O que são informações de identificação pessoal (IIP)?
Explore a solução de IIP da IBM Inscreva-se para atualizações do tópico de segurança
Ilustração com colagem de pictogramas de nuvens, telefone móvel, impressão digital, marca de verificação
O que é PII?

Informação de identificação pessoal (IIP) é toda informação relacionada a um indivíduo específico, que pode ser usada para descobrir sua identidade, como número de previdência social, nome completo, endereço de e-mail ou número de telefone.

À medida que as pessoas passaram a confiar cada vez mais na tecnologia da informação tanto na vida pessoal quanto profissional, a quantidade de IIP compartilhada com as organizações aumentou. Por exemplo, as empresas coletam dados pessoais dos clientes para uma melhor compreensão dos seus mercados, e os consumidores prontamente fornecem seus números de telefone e endereços residenciais quando querem se cadastrar em serviços ou fazer compras on-line.

O compartilhamento de IIP pode ter seus benefícios, pois permite que as empresas personalizem produtos e serviços de acordo com os desejos e as necessidades dos seus clientes, como a apresentação de resultados de pesquisa mais relevantes em aplicativos de navegação. No entanto, a quantidade crescente de IIP acumulada pelas organizações atraem a atenção de cibercriminosos.

Os hackers roubam IIP para cometer roubo de identidade, vendê-las no mercado negro ou mantê-las como reféns através de ataques de ransomware. De acordo com o relatório do custo das violações de dados de 2023 da IBM, o custo médio da violação de dados causada por um ataque de ransomware foi de US$ 5,13 milhões. Indivíduos e profissionais de segurança da informação precisam navegar por um cenário complexo de TI e jurídico para manter a privacidade dos dados diante desses ataques.

Custo de uma violação de dados

Obtenha insights para gerenciar melhor o risco de uma violação de dados com o mais recente relatório do custo das violações de dados.

Conteúdo relacionado

Cadastre-se no X-Force Threat Intelligence Index

Identificadores diretos e indiretos

As IIP possuem dois tipos: identificadores diretos e identificadores indiretos. Os identificadores diretos são exclusivos de uma pessoa e incluem informações como o número do passaporte ou da carteira de motorista. Normalmente, um único identificador direto é suficiente para determinar a identidade de alguém.

Os identificadores indiretos não são exclusivos. Eles incluem detalhes pessoais mais gerais, como raça e local de nascimento. Embora um único identificador indireto não seja suficiente identificar uma pessoa, uma combinação deles pode fazer isso. Por exemplo, 87% dos cidadãos dos EUA (link externo ao site ibm.com) podem ser identificados com base em informações como gênero, CEP e data de nascimento.

IIP confidenciais e IIP não confidenciais

Nem todos os dados pessoais são considerados IIP. Por exemplo, dados sobre os hábitos de streaming de uma pessoa não são considerados IIP. Até porque, seria difícil ou praticamente impossível, identificar alguém com base apenas no que essa pessoa assistiu na Netflix. IIP refere-se apenas a informações que identificam uma determinada pessoa, como informações que você pode fornecer para verificar sua identidade ao entrar em contato com seu banco.

Entre as IIP, algumas informações são mais confidenciais do que outras. IIP confidenciais são informações que identificam diretamente um indivíduo e podem causar danos significativos quando vazadas ou roubadas. Um número de previdência social é um bom exemplo de IIP confidencial. Como muitas agências governamentais e instituições financeiras utilizam esse número para verificar a identidade das pessoas, um criminoso que roube essa informação poderia facilmente ter acesso aos registros da vítima. Outros exemplos de IIP confidenciais incluem:

  • Números de identificação exclusivos, como números de carteira de motorista, números de passaporte e outros números de identificação emitidos pelo governo
  • Dados biométricos, como impressões digitais e varreduras de retina
  • Informações financeiras, incluindo números de contas bancárias e números de cartão de crédito
  • Registros médicos

IIP confidenciais normalmente não estão disponíveis publicamente, e a maioria das leis de privacidade de dados existentes exige que as organizações as protejam por meio da criptografia, controlando quem tem acesso a elas ou tomando outras medidas de cibersegurança .

