Início
topics
PII
Informação pessoalmente identificável (PII) é toda informação relacionada a um indivíduo específico, que pode ser usada para descobrir sua identidade, como RG, CPF, nome completo, endereço de e-mail ou número de telefone.
À medida que as pessoas passaram a confiar cada vez mais na tecnologia da informação tanto na vida pessoal quanto profissional, a quantidade de PII compartilhada com as organizações aumentou. Por exemplo, as empresas coletam dados pessoais dos clientes para uma melhor compreensão dos seus mercados, e os consumidores prontamente fornecem seus números de telefone e endereços residenciais quando querem se cadastrar em serviços ou fazer compras on-line.
O compartilhamento de PII pode ter seus benefícios, pois permite que as empresas personalizem produtos e serviços de acordo com os desejos e as necessidades dos seus clientes, como a apresentação de resultados de pesquisa mais relevantes em aplicações de navegação. No entanto, a quantidade crescente de PII acumulada pelas organizações atraem a atenção de cibercriminosos.
Os hackers roubam PII para cometer roubo de identidade, vendê-las no mercado negro ou mantê-las como reféns por meio de ataques de ransomware. De acordo com o relatório do custo das violações de dados de 2023 da IBM, o custo médio da violação de dados causada por um ataque de ransomware foi de US$ 5,13 milhões. Indivíduos e profissionais de segurança da informação precisam enfrentar um cenário complexo de TI e jurídico para manter a privacidade dos dados diante desses ataques.
Obtenha insights para gerenciar melhor o risco de uma violação de dados com o mais recente relatório do custo das violações de dados.
As PII possuem dois tipos: identificadores diretos e identificadores indiretos.
Os identificadores diretos são exclusivos de uma pessoa e incluem informações como o número do passaporte ou da carteira de motorista. Normalmente, um único identificador direto é suficiente para determinar a identidade de alguém.
Os identificadores indiretos não são exclusivos. Eles incluem dados pessoais mais gerais, como raça e local de nascimento. Embora um único identificador indireto não seja suficiente para identificar uma pessoa, uma combinação deles pode fazer isso.
Por exemplo, 87% dos cidadãos dos EUA (link externo ao site ibm.com) podem ser identificados com base em informações como gênero, CEP e data de nascimento.
Nem todos os dados pessoais são considerados PII. Por exemplo, dados sobre os hábitos de streaming de uma pessoa não são considerados PII. Até porque, seria difícil ou praticamente impossível, identificar alguém com base apenas no que essa pessoa assistiu na Netflix.
PII refere-se apenas a informações que apontam para uma determinada pessoa, como informações que você pode fornecer para verificar sua identidade ao entrar em contato com seu banco.
Entre as PII, algumas informações são mais confidenciais do que outras. PII confidenciais são informações que identificam diretamente um indivíduo e podem causar danos significativos quando vazadas ou roubadas.
Um número de previdência social é um bom exemplo de PII confidencial. Como muitas agências governamentais e instituições financeiras utilizam esse número para verificar a identidade das pessoas, um criminoso que roube essa informação poderia facilmente ter acesso aos registros da vítima. Outros exemplos de PII confidenciais incluem:
As PII confidenciais normalmente não estão disponíveis publicamente, e a maioria das leis de privacidade de dados existentes exige que as organizações as protejam por meio da criptografia, controlando quem as acessa ou tomando outras medidas de cibersegurança.
PII não confidenciais são dados pessoais que, isoladamente, não causariam danos significativos a uma pessoa se vazados ou roubados. Podem ou não ser exclusivos de uma pessoa. Por exemplo, um nome de usuário em uma rede social seria uma PII não confidencial: esse dado consegue identificar uma pessoa, mas um agente mal-intencionado não conseguiria cometer roubo de identidade apenas com o nome de usuário de uma rede social. Outros exemplos de PII não confidenciais incluem:
As PII não confidenciais geralmente estão disponíveis publicamente. Por exemplo, os números de telefone podem ser listados em uma lista telefônica e os endereços podem ser listados nos registros de propriedade pública de um governo local. Algumas normas sobre privacidade de dados não exigem a proteção de PII não confidenciais, mas muitas empresas adotam medidas de proteção mesmo assim. Isso ocorre porque os criminosos podem causar problemas reunindo várias informações não confidenciais.
