Um guia para Tipos de informações sensíveis

Dominando a Proteção de Dados: Um Guia Abrangente para a Salvaguarda de Informações Sensíveis

Quando foi a última vez que você contou um segredo? Contou para alguém de confiança, que não o compartilharia com ninguém, ou para alguém que adora fofocar? No mundo tecnológico de hoje, dados sensíveis são o segredo mais importante. Empresas de diversos setores coletam, processam, armazenam e trocam várias formas de informação sobre clientes, fornecedores e funcionários. Embutidas nessa vasta gama de dados, encontram-se informações cruciais. informações sensíveis que exigem proteção rigorosa contra acesso não autorizado e uso indevido.

O que é considerado informação sensível?

Informações sensíveis abrangem quaisquer dados que, se comprometidos, possam causar danos, perdas ou acesso não autorizado. Isso inclui Informações de identificação pessoal (PII), dados financeiros, propriedade intelectual, registros de saúdee outras informações confidenciais.

Por que é importante proteger informações sensíveis?

A importância de proteger informações sensíveis não pode ser subestimada, principalmente na era digital atual, onde as violações de dados são cada vez mais comuns e representam riscos significativos tanto para indivíduos quanto para organizações. Considere o seguinte:

Proteção da privacidade pessoal

Informações sensíveis geralmente incluem dados pessoais como nomes, endereços, números de segurança social e registros médicos. Proteger essas informações é crucial para resguardar a privacidade dos indivíduos. Prevenção de roubo de identidade, fraude ou outras formas de exploração. As organizações têm a responsabilidade de garantir que os dados pessoais dos indivíduos sejam tratados com segurança e utilizados apenas para fins legítimos.

Confiança e Reputação

UM violação de dados O manuseio inadequado de informações sensíveis pode ter consequências graves para a reputação e a credibilidade de uma organização. Clientes, parceiros e demais partes interessadas esperam que as organizações tratem seus dados com cuidado e integridade. A falha em fazê-lo pode resultar em perda de confiança, abandono do negócio por parte dos clientes e danos à reputação da marca, acarretando repercussões financeiras e de reputação a longo prazo.

Conformidade Legal e Regulatória

Inúmeras leis e regulamentos regem a coleta, o armazenamento e o uso de informações sensíveis, incluindo: Regulamento Geral de Proteção de Dados (RGPD), Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA), Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS)e diversas regulamentações específicas do setor. O cumprimento dessas regulamentações é obrigatório e o seu descumprimento pode resultar em penalidades severas, multas, ações judiciais e danos à reputação.

Transparência e Responsabilidade Empresarial

A proteção de informações sensíveis promove transparência e responsabilização Dentro das organizações, a implementação de medidas robustas de proteção de dados demonstra o compromisso das organizações com práticas comerciais éticas e a responsabilidade perante as partes interessadas. Práticas transparentes no tratamento de dados também aumentam a confiança entre clientes, funcionários e parceiros, fomentando relacionamentos mais sólidos e sustentabilidade a longo prazo.

Como os dados sensíveis são protegidos?

Independentemente da localização ou do setor de atuação da sua empresa, a proteção de informações confidenciais e o cumprimento das complexas exigências regulatórias começam com descoberta de dados abrangenteIsso implica mapear, inventariar e categorizar todas as informações sensíveis em um repositório centralizado.

Aqui estão os passos que as organizações devem seguir para proteger eficazmente todos os tipos de informações sensíveis:

1. Identificar e classificar dados sensíveis

O primeiro passo é realizar um inventário completo de todos os ativos de dados e classificá-los com base em sua sensibilidade. Isso envolve identificar informações de identificação pessoal (PII), dados financeiros, propriedade intelectual, registros de saúde e quaisquer outras informações confidenciais. A classificação dos dados ajuda a priorizar as medidas de proteção com base no nível de risco associado a cada categoria de dados.

