是全名PII?

<h1>什么是个人可识别信息(PII)</h1>
<blockquote>不 <em>一</em> 规则确定被认为是pii的是什么. PII是一组数据,但是任何一条信息都可以视为PII. 例如,全名不足以让攻击者使用,但是社会保险号可以识别一个人. 名字和姓氏缩小了个人的身份,但是如果没有地址和更具体的信息,个人仍然可以保持匿名. 为了使PII有效,它必须提供足够的信息,这些信息可以明确识别数百万其他人的个人.</blockquote>
<h2>通过网络和用户研究收集个人身份信息</h2>
<p>能源效率和可再生能源办公室(EERE)对网站,应用程序,客户调查和用户体验(UX)研究有要求,该研究收集了有关个人数据的数据,也称为个人身份信息(PII).</p>
<p>你.s. 能源部(DOE)将PII定义为:</p>
<p>部门收集或维护的有关个人的任何信息,包括但不限于教育,金融交易,病史以及犯罪或就业历史,以及可用于区分或追踪个人身份的信息,例如他/她姓名,社会保险号,出生日期和地点,母亲的娘家姓名,生物识别数据以及与特定个人链接或链接的任何其他个人信息.</p>
<p>您收集的任何个人信息可能是PII. 如果电子邮件地址包括一个人的全名,也可能是PII.</p>
<p>如果您的项目涉及PII,则必须确定以下内容:</p>
<ul>
<li>它有多敏感</li>
<li>您是否需要提交隐私影响评估</li>
<li>如何托管PII</li>
<li>如何准备PII释放.</li>
</ul>
<h2>确定数据的灵敏度水平</h2>
<p>PII基于对个人或组织造成的伤害,尴尬或不便,如果该信息丢失,妥协或披露,则会对个人或组织造成的不便.</p>
<p>确定收集的敏感性可以是主观的. 它取决于许多因素,例如您要收集的信息,彼此相关的信息以及如何使用它. 通常,与个人相关的信息越多,PII变得越敏感. 因此,您应该始终收集 <em>必要的小pii</em>.</p>
<p>了解您的收藏的敏感程度:</p>
<ul>
<li>写下您想在调查或UX研究中提出的问题.</li>
<li>考虑整体问题. 您将收集多少有关每个人的信息? 如果释放它会造成多少伤害? 您将如何处理收集的PII? 您是否需要所有这些才能成功成功?</li>
</ul>
<p>EERE禁止在其网站上收集高敏性PII. 当发生两件事之一时,您的PII具有&ldquo;高&rdquo;敏感性:</p>
<ul>
<li>您要求提供有关个人(例如社会保险号或生物识别标识符)对个人产生严重或灾难性影响的信息(例如指纹.)</li>
<li>您提出了许多问题,从整体上讲,创建一个人的完整和深入的个人资料.</li>
</ul>
<h2>提交隐私影响评估表</h2>
<p>如果您需要为您的项目收集PII,请在与Web治理团队(WGT)的概念会议中提及。. 发送WGT您的项目宪章,并包括您要收集的信息,将如何收集该信息以及将其存储的位置.</p>
<p>WGT会告诉您是否需要填写隐私影响评估(PIA). 如果需要,请填写PIA并将其发送到WGT.</p>
<h2>托管和存储个人身份信息</h2>
<p>所有PII必须存储在DOE计算机上. 这意味着:</p>
<ul>
<li>如果您想使用第三方网站收集PII,则必须将EERE认可的软件工具之一用于UX研究项目或活动注册系统.</li>
<li>收集PII的数据库必须托管在EERE集中式Web托管环境或符合EERE安全要求的另一台服务器上.</li>
<li>包括PII的文件(例如Excel或Word Files)应存储在DOE计算机上,而不是闪存驱动器或移动设备上.</li>
<li>在删除PII之前,不能公开发布包含PII的文件.</li>
<li>当您不再需要时处理PII.</li>
</ul>
<p>如果您对可以收集哪些信息以及可以存储何处的信息有疑问,请联系网络治理团队并参加会议.</p>
<h2>准备数据以进行分析或发布</h2>
<p>如果您可以使用所有PII删除所有数据,请这样做. 通过用个人不相关的匿名数据替换PII,例如ID号或别名. 将此匿名数据存储在您的计算机上并删除所有PII.</p>