Por exemplo, um hacker pode invadir o aplicativo da conta bancária de alguém com seu número de telefone, endereço de e-mail e nome de solteira da mãe. O e-mail fornece um nome de usuário. A falsificação do número de telefone permite que os hackers recebam um código de verificação. O nome de solteira da mãe fornece uma resposta à pergunta de segurança.
É importante observar que para que uma PII seja considerada confidencial ou não confidencial depende muito do contexto. Um nome completo por si só pode não ser sensível, mas uma lista de pessoas que visitaram um determinado médico seria confidencial. Da mesma forma, o número de telefone de uma pessoa pode estar disponível publicamente, mas um banco de dados com números de telefone usados para autenticação de dois fatores em uma rede social seria uma PII confidencial.
O contexto também determina se uma informação é considerada PII. Por exemplo, dados de geolocalização agregados e anônimos frequentemente são considerados dados pessoais genéricos porque a identidade de um único indivíduo não pode ser isolada.
No entanto, registros individuais de dados de geolocalização anônimos podem se tornar PII, conforme demonstrado por uma recente ação judicial da Federal Trade Commission (FTC) (link externo ao site ibm.com).
A FTC argumenta que o corretor de dados Kochava estava vendendo dados de geolocalização que contavam como PII porque, "os feeds de dados personalizados da empresa, permitiam que os compradores identificassem e rastreassem usuários específicos de dispositivos móveis. Por exemplo, a localização de um dispositivo móvel à noite provavelmente é o endereço residencial do usuário e pode ser combinada com registros de propriedade para descobrir sua identidade."
Os avanços na tecnologia também estão facilitando a identificação de pessoas com menos informações, o que pode reduzir o limite do que é considerado PII em geral. Por exemplo, pesquisadores da IBM e da Universidade de Maryland criaram um algoritmo (link externo ao site ibm.com). Esse algoritmo identifica indivíduos específicos combinando dados de localização anônimos com informações disponíveis publicamente nas redes sociais.
De acordo com a McKinsey (link externo ao site ibm.com), 75% dos países implementaram leis de privacidade de dados que regulamentam a coleta, retenção e uso de PII. A conformidade com essas regulamentações pode ser difícil porque jurisdições diferentes podem ter regras diferentes ou até mesmo contraditórias.
O aumento da computação em nuvem e das forças de trabalho remotas também representam um desafio. Nesses ambientes, os dados podem ser coletados em um local, armazenados em outro e processados em um terceiro local. Diferentes regulamentações podem ser aplicadas aos dados em cada estágio, dependendo da localização geográfica.
Para complicar ainda mais as coisas, diferentes regulamentações estabelecem padrões diferentes sobre quais tipos de dados devem ser protegidos. O Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia exige que as organizações protejam todos os dados pessoais definidos como: "qualquer informação relacionada a uma pessoa física identificada ou identificável."
De acordo com o GDPR, as organizações devem proteger PII confidenciais e não confidenciais. Também devem proteger informações que podem nem ser consideradas sensíveis em outros contextos. Essas informações incluem opiniões políticas, afiliações organizacionais e descrições de características físicas.
O Escritório de Gestão e Orçamento (OMB) do governo dos EUA define as PÌI de forma mais restrita (link externo ao site ibm.com) como:
[I]nformações que podem ser usadas para distinguir ou rastrear a identidade de um indivíduo, como nome, número de previdência social, registros biométricos etc. sozinhas ou combinadas com outras informações pessoais ou de identificação vinculadas ou vinculáveis a um indivíduo específico, como data e local de nascimento, nome de solteira da mãe etc.
Conforme colocado pelo analista da Gartner, Bart Willemsen (link externo ao site ibm.com): "Nos EUA, historicamente, PII refere-se a duas ou três dezenas de identificadores como nome, endereço, número de previdência social, carteira de motorista ou número de cartão de crédito".
Embora os EUA não tenham leis de privacidade de dados a nível federal, as agências governamentais estão sujeitas à Lei de Privacidade de 1974, que regulamenta a forma como as agências federais coletam, usam e compartilham PII. Alguns estados dos EUA têm seus próprios regulamentos de privacidade de dados, principalmente a Califórnia. A California Consumer Privacy Act (CCPA) e a California Privacy Rights Act (CPRA) concedem aos consumidores certos direitos sobre como as organizações coletam, armazenam e usam as PII.
Alguns setores também têm seus próprios regulamentos de privacidade de dados. Nos EUA, a Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA) regulamenta como as organizações de saúde coletam e protegem registros médicos e PII dos pacientes.