2. Implementar controles de acesso

Limitar o acesso a informações sensíveis através da implementação de controles de acesso rigorosos. Isso inclui controle de acesso baseado em funções (RBAC), onde as permissões de acesso são concedidas com base na função ou cargo do indivíduo dentro da organização. Além disso, aplica-se o princípio do menor privilégio, concedendo aos usuários apenas o nível mínimo de acesso necessário para o desempenho de suas funções.

3. Armazenamento e transmissão seguros

Garantir que dados sensíveis Os dados são armazenados e transmitidos com segurança. Utilize soluções de armazenamento de dados seguras, como bancos de dados criptografados e sistemas de armazenamento de arquivos seguros, para proteger os dados em repouso. Empregue protocolos de comunicação seguros, como... HTTPS e VPNs, para criptografar dados durante a transmissão em redes, impedindo a interceptação ou espionagem por agentes maliciosos.

4. Atualize e corrija os sistemas regularmente.

Mantenha softwares, aplicativos e sistemas atualizados com os patches e atualizações de segurança mais recentes. Vulnerabilidades em softwares desatualizados podem ser exploradas por cibercriminosos para obter acesso não autorizado a informações confidenciais. A aplicação regular de patches nos sistemas ajuda a mitigar esses riscos. fortalece a postura de segurança da organização..

5. Treine os funcionários nas melhores práticas de segurança.

Eduque os funcionários sobre conscientização de segurança e as melhores práticas para lidar com informações confidenciais. Ofereça treinamento sobre como reconhecer tentativas de phishing, usar senhas fortes, armazenar e transmitir dados com segurança e relatar incidentes de segurança ou atividades suspeitas. Uma força de trabalho bem informada é essencial para manter uma defesa robusta contra ameaças cibernéticas.

6. Monitorar e auditar o acesso

Implementar mecanismos de monitoramento e auditoria para rastrear o acesso a dados sensíveis e detectar atividades suspeitas ou não autorizadas. Monitorar registros de atividades do usuário, tentativas de acesso e transferências de dados para identificar possíveis incidentes ou violações de segurança. Realizar auditorias e avaliações de segurança regulares para garantir a conformidade com as políticas e regulamentações de segurança.

7. Estabelecer procedimentos de resposta a incidentes

Desenvolver e documentar procedimentos de resposta a incidentes Para responder eficazmente a incidentes de segurança ou violações de dados, defina funções e responsabilidades, estabeleça canais de comunicação e descreva as etapas para conter, investigar e mitigar incidentes de segurança. Elabore planos de resposta a incidentes e realize exercícios ou simulações regulares para testar a prontidão da organização para lidar eficazmente com incidentes de segurança.

8. Revisar e atualizar regularmente as políticas de segurança.

Revisar e atualizar regularmente as políticas, os procedimentos e os controles de segurança para se adaptarem às ameaças em constante evolução e aos requisitos regulamentares. Garantir que as políticas de segurança sejam abrangentes, comunicadas com clareza aos funcionários e aplicadas de forma consistente em toda a organização. Avaliar e aprimorar regularmente as medidas de segurança com base em ameaças emergentes, melhores práticas do setor e lições aprendidas com incidentes de segurança.

Tipos de informações sensíveis

Para explorar os diferentes tipos de informações sensíveis que várias regulamentações definem e monitoram, vamos começar com o básico de PII e PIE, em seguida, explorar iterações mais específicas — particularmente aquelas relevantes para determinados setores.

Em seguida, exploraremos como essas regulamentações se sobrepõem — e como proteger informações confidenciais em toda a empresa — independentemente do setor ou da organização.

PII: Informações de Identificação Pessoal

Informações de Identificação Pessoal (IIP) são quaisquer informações que podem ser usadas para distinguir ou rastrear a identidade de um indivíduo, seja isoladamente ou em combinação com outras informações pessoais ou identificadoras. Esses dados são cruciais em diversos setores para identificar, contatar ou localizar um indivíduo e estão sujeitos a rigorosas proteções legais devido à sua natureza sensível.