<p>在所有PII均已删除之前,无法公开发布信息或在DOE外发布.</p>
<h2>什么是个人可识别信息(PII)?</h2>
<p>个人可识别信息(PII)是一组数据,可用于区分特定个人. 它被认为是敏感的数据,这是身份盗用中使用的信息. PII可以像用户的名称,地址和出生日期一样简单,也可以像全名,地址,社会安全号码和财务数据一样敏感. 在数据泄露中,PII是攻击者的目标,因为它在Darknet市场上出售时价值很高.</p>
<h2>什么被认为是pii?</h2>
<p>不 <em>一</em> 规则确定被认为是pii的是什么. PII是一组数据,但是任何一条信息都可以视为PII. 例如,全名不足以让攻击者使用,但是社会保险号可以识别一个人. 名字和姓氏缩小了个人的身份,但是如果没有地址和更具体的信息,个人仍然可以保持匿名. 为了使PII有效,它必须提供足够的信息,这些信息可以明确识别数百万其他人的个人.</p>
<p>尽管没有一个PII的定义,但如果在妥协中违反了足够的数据,则可以将以下列表视为PII. 一个或所有以下信息可以在数据泄露中使用:</p>
<ul>
<li>名.</li>
<li>姓.</li>
<li>帐单地址.</li>
<li>家庭地址.</li>
<li>社会安全号码.</li>
<li>护照信息(或图像的图像).</li>
<li>驾驶执照号码(或图像的图像).</li>
<li>信用卡数据(数字,CVV,到期日期).</li>
<li>出生日期.</li>
<li>电话号码.</li>
<li>身份验证凭证(用户名和密码).</li>
</ul>
<p>以上信息可用于识别一个人,但是其他数据对攻击者可能更有用.</p>
<p>以下信息本身对攻击者没有用,但可以与上述信息一起使用以窃取目标用户的身份:</p>
<ul>
<li>只是名字或姓氏,而不是全名.</li>
<li>国家和/或城市.</li>
<li>性别.</li>
<li>种族.</li>
<li>年龄范围(E.G., 30-40岁).</li>
<li>工作职位或职业信息.</li>
</ul>
<p>以上项目不是详尽的清单. 任何可用于识别个人的信息都可以视为PII. 正是公司继续保护攻击者.</p>
<h2>敏感与非敏感PII</h2>
<p>重要的是要区分敏感和非敏感的PII,因为敏感信息由合规标准调节,必须受监管机构规定的几种网络安全标准保护. 过度敏感的数据(例如社会保险号和财务数据)需要广泛的安全性以保护其免受攻击.</p>
<p>就像PII的定义一样,定义敏感数据的内容没有设置规则或标准. 一个好的做法是确定信息是否公开可用,而不是在电话簿或公共数据库中找不到的信息. 电话号码可以是私人的,但是公共电话号码和名称不被视为私人数据. 在公司目录中找到的员工名称和电子邮件地址不是敏感数据,但是员工的私人电话号码和地址将被视为敏感的.</p>
<p>监管标准定义了必须存储和传输敏感数据的方式. 敏感数据在存储时必须加密,并在整个网络上传输时. 存储在驱动器或数据库中的数据称为&ldquo;静止数据&rdquo;. 跨公司网络或网络传输的数据称为&ldquo;运动数据&rdquo;. 这两个版本都容易受到攻击者,并且必须具有最佳的网络安全防御能力.</p>
<p>除PII外,受保护的医疗保健信息(PHI)和财务数据还受标准调节,必须通过以下准则确保:健康保险可移植性和问责制法(HIPAA)监督医疗保健数据并定义了医生,医院,医院,医院,医院,医院,医院的网络安全标准牙医,保险公司等. 几个监管财务数据,包括PCI-DS,金融行业监管机构(FINRA),Sarbanes-Oxley(Sox)等. 违反这些标准可能会导致数百万美元的罚款,因此确保按照这些合规性标准之一调节的敏感数据至关重要.</p>
<h2>在一般数据保护法规(GDPR)下的PII是什么?</h2>
<p>欧盟一般数据保护法规(GDPR)定义了公司必须与PII合作的方式. 它提供了有关被视为PII的指南,以及为存储,保护和删除必须采取的措施. GDPR清单为组织提供了一种识别其PII管理是否正确的方法.</p>