IIP não confidenciais são dados pessoais que, isoladamente, não causariam danos significativos a uma pessoa se vazados ou roubados. Podem ou não ser exclusivos de uma pessoa. Por exemplo, um nome de usuário em uma rede social seria uma IIP não confidencial: esse dado consegue identificar uma pessoa, mas um agente mal-intencionado não conseguiria cometer roubo de identidade apenas com o nome de usuário de uma rede social. Outros exemplos de IIP não confidenciais incluem:

  • Nome completo de uma pessoa
  • Nome de solteira da mãe
  • Número de telefone
  • Endereço de IP
  • Local de nascimento
  • Data de nascimento
  • Detalhes geográficos (CEP, cidade, estado, país etc.)
  • Informações de emprego
  • Endereço de e-mail ou endereço postal
  • Raça ou etnia
  • Religião

IIP não confidenciais geralmente estão disponíveis publicamente, por exemplo, números de telefone podem estar listados em uma lista telefônica e endereços podem estar listados em registros de propriedade pública do governo local. Algumas normas sobre privacidade de dados não exigem a proteção de IIP não confidenciais, mas muitas empresas adotam medidas de proteção mesmo assim. Isso ocorre porque os criminosos podem causar problemas reunindo várias informações não confidenciais.

Por exemplo, um hacker pode invadir o aplicativo da conta bancária de alguém com seu número de telefone, endereço de e-mail e nome de solteira da mãe. O e-mail fornece um nome de usuário. A falsificação do número de telefone permite que os hackers recebam um código de verificação. O nome de solteira da mãe fornece uma resposta à pergunta de segurança.

É importante observar que para que uma IIP seja considerada confidencial ou não confidencial depende muito do contexto. Um nome completo por si só pode não ser sensível, mas uma lista de pessoas que visitaram um determinado médico seria confidencial. Da mesma forma, o número de telefone de uma pessoa pode estar disponível publicamente, mas um banco de dados com números de telefone usados para autenticação de dois fatores em uma rede social seria uma IIP confidencial.

Quando as informações confidenciais se tornam IIP?

O contexto também determina se uma informação é considerada IIP. Por exemplo, dados de geolocalização agregados e anônimos frequentemente são considerados dados pessoais genéricos porque a identidade de um único indivíduo não pode ser isolada. No entanto, registros individuais de dados de geolocalização anônimos podem se tornar IIP, conforme demonstrado por uma recente ação judicial da Federal Trade Commission (FTC) (link externo ao site ibm.com). A FTC argumenta que o corretor de dados Kochava estava vendendo dados de geolocalização que contavam como IIP porque, "os feeds de dados personalizados da empresa, permitiam que os compradores identificassem e rastreassem usuários específicos de dispositivos móveis. Por exemplo, a localização de um dispositivo móvel à noite provavelmente é o endereço residencial do usuário e pode ser combinada com registros de propriedade para descobrir sua identidade."

Os avanços na tecnologia também estão facilitando a identificação de pessoas com menos informações, o que pode reduzir o limite do que é considerado IIP em geral. Por exemplo, pesquisadores da IBM e da Universidade de Maryland criaram um algoritmo (link externo ao site ibm.com). Esse algoritmo identifica indivíduos específicos combinando dados de localização anônimos com informações disponíveis publicamente em redes sociais.

Leis sobre a privacidade de dados e IIP

Normas internacionais de privacidade

De acordo com a McKinsey (link externo ao site ibm.com), 75% dos países implementaram leis de privacidade de dados que regulamentam a coleta, retenção e uso de IIP. A conformidade com essas regulamentações pode ser difícil porque diferentes jurisdições podem ter regras diferentes ou até mesmo contraditórias. O aumento da computação em nuvem e das forças de trabalho remotas também representam um desafio. Nesses ambientes, os dados podem ser coletados em um local, armazenados em outro e processados em um terceiro local. Diferentes regulamentações podem ser aplicadas aos dados em cada estágio, dependendo da localização geográfica.

Para complicar ainda mais as coisas, diferentes regulamentações estabelecem padrões diferentes para quais tipos de dados devem ser protegidos. O Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (link externo ao site ibm.com) exige que as organizações protejam todos os dados pessoais definidos como: "qualquer informação relacionada a uma pessoa física identificada ou identificável. " De acordo com o GDPR, as organizações devem proteger IIP confidenciais e não confidenciais. Também devem proteger informações que podem nem ser consideradas sensíveis em outros contextos. Essas informações incluem opiniões políticas, afiliações organizacionais e descrições de características físicas.