Proteger informações pessoais identificáveis (PII) é crucial para resguardar os indivíduos contra roubo de identidade, fraudes e outras violações de privacidade. O acesso não autorizado a PII pode causar danos pessoais e financeiros significativos.

Como evoluíram as informações pessoais identificáveis?

O conceito de PII (Informações Pessoais Identificáveis) evoluiu com os avanços tecnológicos e as mudanças nas normas sociais. Inicialmente focado em identificadores simples, como nomes e números de segurança social, a definição de PII expandiu-se para abranger dados digitais e biométricos à medida que o cenário digital cresceu. Os órgãos reguladores continuam a adaptar seus marcos para lidar com os desafios emergentes à privacidade e os desenvolvimentos tecnológicos.

Principais características da PII

Identificadores PII diretos

• Nome completo
• Número de Segurança Social (SSN)
• Número da carteira de motorista
• Número do passaporte
• Endereço de email
• Número de telefone

Identificadores PII indiretos

Informações que podem ser combinadas com outros dados para identificar um indivíduo. Exemplos incluem:

• Data de nascimento
• Gênero
• CEP
• Endereço IP
• Dados biométricos (ex.: impressões digitais, dados de reconhecimento facial)

Marcos regulatórios que regem as informações pessoais identificáveis

• Regulamento Geral de Proteção de Dados (RGPD): Aplicável na União Europeia, o RGPD é uma das leis de proteção de dados mais abrangentes. Define dados pessoais de forma ampla e inclui requisitos rigorosos para o tratamento, processamento e armazenamento de informações pessoais identificáveis.
• Lei de Privacidade do Consumidor da Califórnia (CCPA): Essa lei estadual dos EUA garante aos residentes da Califórnia direitos sobre suas informações pessoais, incluindo o direito de saber quais dados são coletados, o direito de excluir dados e o direito de optar por não participar da venda de dados.
• Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA): Nos Estados Unidos, a HIPAA regulamenta a proteção de informações pessoais identificáveis relacionadas à saúde, garantindo que as informações médicas sejam resguardadas.
• Diretrizes da Comissão Federal de Comércio (FTC): A FTC (Comissão Federal de Comércio) aplica as leis de proteção ao consumidor nos EUA, incluindo aquelas relacionadas à privacidade e segurança de dados.

PI: Informações Pessoais

Informações Pessoais (IP) referem-se a quaisquer dados que possam ser usados para identificar, contatar ou localizar um indivíduo, direta ou indiretamente. Essa categoria é ampla e abrange uma vasta gama de tipos de informação, que podem variar dependendo do contexto e das definições legais específicas aplicáveis em diferentes jurisdições.

Proteger as informações pessoais é essencial para prevenir o acesso não autorizado, que pode levar a roubo de identidade, fraude financeira e outras violações de privacidade. Garantir a confidencialidade e a segurança das informações pessoais ajuda a manter a privacidade e a confiança individual.

Como os dados de PI evoluíram?

A definição e o alcance das informações pessoais evoluíram significativamente com os avanços tecnológicos e as mudanças nos cenários regulatórios. Inicialmente focado em identificadores óbvios, como nomes e números de segurança social, o conceito agora inclui pegadas digitais, dados biométricos e outros identificadores emergentes. Os órgãos reguladores continuam a adaptar suas definições e proteções para lidar com os novos desafios à privacidade impostos pela inovação tecnológica.