<p>GDPR在拥有250名员工的公司和较少员工的公司之间划清界限. 该清单以将组织加密在静止状态和运动中的数据加密方式指示组织. 披露时,加密是匿名数据的主要策略. 即使攻击者可以损害内部网络,加密也会使攻击者无法使用的数据.</p>
<p>其他几个网络安全标准监督欧盟居民数据. 组织不仅必须确保在工程防御措施时确保数据是优先事项,而且还必须为客户提供一种简单的方法来了解其数据的使用方式并要求删除数据. 客户还应该有能力防止组织使用和收集其数据.</p>
<p>如果组织必须遵循GDPR,则必须审查法律的要求,因为它们与其他监管标准是独一无二的. 例如,GDPR指出cookie可以视为pii. 法律区分了PII和&ldquo;个人标识符&rdquo;. 添加到个人信息中的个人标识符将为攻击者提供从基本个人信息中识别个人所需的数据. 例如,攻击者对&ldquo; John Doe&rdquo;的名字不能做得太多,但是将其与地理位置数据结合在一起,攻击者可以将搜索范围缩小到正确的John Doe.</p>
<h2>与PII合作的最佳网络安全实践</h2>
<p>监管治理合规标准是确保敏感数据的最佳准则. 这些标准是设计网络安全政策并管理数据的使用方式的绝佳起点,但它们并未为所有公司系统提供全套策略. 可以根据组织的独特要求列表来考虑其他网络安全策略.</p>
<p>例如,传输敏感数据时,HIPAA和PCI-DSS可能要求组织使用SSL/TLS(HTTP). 然后,将要求组织加密数据库中的任何敏感数据. 但是,您仍然需要定义一组内部访问,备份,档案馆以及组织内的策略,可以查看PII. 如果用户远程访问PII,则应要求使用VPN和多因素身份验证(MFA).</p>
<p>网络钓鱼和社会工程攻击对于凭证盗窃很常见. 应该对员工进行网络钓鱼和社会工程的危险进行教育,应教导他们承认攻击并报告. 监督数据和访问数据的人的总体教育应该是员工教育的一部分. 其他几种网络安全解决方案可用于停止网络钓鱼,例如电子邮件过滤器,DMARC,SPF和基于DNS的内容阻滞剂.</p>
<p>至少每年必须定期审查网络安全策略. 在事件响应的一个阶段中学到的经验教训,此阶段有助于找到策略的问题,但是只有在数据泄露发生后才发生. 定期审查当前的网络安全策略和部署的基础设施将有助于IT员工更好地实现当前防御的弱点.</p>
<p>PHI,PII,个人理财信息(PFI)和电子PHI(Ephi)是必须在身体和虚拟上受到保护的数字数据的形式. 第一步是确定组织收集数据的所有方式,确定监督数据处理方式的监管标准,然后应用遵循所有准则的策略.</p>
<h2>什么是PII,它如何影响隐私?</h2>
<p>个人身份信息(或PII)已成为快速发展的数据隐私景观的重要术语.</p>
<p>数据隐私与谁应该访问某人的个人数据有关的地方,PII试图回答该个人数据应该是什么问题.</p>
<p>国家标准技术研究所(NIST)将PII定义为:</p>
<p><img src=”https://images.ctfassets.net/bommwh0ti10p/1x6mvyUlUTSNeVCWPKRmXJ/76b555f561750be4200ce7635e57414e/IA91_-_internal_graphic-2.jpg?w=920″ alt=”nist Quote” width=”598″ height=”313″ /></p>
<p>一个简单的定义可能是PII是可以单独或与其他数据结合的任何信息来识别个人.</p>
<p>在本文中,我们将研究各种类型的PII,它们的链接方式,姿势的风险以及如何帮助保护员工PII免受不必要的暴露. 当员工的身份被盗时,公司为什么要关心您的人力资源部门可能想在保护员工数据隐私方面处于最前沿的许多原因. 本文将帮助您发现该数据是什么以及如何保护它.</p>
<h2>哪些数据被认为是PII?</h2>