Regulamentos de privacidade dos EUA

O Escritório de Gestão e Orçamento (OMB) do governo dos EUA define IIP de forma mais restrita (link externo ao site ibm.com) como:

[I]nformações que podem ser usadas para distinguir ou rastrear a identidade de um indivíduo, como nome, número de previdência social, registros biométricos etc. sozinhas ou combinadas com outras informações pessoais ou de identificação vinculadas ou vinculáveis a um indivíduo específico, como data e local de nascimento, nome de solteira da mãe etc.

Conforme colocado pelo analista da Gartner, Bart Willemsen (link externo ao site ibm.com): "Nos EUA, historicamente, IIP refere-se a duas ou três dúzias de identificadores como nome, endereço, número de previdência social, carteira de motorista ou número de cartão de crédito".

Embora os EUA não tenham leis de privacidade de dados a nível federal, as agências governamentais estão sujeitas à Lei de Privacidade de 1974, que regulamenta a forma como as agências federais coletam, usam e compartilham IIP. Alguns estados dos EUA têm seus próprios regulamentos de privacidade de dados, principalmente a Califórnia. A Lei de Privacidade do Consumidor da Califórnia (CCPA) e a Lei de Direitos de Privacidade da Califórnia (CPRA) concedem aos consumidores certos direitos sobre como as organizações coletam, armazenam e usam as IIP.

Regulamentações de privacidade específicas dos setores

Alguns setores também têm seus próprios regulamentos de privacidade de dados. Nos EUA, a Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA) regulamenta como as organizações de saúde coletam e protegem registros médicos e IIP dos pacientes. Da mesma forma, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um padrão global do setor financeiro sobre como as empresas de cartão de crédito, comerciantes e processadores de pagamento lidam com as informações confidenciais dos titulares de cartão.

Pesquisas sugerem que as organizações têm enfrentado dificuldades para navegar nesse cenário variado de leis e padrões dos setores. De acordo com a ESG (link externo ao site ibm.com), 66% das empresas que passaram por auditorias de privacidade de dados nos últimos três anos falharam pelo menos uma vez, e 23% falharam três vezes ou mais. A não conformidade com as normas de privacidade de dados relevantes pode resultar em multas, danos à reputação, perdas de negócios e outras consequências para as organizações. Por exemplo, a Amazon foi multada em US$ 888 milhões por violar o GDPR em 2021 (link externo ao site ibm.com).

Proteção de IIP

Os hackers roubam IIP por vários motivos: para cometer roubo de identidade, para chantagem ou para vendê-las no mercado negro, em que podem valer US$ 1 cada número de previdência social e US$ 2.000 cada número de passaporte (link externo ao site ibm.com). Os hackers também podem ter como alvo as IIP como parte de um ataque maior: eles podem mantê-las como reféns usando ransomware ou roubar essas informações de identificação pessoal para assumir o controle das contas de e-mail dos executivos e usá-las em golpes de spear phishing e de comprometimento de e-mail empresarial (BEC).

Os cibercriminosos costumam usar ataques de engenharia social para enganar vítimas inocentes e fazê-las entregar voluntariamente IIP, mas também podem comprá-las na dark web ou consegui-las através de uma violação de dados maior. As IIP podem ser roubadas fisicamente, vasculhando o lixo de uma pessoa ou espionando-a enquanto ela usa um computador. Agentes maliciosos também podem monitorar as contas de redes sociais de um alvo, onde muitas pessoas, sem saber, compartilham IIP não confidenciais todos os dias. Com o tempo, um invasor pode reunir informações suficientes para se passar pela vítima ou invadir suas contas.

Para as organizações, proteger IIP pode ser complicado. O aumento da computação em nuvem e dos serviços SaaS significa que essas informações podem ser armazenadas e processadas em vários locais, em vez de em uma única rede centralizada. De acordo com um relatório da ESG (link externo ao site ibm.com), estima-se que a quantidade de dados confidenciais armazenados em nuvens públicas dobre até 2024, e mais da metade das organizações acredita que esses dados não são suficientemente seguros.