Principais características do PI

Identificadores diretos

Informações que podem identificar diretamente um indivíduo sem a necessidade de dados adicionais. Exemplos incluem:

• Nome completo
• Número de Segurança Social (SSN)
• Número da carteira de motorista
• Número do passaporte
• Endereço de email
• Número de telefone

Identificadores indiretos

Informações que, quando combinadas com outros dados, podem identificar um indivíduo. Exemplos incluem:

• Data de nascimento
• Gênero
• CEP
• Endereço IP
• Identificadores de dispositivos
• Dados de geolocalização

SPI — Informações Pessoais Sensíveis

Informações Pessoais Sensíveis (IPS) sob a próxima regulamentação Lei de Direitos de Privacidade da Califórnia (CPRA) é um novo termo definido que abrange dados relacionados a um indivíduo, mas que não o identificam diretamente —e pode causar danos se for divulgado publicamente. O SPI inclui informações pessoais que revelam:

• o número do seguro social, da carteira de motorista, da carteira de identidade estadual ou do passaporte do consumidor
• login da conta, conta financeira, cartão de débito ou números de cartão de crédito em combinação com qualquer código de segurança ou acesso necessário,
• senha, ou credenciais que permitem o acesso a uma conta
• geolocalização precisa
• origem racial ou étnica, crenças religiosas ou filosóficas, ou filiação sindical
• O conteúdo das correspondências, e-mails e mensagens de texto de um consumidor — a menos que a empresa seja a destinatária pretendida da comunicação.
• dados genéticos, incluindo
  • o processamento de informações biométricas com o objetivo de identificar um consumidor de forma inequívoca;
  • Informações pessoais coletadas e analisadas referentes à saúde do consumidor; ou
  • Informações pessoais coletadas e analisadas referentes à vida sexual ou orientação sexual de um consumidor.

NPI — Informações Pessoais Não Públicas

Informações Pessoais Não Públicas (NPI, na sigla em inglês) são um tipo de informação sensível criada e definida pela [inserir nome da entidade reguladora]. Lei Gramm-Leach-Bliley (GLBA), que regula especificamente as instituições de serviços financeiros.

NPI não inclui informações disponíveis publicamente e é definida como “informações financeiras de identificação pessoal que são:

• fornecido por um consumidor a uma instituição financeira
• resultante de uma transação ou serviço prestado ao consumidor, ou
• de outra forma obtido pela instituição financeira.”

O NPI pode incluir nomes, endereços, números de telefone, números de segurança social, números de contas bancárias e de cartão de crédito, compras com cartão de crédito ou débito, registros judiciais de um relatório de crédito ou qualquer outra informação financeira do consumidor que:

• um consumidor fornece informações a uma instituição financeira
• resultados de uma transação ou serviço realizado para o consumidor
• é obtido de outra forma pelas instituições financeiras
• O NPI não inclui informações que tenham sido tornadas públicas ou amplamente divulgadas na mídia ou em registros governamentais públicos.

As normas relevantes para informações pessoais não públicas incluem: GLBA, NYDSF / NYCRR 500

MNPI — Informação Material Não Pública

Informação não pública relevanteInformações não públicas relevantes (MNPI, na sigla em inglês) são dados relativos a uma empresa, suas participações e suas subsidiárias, que não foram divulgados publicamente ou disponibilizados aos investidores em geral — e que podem impactar o preço das ações da empresa.

A regulamentação visa monitorar e prevenir tipos ilegais de uso de informação privilegiada, impedindo que aqueles que detêm essa informação a utilizem em benefício próprio na negociação de ações ou outros títulos — ou a compartilhem com terceiros que possam utilizá-la em benefício próprio. Qualquer uso de informação privilegiada em negociações é considerado ilegal — independentemente de a pessoa que age com base nela ser ou não funcionária da empresa.

O uso ou conhecimento de informações privilegiadas não públicas (MNPI) determina, em parte, a legalidade do uso de informações privilegiadas. Portanto, embora nem todo uso de informações privilegiadas seja ilegal — como quando funcionários compram ou vendem ações de sua empresa e cumprem os requisitos de registro e arquivamento do órgão regulador, a Comissão de Valores Mobiliários (SEC) —, qualquer negociação que envolva MNPI é ilegal.

A parte "material" da Informação Pública Não Governamental (MNPI, na sigla em inglês) exige que a informação seja suficientemente significativa para influenciar o valor das ações da empresa. Se a informação não afetar razoavelmente o preço das ações, ela não é considerada MNPI.