<p>PII有几种不同的口味. 有常规的PII和可连接的PII,敏感的PII和非敏感PII之间有区别,最后是非PII. 因此,如果您对PII的真正涵盖感到困惑,那么您并不孤单.</p>
<p>首先,让我们考虑构成PII核心的数据. 这些都是直接导致特定个人的信息点,在大多数情况下,只有该个人.</p>
<p>核心PII数据的示例包括:</p>
<ul>
<li>全名</li>
<li>社会安全号码</li>
<li>护照号</li>
<li>驾驶执照号码</li>
<li>税号</li>
<li>VIN号</li>
<li>患者识别数字</li>
<li>财务和信用卡帐号</li>
<li>街道地址</li>
<li>电子邮件地址</li>
<li>电话号码</li>
<li>摄影图像</li>
<li>指纹</li>
<li>手写样品</li>
<li>视网膜地图</li>
<li>语音签名</li>
<li>IP地址</li>
<li>登录信息</li>
</ul>
<p>如您所见,其中一些标识符 – 社会保障,驾驶执照和指纹 – 是您独特的. 其他人 – 全名,街道地址 – 可以由其他人共享,但具有足够强的标识符,可以标记为PII. 有些(VIN号,电话号码,信用卡号)是暂时的,因为它们的所有权随着您的所有权而变化,但它们仍然与特定人的身份一对一地联系在一起.</p>
<p>至于登录凭据,用户名和密码一起是PII的一种形式. 一个人,用户名可能或可能不是. 例如,一个毫无意义的用户名,例如 <i>Robotduck123</i> 不会直接识别一个人. 但是一个用户名显示了他们的全名,生日或毕业的生日或年份,例如 <i>约翰史密斯96</i>, 与仅这两件事中的任何一个都更强的PII形式.</p>
<p>敏感的PII是一个用来分开与pii紧密绑定或可以访问个人最敏感数据的pii的术语. 这包括来自医疗和医疗保健,金融,保险,税收,就业,兵役,教育等领域的个人记录. 这些敏感帐户之类的信息(例如社会安全号码,视网膜地图和登录凭据)被认为是敏感的(或至少可以使其更容易访问).</p>
<p>由于多种原因,电子邮件被认为敏感. 首先,它们代表一个人的在线身份,就像全名一样. 其次,他们经常作为各种帐户的用户名加倍. 第三,大多数电子邮件收件箱在敏感的个人和帐户相关数据方面都包含很多. 第四,由于电子邮件与许多密码重置和安全性功能相关.</p>
<h2>什么是可连接的pii,它有何不同</h2>
<p>可链接的PII是无法直接追溯到特定人的个人数据的形式. 尽管他们可能申请该人或描述他们,但他们对许多其他人来说都是共同的,而他们本身不会制造出好的标识符.</p>
<p>但是,当与其他形式的PII结合使用时,它们可以帮助提供更严格的识别. 这就是为什么许多应用程序请求各种可链接的PII信息,以帮助组织在需要时验证一个人的身份. 它也是大数据的目标之一,即收集尽可能多的这些准标识符以及其他个人数据点,以创建预测行为所需的深层概况.</p>
<p>PII的一些可连接形式包括:</p>
<ul>
<li>独自一个或姓氏</li>
<li>城市</li>
<li>状态</li>
<li>邮政编码</li>
<li>国家</li>
<li>其他地理参考(例如东部U.s.)</li>
<li>种族</li>
<li>性别</li>
<li>一般年龄或年龄段</li>
<li>出生日期</li>
<li>出生地</li>
<li>职业</li>
<li>雇主</li>
<li>商务电话或地址</li>
<li>宗教</li>
<li>婚姻状况</li>
<li>国籍</li>
</ul>
<p>此可连接的PII列表只是样本. 这里还有更多未列出的数据点也可以链接到某人的身份. 任何可以帮助定义或描述特定人的东西都是潜在的可连接的PII候选人.</p>
<p>尽管某些规则和法规可能仅针对敏感的PII数据,但可连接的PII区分很重要,因为它们可以通过将多个数据源组合在一起来查明身份.</p>
<h2>什么时候不被视为pii?</h2>
<p>许多公司同时使用匿名技术来满足隐私法,道德考虑和大数据需求. 匿名化的作用是剥离可识别的零件或与数据的连接,而PII则作为独立值. 这样,公司可以共享通常将其视为可连接PII的数据与合作伙伴和市场研究人员等第三方.</p>