Da mesma forma, o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) é um padrão global do setor financeiro sobre como as empresas de cartão de crédito, comerciantes e processadores de pagamento lidam com as informações confidenciais dos titulares de cartão.
Pesquisas sugerem que as organizações têm enfrentado dificuldades para navegar nesse cenário variado de leis e padrões dos setores. De acordo com a ESG (link externo ao site ibm.com), 66% das empresas que passaram por auditorias de privacidade de dados nos últimos três anos falharam pelo menos uma vez, e 23% falharam três vezes ou mais.
A não conformidade com as normas de privacidade de dados relevantes pode resultar em multas, danos à reputação, perdas de negócios e outras consequências para as organizações. Por exemplo, a Amazon foi multada em USD 888 milhões por violar o RGPD em 2021 (link externo ao site ibm.com).
Os hackers roubam PII por vários motivos: para cometer roubo de identidade, para chantagem ou para vendê-las no mercado negro, onde podem valer USD 1 cada número de previdência social e USD 2.000 cada número de passaporte (link externo ao site ibm.com).
Os hackers também podem ter como alvo as PII como parte de um ataque maior: eles podem mantê-las como reféns usando ransomware ou roubar essas informações de identificação pessoal para assumir o controle das contas de e-mail dos executivos e usá-las em golpes de spear phishing e de comprometimento de e-mail empresarial (BEC).
Os cibercriminosos costumam usar ataques de engenharia social para enganar vítimas inocentes e fazê-las entregar voluntariamente PII, mas também podem comprá-las na dark web ou consegui-las através de uma violação de dados maior. As PII podem ser roubadas fisicamente, vasculhando o lixo de uma pessoa ou espionando-a enquanto ela usa um computador.
Agentes maliciosos também podem monitorar as contas de redes sociais de um alvo, onde muitas pessoas, sem saber, compartilham PII não confidenciais todos os dias. Com o tempo, um invasor pode reunir informações suficientes para se passar pela vítima ou invadir suas contas.
Para as organizações, proteger PII pode ser complicado. O aumento da computação em nuvem e dos serviços SaaS significa que essas informações podem ser armazenadas e processadas em vários locais, em vez de em uma única rede centralizada.
De acordo com um relatório da ESG (link externo ao site ibm.com), estima-se que a quantidade de dados confidenciais armazenados em nuvens públicas dobre até 2024, e mais da metade das organizações acredita que esses dados não estão suficientemente seguros.
Para proteger as PII, as organizações geralmente criam frameworks de privacidade de dados. Esses frameworks podem assumir diferentes formas, dependendo da organização, das PII coletadas e das regulamentações de privacidade de dados que devem ser seguidas. Como exemplo, o Instituto Nacional de Padrões e Tecnologia (NIST) fornece este exemplo de framework (link externo ao site ibm.com):
1. Identifique todas as PII nos sistemas da organização.
2. Diminua a coleta e o uso de PII, descarte regularmente aquelas que não são mais necessárias.
3. Categorize as PII de acordo com o nível de confidencialidade.
4. Aplique controles de segurança de dados. Exemplos de controles incluem:
5. Elabore um plano de resposta a incidentes para vazamentos e violações de PII.
Vale a pena notar que o NIST e outros especialistas em privacidade de dados geralmente recomendam aplicar controles diferentes a conjuntos de dados diferentes com base na sensibilidade dos dados. O uso de controles muito rigorosos para dados não confidenciais pode ser complicado e não apresentar uma boa relação custo-benefício.
Fortaleça a proteção da privacidade de dados, conquiste a confiança do cliente e expanda seus negócios.
Um programa robusto de cibersegurança baseado em dados pode fornecer proteção abrangente e visibilidade centralizada. O monitoramento contínuo pode ajudar a proteger contra acessos não autorizados, exposições ou roubos de dados em todos os cenários de dados da sua empresa.
Proteja os dados corporativos e atenda à conformidade normativa com soluções e serviços de segurança centrados em dados.
Gerenciamento de acesso e identidade abrangente, seguro e compatível para empresas modernas.
Obtenha os insights mais recentes sobre o cenário de ameaças em expansão e recomendações sobre como economizar tempo e limitar perdas.
Descubra por que a segurança de dados é vital para o bem-estar de qualquer empresa atualmente.
Saiba como a governança de dados garante que as empresas aproveitem ao máximo seus ativos de dados.