Os tipos de MNPI incluem — mas não se limitam a:

• Informações corporativas que provêm da empresa afetada — ou de agências reguladoras externas, legisladores ou instituições financeiras.
• relatórios de rendimentos e outros registros financeiros
• Ações ou planos corporativos futuros, como ofertas públicas iniciais (IPOs), aquisições ou desdobramentos de ações.
• resultados de processos judiciais
• decisões de agências como a FDA

As regulamentações relevantes para MNPI incluem o Lei de Valores Mobiliários e Lei de Câmbio da Comissão de Valores Mobiliários — Regulamento FD (Divulgação Justa)

Informações privadas

Informações privadas são o conjunto de dados sensíveis regulamentados pela Lei de Prevenção de Ataques Cibernéticos e Melhoria da Segurança de Dados Eletrônicos de Nova York (NY SHIELD).

NY SHIELD Aplica-se a “qualquer pessoa ou empresa que possua ou licencie dados informatizados que incluam informações privadas” de um residente de Nova Iorque — também designadas como “empresas abrangidas”.

Informações privadas Amplia o conceito de “informações pessoais”, que era o tipo de dado originalmente regulamentado pela lei de violação de dados de Nova York antes da implementação do SHIELD. A lei de Nova York definia informações pessoais como “qualquer informação relativa a uma pessoa singular que, devido ao nome, número, marca pessoal ou outro identificador, possa ser usada para identificar essa pessoa singular”.

Para definir informações privadas, a Lei SHIELD ampliou essa definição para incluir “informações pessoais que consistem em qualquer informação em combinação com um ou mais dos seguintes elementos de dados, quando o elemento de dados ou a combinação de informações não estiver criptografado — ou estiver criptografado com uma chave de criptografia que também tenha sido acessada ou adquirida”.

Os elementos de dados abrangidos são:

• número da Segurança Social
• número da carteira de motorista ou número do documento de identidade para não motoristas
• Informações biométricas — ou representação digital das características físicas únicas de um indivíduo, como impressões digitais, registros vocais, imagens da retina ou da íris, ou outras medidas físicas únicas que possam autenticar a identidade de um indivíduo.
• Número da conta ou número do cartão de crédito/débito, seja em combinação com qualquer código de segurança, código de acesso ou senha necessários para permitir o acesso — ou sem essas informações adicionais de identificação.

Informações privadas não incluem dados publicamente disponíveis que podem ser legalmente obtidos em registros governamentais nos níveis federal, estadual ou local.

A principal conclusão é que as informações privadas incorporam uma combinação de diferentes tipos de dados pessoais, como um nome de usuário ou e-mail com uma pergunta de segurança ou senha.

PHI / ePHI — Informações de Saúde Protegidas / Informações de Saúde Protegidas Eletronicamente

Informações de saúde protegidasInformações de saúde protegidas (PHI, na sigla em inglês) são um tipo de informação sensível regulamentada pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA, na sigla em inglês) — uma regulamentação dos EUA para provedores de serviços de saúde, planos de saúde e seguradoras, câmaras de compensação de saúde ou empresas associadas a organizações de saúde — também chamadas coletivamente de “entidades cobertas pela HIPAA” ou simplesmente “entidades cobertas”.

Informações de saúde protegidas (PHI, na sigla em inglês) são quaisquer informações médicas que possam identificar um indivíduo — ou que sejam criadas, usadas ou divulgadas no processo de prestação de serviços de saúde. Isso inclui informações passadas, presentes e futuras sobre as condições médicas ou de saúde física/mental de indivíduos — contidas em registros físicos, registros eletrônicos e até mesmo em conversas entre pacientes e profissionais de saúde.