<p>不幸的是,存在 <u>去匿名技术</u> 使共享匿名PII数据成为一个模糊的潜在客户. 公司将不得不自己确定哪些匿名技术足够安全以确保其PII数据安全.</p>
<p>汇总PII数据是匿名化的另一种常见方法. 通过共享总数而不是个人价值,没有一个数据可以追溯到一个特定的人. 不幸的是,尽管这种方法肯定可以有用,但它可能对营销人员吸引力,因为结果数据适用于群体而不是个人.</p>
<p>至于不被视为PII的个人数据,可以轻松易换手(例如智能手机)或重复的活动和对象通常会属于此类别. 这里包括:</p>
<ul>
<li>设备ID</li>
<li>非专业的IP地址</li>
<li>浏览器饼干</li>
<li>浏览和搜索历史</li>
</ul>
<p>尽管这些形式的数据通常不被视为PII,但最新的更新欧洲的更新 <u>一般家庭隐私法规</u> (GDPR)确实在其个人数据的定义中包括其中一些数据点 – 欧盟相当于PII.</p>
<p>正如我们接下来会看到的那样,政府如何定义和处理数据隐私问题,也可以产生巨大的影响.</p>
<h2>使用PII的规则是什么?</h2>
<p>到目前为止,涉及数据隐私的最全面的规则是欧洲的GDPR.</p>
<p>GDPR于2016年通过,并于2018年5月生效.</p>
<p>如上所述,GDPR使用术语&ldquo;个人数据&rdquo;,而不是主要在U中使用的PII名称.s. 由于大多数网站本质上都是全球性的,两个定义不是相同的,因此了解差异很重要. 与欧盟开展业务的公司 – 甚至从欧盟公民那里收集数据都将符合GDPR法规. 这包括法规对IP地址,设备ID和一些cookie信息的观点.</p>
<p>那些不符合GDPR的人可能会面临欧盟成员国的严厉罚款. 这 <u>到目前为止,其中最大的是2.28亿美元的罚款</u> 传给英国航空公司. <u>Google被罚款5700万美元</u> 由法国监管机构. 似乎这样的罚款只是开始 <u>更多的GDPR案件正在管道中</u> 并且可以在不久的将来解决.</p>
<p>在你.s., 数据隐私规则正在以一种更零的方法发展. 在没有主要联邦法规的情况下,法院和州立法机关一直在制定规则并设定先例来处理他们面临的隐私问题.</p>
<p>宾夕法尼亚州最高法院设定了具有里程碑意义的先例 <u>Dittman vs. UPMC</u>. 它裁定公司有 <i>义务</i> 保护员工的数据隐私. 当外部黑客在匹兹堡大学医学中心公开了62,000名员工的个人数据时,判断是他们没有充分保护该数据,因此负责.</p>
<p>在加利福尼亚州,立法者签署了 <u>加利福尼亚州消费者隐私法</u> (CCPA),将于2020年1月生效. 作为最严格的你之一.s. 迄今为止的准则,这可能成为试图遵守各种U.s. 规则.</p>
<p>在联邦阵线上,FTC与执行现有的隐私和消费者保护标准有关. 这是最近在他们的 <u>与Facebook一起记录50亿美元的和解协议</u>. 最近的其他定居点包括超过5.75亿美元 <u>Equifax的2017年违规</u> 和2亿美元 <u>Google违反《儿童在线隐私保护法》</u>.</p>
<p>最有趣的发展之一是 <u>发送给国会的公开信</u> 由业务圆桌会议,来自200多个领导U的首席执行官协会.s. 公司. 他们在信中敦促联邦政府制定更一致的数据隐私立法,并提供了一个框架.</p>
<h2>小偷如何进入PII?</h2>
<p>大规模违规可能会损害最敏感的PII记录. 涉及数百万用户的违规行为已成为几乎每周的例行程序. 仅2019年的前六个月就已经看到了 <u>3,800个报告涉及4的违规行为.10亿记录</u>.</p>
<p>黑客然后尝试 <u>在黑暗的网上出售这些记录</u> 犯罪分子,例如有组织的犯罪和身份盗贼. 有时,涉及违规行为的PII可能足以直接劫持帐户. 例如,当登录凭据被盗时,这是正确的.</p>
