Um guia para Tipos de informações confidenciais

Dominando a Proteção de Dados: Um Guia Abrangente para a Proteção de Informações Sensíveis

Quando foi a última vez que você contou um segredo? Você contou a alguém em quem confiava que não o compartilharia com ninguém ou contou a alguém que vive para fofocas? No mundo atual, impulsionado pela tecnologia, dados confidenciais são o segredo mais importante. Empresas de diversos setores se envolvem na coleta, processamento, armazenamento e troca de diversas formas de informações relativas a clientes, fornecedores e funcionários. Incorporadas a essa vasta gama de dados, encontram-se peças críticas de informações sensíveis que exigem proteção rigorosa contra acesso não autorizado e uso indevido.

O que é considerado informação sensível?

Informações sensíveis abrangem quaisquer dados que, se comprometidos, possam causar danos, perdas ou acesso não autorizado. Isso inclui informações de identificação pessoal (PII), dados financeiros, propriedade intelectual, registros de saúde, e outras informações confidenciais.

Por que é importante proteger informações confidenciais?

A importância de proteger informações sensíveis é inegável, especialmente na era digital atual, onde violações de dados são cada vez mais comuns e representam riscos significativos para indivíduos e organizações. Considere o seguinte:

Proteção da Privacidade Pessoal

Informações sensíveis geralmente incluem dados pessoais como nomes, endereços, números de previdência social e registros médicos. A proteção dessas informações é crucial para proteger a privacidade e a integridade dos indivíduos. evitando roubo de identidade, fraude ou outras formas de exploração. As organizações têm a responsabilidade de garantir que os dados pessoais dos indivíduos sejam tratados com segurança e usados apenas para fins legítimos.

Confiança e Reputação

A violação de dados ou o manuseio incorreto de informações confidenciais pode ter consequências graves para a reputação e a confiabilidade de uma organização. Clientes, clientes e stakeholders esperam que as organizações tratem seus dados com cuidado e integridade. A falha em fazê-lo pode resultar em perda de confiança, deserção de clientes e danos à reputação da marca da organização, levando a repercussões financeiras e reputacionais de longo prazo.

Conformidade legal e regulatória

Várias leis e regulamentos regem a coleta, o armazenamento e o uso de informações confidenciais, incluindo a Regulamento Geral sobre a Proteção de Dados (GDPR), Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS)e diversas regulamentações específicas do setor. O cumprimento dessas regulamentações é obrigatório e o não cumprimento pode resultar em penalidades severas, multas, ações judiciais e danos à reputação.

Transparência e Responsabilidade Empresarial

A proteção de informações sensíveis promove transparência e responsabilização dentro das organizações. Ao implementar medidas robustas de proteção de dados, as organizações demonstram seu comprometimento com práticas comerciais éticas e responsabilidade perante as partes interessadas. Práticas transparentes de tratamento de dados também aumentam a confiança entre clientes, funcionários e parceiros, promovendo relacionamentos mais fortes e sustentabilidade a longo prazo.

Como os dados confidenciais são protegidos?

Não importa qual seja a localização ou o setor da sua empresa, a proteção de informações confidenciais e a adesão às demandas regulatórias multifacetadas começam com descoberta abrangente de dados. Isso envolve mapear, inventariar e categorizar todas as informações confidenciais em um repositório centralizado.

Aqui estão as etapas que as organizações devem tomar para proteger efetivamente todos os tipos de informações confidenciais:

1. Identificar e classificar dados sensíveis

O primeiro passo é realizar um inventário completo de todos os ativos de dados e classificá-los com base em sua sensibilidade. Isso envolve a identificação de informações de identificação pessoal (PII), dados financeiros, propriedade intelectual, registros de saúde e quaisquer outras informações confidenciais. A classificação dos dados ajuda a priorizar as medidas de proteção com base no nível de risco associado a cada categoria de dados.

2. Implementar controles de acesso

Limite o acesso a informações confidenciais implementando controles de acesso rigorosos. Isso inclui controle de acesso baseado em função (RBAC), onde as permissões de acesso são concedidas com base na função ou cargo de um indivíduo na organização. Além disso, aplique o princípio do privilégio mínimo, concedendo aos usuários apenas o nível mínimo de acesso necessário para o desempenho de suas funções.

3. Armazenamento e transmissão seguros

Garantir que dados confidenciais são armazenados e transmitidos com segurança. Utilize soluções seguras de armazenamento de dados, como bancos de dados criptografados e sistemas seguros de armazenamento de arquivos, para proteger os dados em repouso. Empregue protocolos de comunicação seguros, como HTTPS e VPNs, para criptografar dados durante a transmissão pelas redes, impedindo a interceptação ou espionagem por agentes mal-intencionados.

