信息安全中的个人身份信息(PII)是指能够直接或间接识别个人身份的数据。
PII 有多种不同类型的正式定义,具体定义因国家和地区而异。 然而,该术语的核心含义保持不变。
定义 PII 的最常见方法(根据美国国家标准与技术研究所 [NIST] 美国)是指“允许通过直接或间接方式合理推断该信息所适用的个人身份的任何信息表示。”
同样,根据隐私和个人信息保护法,正式定义也进行了调整。 您可以查看相关的数据隐私缩写来探索更多相关信息。
目录
PII 在网络安全中的重要性🔒
网络安全是指保护和防御网络攻击。 在大多数情况下,它涉及信息安全,其中主要重点是保护系统和组织中存储的数据。
因此,了解 PII 是什么最终有助于了解正在存储哪些数据、需要保护哪些数据、如何更好地管理数据以及其他一些有助于增强安全性的事情。
通常,PII 是敏感的。 因此,恶意攻击者不应获得此类信息。 收集的任何 PII 都可能影响现实世界中的个人,而不仅仅是数字世界。
此外,隐私对于组织处理个人数据的能力起着重要作用。 而且,所涉及的个人身份信息对于反映组织的隐私游戏至关重要。 因此,无论如何,保护网络安全领域的信息至关重要。
PII 到底包含什么?
虽然我们已经定义了 PII,但您如何理解一条数据可以暴露个人身份? 🤔
要获得这个问题的答案,您需要了解哪些数据可能被归类为 PII 以及 PII 的不同类型。
不用担心; 当您继续阅读时,我们将解决这两个问题。
这些示例包括任何有助于验证个人身份的内容。 并非每个服务或组织都会收集 PII – 因此上述示例并不是您向互联网上的任何人提供的内容。
例如,支付处理商可能收集了一些属于 PII 的信息,而电子邮件服务可能存储了其他信息。
💡 这些信息可以是您的名字、姓氏、出生日期、银行帐号、家庭住址、社会安全号码、医疗信息、面部照片、手机号码、电子邮件、车牌号、指纹等。
世界上几乎所有地方都是如此,只是在什么被视为(或不被视为)PII 方面略有差异。
PII 的类型
PII 可以有两种不同的类型:直接标识符和间接标识符。
直接标识符是指个人独有的信息,例如政府身份证号码、许可证号码、电话号码、银行账号等。
任何人都可以仅根据一个直接标识符来识别您的身份,这就是它被视为 PII 类型的原因。
间接标识符(或准标识符)是指无法帮助识别您身份的单一数据。 例如,如果您随机分享您的出生地,则人们无法找到您或了解有关您的任何其他个人详细信息。
一堆间接标识符放在一起可以帮助识别您的身份。 或者可能不是? 这取决于…
有关 PII 类型和分类的更多信息
个人身份信息可分为敏感信息和非敏感信息。
敏感 PII:通常不在公共平台上共享且需要同意才能共享/存储的信息被视为敏感信息。
例如您的全名、身份证号码、驾照号码、信用卡信息、医疗信息、电话号码和财务数据。
非敏感 PII:无需个人同意即可从公共记录或互联网中提取的信息。
例如出生日期、性别、宗教信仰等等。
此外,您还可以将 PII 分类为链接信息和可链接信息。
一些链接信息可能包括:
以及敏感 PII 中包含的所有其他内容。
同样,可链接信息被认为可以拼凑在一起以帮助识别个人。
例如,姓名、邮政编码、性别和工作地点。
如果 PII 不受保护怎么办? 🔓
考虑到您知道 PII 对于网络安全至关重要,人们不禁会想,如果它不受保护怎么办?
攻击者未经您的同意就访问了可以识别个人身份的个人信息。 你永远不会知道; 当您阅读本文时,每天都会发生许多网络攻击。 所以,这不是你可以排除的事情。
社会工程、网络钓鱼攻击以及许多其他方式。
网络攻击者可以使用 PII 提取更多信息、监控您的在线活动或通过身份盗窃来诱骗您。 而这些都是大家关心的问题。
这关系到您的隐私和数字安全。 就像您希望将浏览活动或搜索数据保密一样,PII(敏感或非敏感)也应该保密。
如果没有,人们可以很快让您的身份参与欺诈或欺骗您提供赎金或进行任何非法活动。 攻击者利用这些信息从您那里提取数据、金钱和资产的可能性是无限的。
因此,通过最好的网络安全措施来保护 PII。
如何保护 PII?
与我们互动的组织和服务有责任保护我们与他们共享的 PII。
从我们的电话号码到我们的付款信息和地址,一切都必须保密并保持安全,以防止任何未经授权的访问。
以下是组织为保护 PII 必须采取的一些措施:
- 告知客户正在存储的数据。
- 通过加密保护数据,即使发生泄露,信息也不会受到损害。
- 用于保护在线帐户的双因素身份验证。
- 控制对信息的访问以确保最大程度的隐私。
- 必须推出网络安全政策,做好防御准备,并确保对存储的信息造成很少或没有损害。
- 尽可能对存储的数据进行匿名化。
- 使用最好的 Web 应用程序防火墙保护网络。
- 确保您拥有信息安全管理系统 (ISMS)。
许多其他事情和微妙的实践可以提高组织中的信息安全性和数据处理能力。 然而,必须满足这些基本做法才能为 PII 提供最佳保护。
此外,必要时您可以选择不共享某些归类为 PII 的数据。 这应该会进一步增强您的隐私。
PII 很重要,但并非所有个人数据都很重要
当然,我们在这里处理的是“个人”数据。
但是,根据您所在国家/地区的隐私法案/法律,“个人”的分类可能会存在一些偏差。 虽然几乎所有数据都被视为比十年前更加敏感,但一些国家/地区有不同的分类。
例如,我们在任何地方都共享我们的全名,即使它是 PII 的一种。 如果攻击者在其他地方使用我们的名称,我们不能责怪任何组织/服务。 因此,您可能不需要对我们每天分享的一些信息感到压力。
此外,人们应该检查其国家的隐私法规和数据保护法,以了解什么被视为敏感以及如何更好地增强您的隐私。
最终,我们有责任直接或间接保护 PII。 而且,如果我们能够对我们的数据保持警惕,组织就可以更好地管理从我们那里收集的 PII。
您还可以探索一些最佳的网络安全播客,以在数字威胁的世界中保持领先地位。