<p>其他时候,身份小偷可能需要获得比从违规中获得的信息更多的信息. 其中一些是:</p>
<ol>
<li><b>垃圾箱潜水</b> 可以揭示广泛的PII数据,从地址和电话号码到年龄和兴趣到账户和语句.</li>
<li><b>窃取邮件</b> 可以通过直接从邮箱中获取未打开的邮件来提供敏感和非敏感的个人数据.</li>
<li><b>钱包或钱包抢夺</b> 人们始终涉及一些最敏感的数据. 公文包和智能手机是其他潜在的目标,聪明的小偷可能会动手.</li>
<li><b>彩票和获奖通知</b> 不幸的是,通常只不过是旨在捕获黑客和身份盗贼数据的骗局.</li>
<li><b>浏览借记卡或信用卡号</b> 并不像以前那样普遍,大多数这样的卡都升级到内置EMV芯片,但是某些技术仍然使用这些技术来捕获引脚和其他数据.</li>
<li><b>网络钓鱼</b> 引诱受害者通过欺骗性电子邮件或文本提供特定的PII数据. 这些消息通常会导致伪造的网站,要求目标提交密码和其他数据.</li>
<li><b>预测</b> 类似于网络钓鱼,数据盗贼提供了一个理由或借口来查询个人信息. 他们可以作为一项调查,提出奖励或服务的资格预审问题,或假装从当前的业务关系之后的客户服务。.</li>
<li><b>获得信用报告</b> 通过摆姿势作为雇主或租赁代理可以为身份盗用提供大量个人数据.</li>
<li><b>社交媒体</b> 通常提供大量可链接的PII数据,很容易搜索和访问任何花时间的人.</li>
<li><b>无抵押的互联网活动</b> 为黑客提供了一种手段,可以从未受保护的电子设备中挖出各种个人数据.</li>
</ol>
<h2>链接PII来源如何导致身份盗用</h2>
<p>仅仅因为一块PII数据落入错误的手并不意味着身份盗用是不可避免的. 除非PII包括登录凭证,否则身份小偷仍然需要花费一些努力来妥协帐户.</p>
<p>那是可连接的PII可以构成危险的地方. 即使身份小偷只能从漏洞中获取某些数据,他们通常也可以将其与从其他列表或来源收集的数据匹配. 只要有连接的共同点 – 姓氏,邮政编码,社会安全号码的最后四位数字,等等. – 他们可以像难题一样开始将身份拼凑在一起.</p>
<p>他们还可能使用可以在社交媒体上很容易找到的信息来填补空白. 或者他们可能会创建一个假网站并发送网络钓鱼电子邮件以尝试捕获丢失的密码或其他数据.</p>
<p>2015年,美国国税局(IRS)的目标是违反100,000个个人记录. 身份盗贼通过将来自不同来源的PII数据拼凑在一起,包括以前违规中偷来的数据来完成此操作,以正确回答用户设定的安全问题. 由于该计划,大约发出了大约15,000张欺诈性退税.</p>
<h2>PII与数字足迹之间的关系</h2>
<p>您的员工每个人都有 <u>数字足迹,代表所有在线活动的记录</u>. 它包括在线帐户和交易,浏览历史,搜索历史等等. 他们访问的每个网站至少暂时成为其数字足迹的一部分. 这是因为他们的浏览器将IP地址传递给每个访问的网站. 大多数浏览器还共享最后一次访问之前访问的域.</p>
<p>当然,任何人都可以清除浏览器历史记录. 但是他们无法清除这些网站收集的数据. 大多数是那些 <u>公司使用该信息</u> 对于人口研究和营销研究之类的事物,如果他们根本使用它.</p>
<p>当员工向他们提供更多信息(无论是电子邮件还是完整的帐户配置文件)时,他们的IP地址已与他们的PII连接. 现在,该公司可能会将其PII用于其他事物,例如向它们出售商品和服务.</p>
<p>这就是数字足迹的增长方式. 员工提供信息的网站越多,员工的占地面积就越大. 而且由于这些站点要求的大多数数据是PII或可连接的PII,因此PII的暴露会随之增长. 即使我们开始使用的IP地址,虽然它在u中不被视为pii.s. (至少还没有) <i>是</i> 被认为是个人数据并受欧洲GDPR的保护. 饼干也是如此. 虽然被认为是u中的非pii.s., GDPR识别某些可以在cookie内部收集的数据是个人本质上的.</p>