4. Atualize e aplique patches regularmente nos sistemas

Mantenha softwares, aplicativos e sistemas atualizados com os patches e atualizações de segurança mais recentes. Vulnerabilidades em softwares desatualizados podem ser exploradas por invasores cibernéticos para obter acesso não autorizado a informações confidenciais. Aplicar patches regularmente nos sistemas ajuda a mitigar esses riscos e fortalece a postura de segurança da organização.

5. Treine os funcionários sobre as melhores práticas de segurança

Oriente os funcionários sobre conscientização de segurança e melhores práticas para lidar com informações confidenciais. Ofereça treinamento sobre como reconhecer tentativas de phishing, usar senhas fortes, armazenar e transmitir dados com segurança e relatar incidentes de segurança ou atividades suspeitas. Uma força de trabalho bem informada é essencial para manter uma defesa sólida contra ameaças cibernéticas.

6. Monitorar e auditar o acesso

Implemente mecanismos de monitoramento e auditoria para rastrear o acesso a dados sensíveis e detectar atividades suspeitas ou não autorizadas. Monitore registros de atividades de usuários, tentativas de acesso e transferências de dados para identificar potenciais incidentes ou violações de segurança. Realize auditorias e avaliações de segurança regulares para garantir a conformidade com as políticas e regulamentações de segurança.

7. Estabelecer procedimentos de resposta a incidentes

Desenvolver e documentar procedimentos de resposta a incidentes para responder eficazmente a incidentes de segurança ou violações de dados. Defina funções e responsabilidades, estabeleça canais de comunicação e descreva as etapas para conter, investigar e mitigar incidentes de segurança. Prepare planos de resposta a incidentes e realize simulações regulares para testar a prontidão da organização para lidar com incidentes de segurança de forma eficaz.

8. Revise e atualize regularmente as políticas de segurança

Revise e atualize as políticas, procedimentos e controles de segurança regularmente para se adaptar às ameaças em evolução e aos requisitos regulatórios. Garanta que as políticas de segurança sejam abrangentes, comunicadas claramente aos funcionários e aplicadas de forma consistente em toda a organização. Avalie e aprimore regularmente as medidas de segurança com base em ameaças emergentes, nas melhores práticas do setor e nas lições aprendidas com incidentes de segurança.

Tipos de informações confidenciais

Para explorar os diferentes tipos de informações sensíveis que vários regulamentos definem e monitoram, vamos começar com o básico de PII e PI, e então explorar iterações mais específicas — particularmente aquelas relevantes para determinados setores.

Em seguida, exploraremos como essas regulamentações se sobrepõem — e como proteger informações confidenciais em toda a empresa — não importa qual seja seu setor ou organização.

PII: Informações de identificação pessoal

Informações Pessoais Identificáveis (PII) são quaisquer informações que possam ser usadas para distinguir ou rastrear a identidade de um indivíduo, isoladamente ou em combinação com outras informações pessoais ou de identificação. Esses dados são essenciais em diversos setores para identificar, contatar ou localizar um indivíduo e estão sujeitos a rigorosas proteções legais devido à sua natureza sensível.

Proteger PII é crucial para proteger indivíduos contra roubo de identidade, fraude e outras invasões de privacidade. O acesso não autorizado a PII pode levar a danos pessoais e financeiros significativos.

Como o PII evoluiu?

O conceito de PII evoluiu com os avanços tecnológicos e as mudanças nas normas sociais. Inicialmente focada em identificadores simples, como nomes e CPFs, a definição de PII se expandiu para abranger dados digitais e biométricos à medida que o cenário digital se expandia. Órgãos reguladores continuam adaptando suas estruturas para lidar com os desafios emergentes de privacidade e os desenvolvimentos tecnológicos.

Principais características do PII

Identificadores PII diretos

• Nome completo
• Número de segurança social (SSN)
• Número da carteira de motorista
• Número do passaporte
• Endereço de e-mail
• Número de telefone

Identificadores PII indiretos

Informações que podem ser combinadas com outros dados para identificar um indivíduo. Exemplos incluem:

• Data de nascimento
• Gênero
• CEP
• Endereço IP
• Dados biométricos (por exemplo, impressões digitais, dados de reconhecimento facial)

Estruturas regulatórias que regem as informações de identificação pessoal

• Regulamento Geral de Proteção de Dados (RGPD): Aplicável na União Europeia, o GDPR é uma das leis de proteção de dados mais abrangentes. Ele define dados pessoais de forma ampla e inclui requisitos rigorosos para o manuseio, processamento e armazenamento de PII.
• Lei de Privacidade do Consumidor da Califórnia (CCPA): Esta lei estadual dos EUA concede aos residentes da Califórnia direitos sobre suas informações pessoais, incluindo o direito de saber quais dados são coletados, o direito de excluir dados e o direito de cancelar a venda de dados.
• Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA): Nos EUA, a HIPAA regulamenta a proteção de PII relacionadas à saúde, garantindo que as informações médicas sejam protegidas.
• Diretrizes da Comissão Federal de Comércio (FTC): A FTC aplica as leis de proteção ao consumidor nos EUA, incluindo aquelas relacionadas à privacidade e segurança de dados.