Registros de saúde, históricos de saúde, serviços de saúde prestados, resultados de exames ou testes, prescrições, agendamentos, formulários de pacientes, contas médicas e registros de comunicação entre profissionais de saúde e pacientes são todos considerados Informações de Saúde Protegidas (PHI). Qualquer informação que possa ser relacionada a um indivíduo é considerada PHI, mesmo que, sob outra regulamentação, seja considerada Informação Pessoal (PI) (por exemplo, nomes, números de seguro social, datas de nascimento).

A PHI inclui 18 identificadores — qualquer um dos quais é considerado PHI se tratado por uma entidade coberta:

• nomes
• datas
• números de telefone
• dados geográficos
• Números de FAX
• números de segurança social
• endereços de e-mail
• números de prontuário médico
• números de conta
• números de beneficiários do plano de saúde
• números de certificado/licença
• Identificadores e números de série de veículos, incluindo placas de matrícula.
• URLs da web
• identificadores de dispositivo e números de série
• endereços de protocolo de internet
• fotos de rosto inteiro e imagens comparáveis
• identificadores biométricos
• qualquer número ou código de identificação exclusivo

Informações de saúde protegidas (PHI) em arquivos digitais são chamadas de Informações de Saúde Protegidas Eletronicamente — ou ePHI. A Norma de Segurança da HIPAA exige que as entidades cobertas garantam a inviolabilidade e a integridade das PHI com salvaguardas administrativas, técnicas e físicas.

Dados regulamentados, comerciais, confidenciais e de alto risco

Ao adotar uma visão mais ampla dos dados sensíveis que as organizações possam possuir, as empresas devem considerar como tratam os dados regulamentados, os dados comerciais, os dados confidenciais e os dados de alto risco – as joias da coroa de uma organização.

Essas categorias podem incluir informações como propriedade intelectual (PI) – incluindo segredos comerciais, patentes, direitos autorais e marcas registradas. Podem incluir dados financeiros ou de saúde altamente sensíveis, informações pessoais que devem ser mantidas em sigilo e dados ocultos que podem estar armazenados em silos, servidores paralelos ou fluxos de dados isolados – e que representam um risco de segurança elevado se expostos.

Podem ser dados sensíveis específicos da empresa, críticos para o negócio, mas que não são tradicionalmente classificados como sensíveis ou regulamentados. Ou dados transacionais essenciais para o combate à lavagem de dinheiro (AML), identificação de clientes e muito mais.

Esses tipos de dados sensíveis geralmente se sobrepõem a PI, PII, SPI, NPI, PHI e outras definições de dados — mas podem precisar ser classificados, mapeados e catalogados de acordo com permissões de acesso específicas ou requisitos de relatório, ou etiquetados sob medida para necessidades comerciais específicas.

Empresas que possuem a capacidade de classificar e correlacionar dados não apenas por regulamentação, mas também de acordo com categorias de risco, princípios de confidencialidade e outros elementos relevantes para a operação do negócio, conseguem contextualizar, compreender e agir de forma mais eficaz com base em seus dados. Essa visibilidade permite que as empresas:

• ativar a pontuação de risco
• garantir controles de acesso adequados
• Operacionalizar os esforços de minimização de dados e os fluxos de trabalho de retenção.
• estabelecer padrões de qualidade de dados e muito mais.

Do ponto de vista empresarial, permitir total visibilidade dos seus dados reduzirá significativamente os riscos, fortalecerá as medidas de segurança contra acessos não autorizados, proporcionará insights de negócios relevantes e, em última análise, ajudará a liberar o valor dos seus dados.

O que é Informação Compartimentada Sensível?

Informação Compartimentada Sensível (SCI, na sigla em inglês) é um tipo de informação classificada utilizada pelo governo dos Estados Unidos e por agências de inteligência de outros países. SCI refere-se a informações altamente sensíveis que exigem tratamento e proteção especiais para evitar divulgação não autorizada.

As informações SCI são classificadas em um nível superior ao das informações Top Secret e são divididas em compartimentos com base no nível de sensibilidade e na necessidade de conhecimento das pessoas autorizadas a acessar as informações. Cada compartimento é designado por uma palavra-código que indica o nível de sensibilidade e o tipo de informação contida nele.

