感信息被获取时,就会发生数据泄露。
在研究过程中,我们发现一项研究表明 全球有超过 600 万条记录在 2023 年。这是公司领导者最担心的因素之一。
发生这些数据泄露的原因有很多,例如
- 恶意软件
- 黑客攻击
- 人为失误
企业可以遵循以下做法,保护自己的数据不被泄露:
- 采取适当的安全措施。
- 对员工进行网络安全最佳实践的教育 网络安全世界。
- 制定应对和补救计划,以防突然发生数据泄露事件。
PII 法律法规
PII 受许多法律法规的监管。这些法律和法规确保个人隐私安全,使他们不必担心冒名顶替等威胁。其中一些联邦法律包括
1.1974 年隐私法
隐私法 1974 年隐私法规定了联邦机构收集、使用和泄露 PII 的规则。该法还规定,联邦机构必须让人们知道他们是否可以披露自己的 PII,否则将受到处罚。不过,也有一些特殊情况和例外。
2.医疗保险可携性与责任法案
然后是 HIPAA,即 健康保险便携性和责任法案是健康记录的超级英雄。它要求医疗机构和医疗服务提供者必须对病人信息保密,未经同意不得披露病人的健康记录。
3.信息自由法
别忘了《信息自由法案》(FOIA 信息自由法.它是人们挖掘政府文件的金钥匙它告诉联邦机构,"除非是超级机密,否则请出示证件"所以,基本上,这是公众获取政府信息的后台通行证!不过,《信息自由法案》也是个人隐私的保护者,它要求执法机构扣留可识别个人身份或具有破坏性的信息。
4.一般数据保护条例》(GDPR)
1995 年颁布了《数据保护指令》,但后来又颁布了《数据保护条例》、 GDPR接替,以保护个人信息。现在,任何处理欧盟公民个人数据的公司,无论总部设在欧盟还是其他地方(是的,甚至美国!),都必须遵守同一套规则。
如果违反某些规定,可能会被处以巨额罚款--全球年收入的 4% 或 2,000 万欧元,以较高者为准。此外,如果个人认为自己的 GDPR 权利受到侵犯,他们有权投诉。
请记住,GDPR 是负责数据隐私的全球警长,它确保公司不会对人们的个人信息随意使用。它是您数据的守护者,为数字世界保驾护航。
企业如何保护客户数据?
对于希望提高安全水平的企业来说,可以考虑这些方便的提示:
- 实施网络细分:将其视为在数字王国中筑起围墙。如果一个区域被攻破,其他区域就能保持坚固。这就像在你的数据保险库中设置秘密隔间一样。
- 执行安全政策和程序:制定规则,确保人人遵守。这就好比有一本安全手册--每个人都知道什么是允许的,什么是大忌。
- 经常备份数据:将数据想象成宝藏,将备份想象成秘密藏匿处。如果海盗来袭(又称数据泄露),你仍有秘密藏匿处可以依靠。
- 制定全面的数据泄露应对计划:计划从发现问题到解决问题的一举一动。
身份盗窃和 PII 滥用的影响
身份盗窃可不是闹着玩的--它会带来严重的财务问题。试想一下,有人冒充您的身份疯狂购物,或者不问青红皂白就以您的名义贷款,更有甚者从事非法活动!
身份盗窃和被盗 PII 可能导致
- 严重的经济损失
- 情绪困扰和焦虑
- 以您的名义犯罪的法律纠纷
- 丧失行业信誉和声誉
- 失去客户信任
最后的话
冒充或伪造您的域名的网络钓鱼电子邮件是检索 PII 的一个常见媒介。我们建议设置 DMARC以确保您的电子邮件和域名的安全。没有比 PowerDMARC 更安全的配置和监控方法了!我们是一支域名安全专家团队,专门帮助您通过身份验证最大限度地减少电子邮件欺诈。立即联系我们,获取免费的 DMARC 试用版!
切记在互联网上尽量少分享个人信息!注意上网安全,保持警惕。
域名和电子邮件安全专家PowerDMARC
阿霍娜是 PowerDMARC 的市场经理,拥有 5 年以上的网络安全主题写作经验,擅长领域和电子邮件安全。阿霍娜拥有新闻与传播专业的研究生学位,自 2019 年以来,她在安全领域的职业生涯更加稳固。
Ahona Rudra的最新文章(查看全部)
- DMARC MSP 案例研究:CloudTech24 利用 PowerDMARC 为客户简化域安全管理- 2024 年 10 月 24 日
- 通过电子邮件发送敏感信息的安全风险- 2024 年 10 月 23 日
- 5 种社会保障电子邮件骗局及如何防范- 2024 年 10 月 3 日