Para proteger as IIP, as organizações geralmente criam frameworks de privacidade de dados. Esses frameworks podem assumir diferentes formas, dependendo da organização, das IIP coletadas e das regulamentações de privacidade de dados que devem ser seguidas. Como exemplo, o Instituto Nacional de Padrões e Tecnologia (NIST) fornece este exemplo de framework (link externo ao site ibm.com):

1. Identifique todas as IIP nos sistemas da organização.

2. Diminua a coleta e o uso de IIP, descarte regularmente aquelas que não são mais necessárias.

3. Categorize as IIP de acordo com o nível de confidencialidade.

4. Aplique controles de segurança de dados. Exemplos de controles incluem:

  • Criptografia: criptografar IIP em trânsito, em repouso e em uso por meio de criptografia homomórfica ou computação confidencial pode ajudar a manter a IIP segura e em conformidade, independentemente de onde ela esteja armazenada ou seja manipulada.

  • Gerenciamento de acesso e identidade (IAM): a autenticação de dois fatores ou multifator pode colocar mais barreiras entre os hackers e os dados confidenciais. Da mesma forma, aplicar o princípio do privilégio mínimo por meio de arquitetura zero trust e controles de acesso baseados em função (RBAC) pode limitar a quantidade de IIP que os hackers podem acessar, caso violem a rede.

  • Treinamento: os funcionários precisam aprender a manusear e descartar adequadamente as IIP. Também precisam aprender a proteger suas próprias IIP. Este treinamento abrange áreas como anti-phishing, engenharia social e conscientização sobre redes sociais.

  • Anonimização: a anonimização de dados é o processo de remoção das características de identificação de dados confidenciais. As técnicas comuns de anonimização incluem a remoção de identificadores dos dados, a agregação de dados ou a adição estratégica de ruído a esses dados.

  • Ferramentas de cibersegurança: as ferramentas de data loss prevention (DLP) podem ajudar a rastrear os dados à medida em que eles se movimentam pela rede, facilitando a detecção de vazamentos e violações. Outras soluções de cibersegurança que oferecem visualizações de alto nível de atividade na rede, como ferramentas de detecção e resposta estendidas (XDR), também podem ajudar a rastrear o uso ou o uso indevido de IIP.

5. Elabore um plano de resposta a incidentes para vazamentos e violações de IIP.

Vale a pena notar que o NIST e outros especialistas em privacidade de dados geralmente recomendam aplicar controles diferentes a conjuntos de dados diferentes com base na sensibilidade dos dados. O uso de controles muito rigorosos para dados não confidenciais pode ser complicado e não apresentar uma boa relação custo-benefício.

Soluções relacionadas
Soluções de privacidade de dados

Fortaleça a proteção da privacidade de dados, conquiste a confiança do cliente e expanda seus negócios.

Conheça as soluções de privacidade dos dados
Serviços de segurança de dados

Um programa robusto de cibersegurança baseado em dados pode fornecer proteção abrangente e visibilidade centralizada. O monitoramento contínuo pode ajudar a proteger contra acessos não autorizados, exposições ou roubos de dados em todos os cenários de dados da sua empresa.

Explore os serviços de segurança de dados
Soluções de criptografia de dados

Proteja os dados corporativos e atenda à conformidade normativa com soluções e serviços de segurança centrados em dados.

Conheça as soluções de criptografia de dados
Serviços de gerenciamento de acesso e identidade (IAM)

Gerenciamento de acesso e identidade abrangente, seguro e compatível para empresas modernas.

Explore o gerenciamento de acesso e identidade (IAM)
Recursos Relatório de custo de uma violação de dados 2023

Obtenha os insights mais recentes sobre o cenário de ameaças em expansão e recomendações sobre como economizar tempo e limitar perdas.

O que é segurança de dados?

Descubra por que a segurança de dados é vital para o bem-estar de qualquer empresa atualmente.

O que é governança de dados?

Saiba como a governança de dados garante que as empresas aproveitem ao máximo seus ativos de dados.

Dê o próximo passo

As ameaças de cibersegurança estão se tornando mais avançadas, persistentes e exigem mais esforço dos analistas de segurança para filtrar inúmeros alertas e incidentes. O IBM Security QRadar SIEM ajuda você a remediar as ameaças mais rapidamente, mantendo seus resultados. O QRadar SIEM prioriza alertas de alta fidelidade para ajudar você a detectar ameaças que outros não percebem.

Conheça o QRadar SIEM Agende uma demonstração em tempo real