O acesso a informações SCI é estritamente controlado e limitado a indivíduos com o nível de autorização apropriado e necessidade de conhecimento. Aqueles que são autorizados a acessar informações SCI devem passar por extensas verificações de antecedentes, obter autorizações de segurança e participar de treinamentos regulares para garantir o manuseio e a proteção seguros de informações sensíveis.

Exemplos de informações SCI incluem relatórios de inteligência, planos militares e outras informações classificadas relacionadas à segurança nacional ou às relações exteriores.

Exceções regulatórias por setor e localização

Dependendo do setor de atuação de uma organização, ela pode ser responsável por cumprir diversas regulamentações — e por rastrear quais de seus dados sensíveis são regulamentados por qual conjunto de regras e quais estão sujeitos a múltiplos conjuntos de regras. Estabelecer esse “diagrama de Venn” para práticas regulatórias responsáveis exige uma funcionalidade sofisticada de classificação de dados.

Por exemplo, uma empresa de empréstimos hipotecários sujeita tanto à GLBA quanto à CCPA (ou à futura CCPA). CPRAA empresa sempre precisará monitorar cuidadosamente suas Informações Não Públicas (INP) para fins de conformidade e relatórios com a Lei Gramm-Leach-Bliley (GLBA), bem como para outras regulamentações voltadas para o setor financeiro, mas descobrirá que suas INP estão isentas dos requisitos da Lei de Privacidade do Consumidor da Califórnia (CCPA). Ao mesmo tempo, os dados que a empresa de empréstimos hipotecários coleta, processa e armazena, e que não são considerados INP, ainda podem estar sujeitos aos requisitos da CCPA para Informações Pessoais Sensíveis.

Por outro lado, uma empresa de serviços de saúde que opera na França, no Brasil e em vários estados dos EUA, incluindo Nova York e Califórnia, precisará determinar e categorizar quais de seus dados estão sujeitos a PHI (Informações de Saúde Protegidas) sob a HIPAA (Lei de Portabilidade e Responsabilidade de Seguros de Saúde) e PI (Informações Pessoais) sob o GDPR (Regulamento Geral de Proteção de Dados). LGPD, NY SHIELD e CCPA — e em breve, SPI sob a CPRA — e processá-lo de acordo para atender aos vários padrões de relatório exigidos por cada um. Para complicar ainda mais as coisas, as empresas que operam internacionalmente também devem levar em consideração os requisitos de transferência transfronteiriça.

As complicações decorrentes de múltiplas regulamentações podem resultar em um verdadeiro atoleiro para os programas de governança, segurança e privacidade de dados — caso os dados da empresa não sejam devidamente mapeados, etiquetados, catalogados e limpos.

Existem dados sensíveis que são mais vulneráveis do que outros?

• Informações de Identificação Pessoal (IIP): Informações pessoais identificáveis (PII) são frequentemente alvo de cibercriminosos porque podem ser usadas para cometer roubo de identidade, fraude financeira ou outras formas de atividades maliciosas. Em particular, números de Seguro Social e números de cartão de crédito são altamente cobiçados por hackers.
• Informações de saúde: Informações de saúde são consideradas sensíveis porque podem ser usadas para identificar e visar indivíduos com condições médicas específicas, além de poderem ser utilizadas para fraudes em seguros ou outros tipos de golpes financeiros.
• Informações financeiras: Informações financeiras são um alvo principal para cibercriminosos, pois podem ser usadas para roubar dinheiro, abrir contas de crédito ou fazer compras fraudulentas. Dados bancários, números de cartão de crédito e informações fiscais são extremamente valiosos para hackers.
• Propriedade intelectual: A propriedade intelectual, como segredos comerciais, código de software proprietário e patentes, é frequentemente alvo de espionagem corporativa ou de cibercriminosos que buscam roubar informações valiosas para obter ganhos financeiros.
• Informações biométricas: Informações biométricas, como impressões digitais, dados de reconhecimento facial e escaneamento de íris, são consideradas altamente sensíveis porque não podem ser alteradas como uma senha ou um número de cartão de crédito. Uma vez comprometidas, essas informações podem ser usadas para roubo de identidade ou outras atividades maliciosas.