<p>不管您是否关注您.s. 策略,GDPR或两者兼有数字足迹通常包括PII和非PII数据的混合. 这样,您可以将PII视为数字足迹的子集. 该足迹的某些部分可能包含更多的PII,而其他部分则更少. 在尝试减少员工PII的暴露时,要注意这一点很重要..</p>
<p>在几乎没有PII的领域减少其数字足迹仍然是一个好主意,但可能对他们的数据隐私不像您可能假设的那样有用. 同样,在存在多种PII来源的领域,减少其数字足迹可能有助于他们大大减少身份盗用的风险.</p>
<h2>保护PII</h2>
<p>因为有很多获取PII数据的方法,所以也有很多方法来保护它.</p>
<p><u>帮助减少员工的数字足迹</u> 是减少其PII被违反的机会的一种方法. 保护和减少数字足迹的一些方法是:</p>
<ul>
<li>警惕社交网络,应用程序和提交表格上共享的内容</li>
<li>避免不安全的网站</li>
<li>在公共网络上谨慎</li>
<li>删除不需要的东西</li>
</ul>
<p>从他们的帐户中删除不必要的pii意味着如果发生违规情况,可以使用较少的个人数据来处理身份小偷. 许多人填写可选字段而无需三思而后行. 但是,如果不需要信息,为什么要分享?</p>
<p>保护他们的PII的另一种方法是鼓励他们如何处理敏感数据. 在发送并仅存储在受保护的网络上之前,应加密社会保险号以及医疗,财务和税号之类. 存储敏感数据(例如智能手机和计算机)的设备应通过密码或其他保护方式确保.</p>
<p>他们还可以通过破坏PII的物理痕迹来删除身份盗贼可用的一些数据收集选项. 将文档切碎,从盒子上删除邮寄标签以及在处置之前擦拭和销毁旧的硬盘驱动器就是这样的例子.</p>
<p>至于在线帐户, <u>为每个人提供强大,独特的密码</u> 提供比使用姓氏和生日的密码提供更多的保护.</p>
<p>简单地意识到PII,数据隐私权以及管理公司使用个人数据的法律可以帮助您的员工从长远来看做出更好的决定.</p>
<p>这些更好的决定之一是利用身份盗用保护服务. 诸如PrivacyArmor之类的服务不仅可以帮助您的员工确保并监视其PII,而且还可以帮助他们补救和恢复自己的身份……甚至 <u>偿还其财务损失</u>.</p>
<p>如果您需要一些建议 <u>如何与您的C-Suite进行讨论</u> 关于PII和身份盗窃保护的重要性,我们提供了一些答案,可能会对您有所帮助.</p>
<p>作为人力资源专业人员, <i>你</i> 通过理解和保护自己的PII,可以帮助员工确保其身份安全的理想位置. 向他们展示如何控制放置PII的位置以及如何保护他们共享的PII.</p>
<h2>内容经理:存储个人身份信息(PII)数据</h2>
<p>PII被不同的立法者和监管机构视为个人信息,因此,Wix的处理方式与其他内容或数据不同。.</p>
<p>虽然所有WIX记录都存储在我们的数据库机器的磁盘上,但对于PII等敏感数据,我们的政策是在应用程序级别的数据中添加另一层保护.</p>
<strong>笔记:</strong>
<p>PII加密不会更改数据访问权限. 必须设置适当的权限以维护数据的机密性. 在此处阅读有关您的收集权限的更多信息.</p>
<h4>在本文中,了解:</h4>
<ul>
<li>PII数据处理中的最佳实践</li>
<li>PII的加密和存储</li>
<li>可以被视为公共的PII</li>
<li>与GDPR有关的PI​​I</li>
</ul>
<h3>PII数据处理中的最佳实践</h3>
<p>作为保护数据,特别是PII记录(例如PII记录)的努力的一部分,Wix指南要求所有PII数据都由处理数据的应用程序加密存储.</p>
<p>首先,您应确保设置了收集的权限,不允许任何没有相关权限的人阅读,更新或删除数据. 您可以在此处了解有关安全最佳实践的更多信息.</p>
<p>对于Wix站点,这意味着任何包含PII数据的收集字段(E.G. 收集和存储网站访问者敏感数据等的营销网站等.)应该加密. 要允许对字段进行加密,您需要启用 <strong>pii</strong> 在内容管理器中切换:</p>
请注意启用PII切换后字段名称旁边的绿色PII指示器.