Perda de dados sensíveis – o que está em jogo?

O risco de perda de dados sensíveis é significativo e pode ter sérias consequências tanto para indivíduos quanto para organizações. Aqui estão alguns dos riscos potenciais da perda de dados sensíveis:

• Roubo de identidade: Dados sensíveis, como informações pessoais e financeiras, podem ser usados para roubar a identidade de um indivíduo, permitindo que hackers acessem contas bancárias, abram contas de crédito e façam compras fraudulentas.
• Danos à reputação: A perda de dados sensíveis de uma organização ou indivíduo pode prejudicar sua reputação, levando à perda de confiança entre clientes, parceiros ou consumidores.
• Consequências legais e regulamentares: Dependendo do tipo de dados perdidos, organizações e indivíduos podem estar sujeitos a ações legais ou regulatórias, multas ou outras penalidades por não protegerem adequadamente informações sensíveis.
• Prejuízos financeiros: A perda de dados sensíveis pode resultar em prejuízos financeiros para indivíduos e organizações, incluindo custos diretos associados a esforços de recuperação, honorários advocatícios e danos à propriedade intelectual.
• Riscos à segurança nacional: A perda de dados sensíveis também pode representar riscos à segurança nacional se as informações perdidas estiverem relacionadas a operações governamentais ou militares.

BigID para todos os tipos de dados sensíveis

Independentemente de onde sua empresa opere ou em qual setor atue, o cumprimento de uma complexa gama de requisitos regulatórios começa com uma análise profunda de dados que mapeia, inventaria e categoriza todas as suas informações confidenciais, tudo em um só lugar.

BigID's descoberta e classificação de dados vai além das técnicas de descoberta tradicionaisExistem três tipos de dados: o aprendizado de máquina, que analisa apenas um tipo de dado, e a descoberta de dados direcionada, que encontra apenas os dados que você já conhece. Com o aprendizado de máquina avançado, você pode proteger todas as informações pessoais identificáveis (PII), informações pessoais (PI), informações sensíveis (SPI), informações não pessoais (NPI), informações de saúde protegidas (PHI) e muito mais da sua organização; saber quais dados estão sujeitos a qual regulamentação; manter padrões de relatórios precisos; e alcançar a conformidade com todas as regulamentações.

Aqui estão algumas maneiras. Plataforma de inteligência de dados incomparável da BigID pode ajudar:

• Classifique todos os seus dados sensíveis. — de todos os tipos — para conhecer sua finalidade de uso, qualidade, impactos de risco e muito mais
• Catalogar automaticamente dados sensíveis e metadados em fontes estruturadas, não estruturadas, em nuvem, Big Data, NoSQL, data lakes e em todos os locais intermediários.
• Encontrar, sinalizar e etiquetar dados relacionados
• Identificar automaticamente dados duplicados, derivados e semelhantes.

Agende uma demonstração Para saber mais sobre quais informações confidenciais sua organização precisa proteger — e como tirar o máximo proveito de seus dados.

Autor

Alexis Porter

Gerente de Marketing de Conteúdo

Alexis atua como Gerente de Marketing de Conteúdo na BigID, uma empresa líder em DSPM (Gerenciamento de Propostas de Conteúdo Digital). Ela se especializa em ajudar startups de tecnologia a desenvolver e aprimorar sua voz, para que contem histórias mais envolventes e que ressoem com públicos diversos. Alexis possui bacharelado em Escrita Profissional e mestrado em Comunicação de Marketing pela Universidade de Denver. Ela reside em Orlando, Flórida.