<p>将所有相关字段标记为PII后,发布您的网站以确保新更改生效.</p>
<h3>PII的加密和存储</h3>
<p>本节包括有关如何加密PII数据的更多详细信息,如何将其存储到其他数据以及其局限性是多少.</p>
<h4>如何将加密应用于数据:</h4>
<ul>
<li>标记为PII的所有字段都会自动迁移,以使用唯一的加密密钥在集合中加密存储.</li>
<li>现场的数据使用具有256位站点加密密钥的AE进行加密存储.</li>
<li>立即应用加密(并影响实时和沙箱). <br /><strong>笔记:</strong> 当加密过程立即开始时,根据要加密的数据大小,可能仍需要一些时间才能完成. 但是,当加密发生在幕后 – 您可以按照往常地继续处理网站的数据.</li>
<li>访问数据会自动以与其他字段相同的方式返回.</li>
<li>导出数据可用于与本地收集数据一起使用或导入到指定的. 系统. 无论采用哪种方法,都不建议您在工作站上保留本地的大量PII列表.</li>
<li>所有数据备份都使用同一站点密钥全面加密,而不管任何PII数据如何.</li>
</ul>
<h4>PII加密数据的局限性:</h4>
<ul>
<li>如果该数据通过权限误解暴露,则PII加密不能保护集合中的数据 – 请确保正确设置收集权限. 了解更多</li>
<li>PII加密字段通过代码或CMS搜索的功能有限.</li>
<li>一旦将字段标记为PII加密字段,它就会禁用该字段的某些功能,例如排序和查询操作,而不是&ldquo; eq&rdquo;,i.e. 仅通过精确匹配查询该字段.</li>
</ul>
<h3>可以被视为公共的PII</h3>
<p>PII数据不一定是私人信息. 例如,网站的所有者可以显示员工的私人电话号码,这些电话号码可在电话簿中找到;但是,这些数字应被视为PII.</p>
<p>对于这样的示例,不必使用PII加密,因为它被视为公共数据.</p>
<h3>与GDPR有关的PI​​I</h3>
<p>除其他权利外,客户有权根据GDPR随时访问或删除其数据(以及类似的隐私法,例如LGPD和CCPA). 使用WIX,您可以为您的网站访问者提供访问其数据或完全从数据库中删除数据的权利.</p>
<p>作为网站所有者,您有责任回复并允许您的网站访问者行使其访问权利并删除其数据. 同样,如果您收到删除请求,则必须确保删除其所有数据. 了解更多</p>
<p>重要的是要注意,当网站访问者请求访问其数据(在其中提供数据文件)或删除数据时,有某些数据不包含在访问已访问的数据文件或已删除的数据中. 这包括有关站点访问者和由自定义流(例如Wix表单)收集的成员的数据,或存储在集合中的自定义流中的数据.</p>
<strong>重要的:</strong>
<p>将您的数据标记为PII并使用加密工具可能不能保证遵守其他立法,例如U.s. 健康保险可移植性和问责制法(HIPAA).</p>