PI: Informações Pessoais

Informações Pessoais (IP) referem-se a quaisquer dados que possam ser usados para identificar, contatar ou localizar um indivíduo, direta ou indiretamente. Esta categoria é ampla e abrange uma ampla gama de tipos de informações, que podem variar dependendo do contexto e das definições legais específicas aplicáveis em diferentes jurisdições.

Proteger as informações pessoais é essencial para evitar acesso não autorizado, que pode levar a roubo de identidade, fraude financeira e outras violações de privacidade. Garantir a confidencialidade e a segurança das informações pessoais ajuda a manter a privacidade e a confiança individuais.

Como os dados do PI evoluíram?

A definição e o escopo de informações pessoais evoluíram significativamente com os avanços tecnológicos e as mudanças nos cenários regulatórios. Inicialmente focado em identificadores óbvios, como nomes e CPFs, o conceito agora inclui pegadas digitais, dados biométricos e outros identificadores emergentes. Os órgãos reguladores continuam adaptando suas definições e proteções para enfrentar os novos desafios de privacidade impostos pela inovação tecnológica.

Principais características do PI

Identificadores Diretos

Informações que podem identificar diretamente um indivíduo sem a necessidade de dados adicionais. Exemplos incluem:

• Nome completo
• Número de segurança social (SSN)
• Número da carteira de motorista
• Número do passaporte
• Endereço de e-mail
• Número de telefone

Identificadores indiretos

Informações que, quando combinadas com outros dados, podem identificar um indivíduo. Exemplos incluem:

• Data de nascimento
• Gênero
• CEP
• Endereço IP
• Identificadores de dispositivos
• Dados de geolocalização

SPI — Informações Pessoais Sensíveis

Informações Pessoais Sensíveis (SPI) sob o próximo Lei de Direitos de Privacidade da Califórnia (CPRA) é um novo termo definido que abrange dados que estão relacionados, mas não identificam diretamente um indivíduo —e pode causar danos se for tornado público. O SPI inclui informações pessoais que revelam:

• número de segurança social, carteira de motorista, carteira de identidade estadual ou passaporte do consumidor
• login de conta, conta financeira, cartão de débito ou números de cartão de crédito em combinação com qualquer código de segurança ou acesso necessário,
• senha ou credenciais que permitem acesso a uma conta
• geolocalização precisa
• origem racial ou étnica, crenças religiosas ou filosóficas ou filiação sindical
• o conteúdo da correspondência, e-mail e mensagens de texto de um consumidor — a menos que a empresa seja o destinatário pretendido da comunicação
• dados genéticos, incluindo
  • o processamento de informações biométricas com a finalidade de identificar exclusivamente um consumidor;
  • informações pessoais coletadas e analisadas sobre a saúde de um consumidor; ou
  • informações pessoais coletadas e analisadas sobre a vida sexual ou orientação sexual de um consumidor

NPI — Informações Pessoais Não Públicas

Informações Pessoais Não Públicas, ou NPI, são um tipo de informação sensível criada e definida pelo Lei Gramm-Leach Bliley (GLBA), que regula especificamente as instituições de serviços financeiros.

NPI não inclui informações disponíveis publicamente e é definido como “informações financeiras pessoalmente identificáveis que são:

• fornecido por um consumidor a uma instituição financeira
• resultante de uma transação ou serviço prestado ao consumidor, ou
• obtidos de outra forma pela instituição financeira”.

O NPI pode incluir nomes, endereços, números de telefone, números de previdência social, números de contas bancárias e de cartão de crédito, compras com cartão de crédito ou débito, registros judiciais de um relatório do consumidor ou qualquer outra informação financeira do consumidor que:

• um consumidor fornece a uma instituição financeira
• resulta de uma transação ou serviço realizado para o consumidor
• é obtido de outra forma pelas instituições financeiras
• O NPI não inclui informações que foram disponibilizadas publicamente ou amplamente distribuídas na mídia ou em registros públicos do governo.

Os regulamentos relevantes para Informações Pessoais Não Públicas incluem: GLBA, NYDSF / NYCRR 500

MNPI — Informações materiais não públicas

Informações materiais não públicas, ou MNPI, são dados relacionados a uma empresa, suas participações e suas subsidiárias, que não foram divulgados publicamente ou disponibilizados aos investidores em geral — e que podem impactar o preço das ações da empresa.

A regulamentação visa monitorar e prevenir tipos ilegais de negociação com informações privilegiadas, impedindo que aqueles que detêm informações privilegiadas não autorizadas as utilizem em seu benefício na negociação de ações ou outros valores mobiliários — ou as compartilhem com terceiros que possam usá-las em seu benefício. Quando a negociação envolve o uso de informações privilegiadas não autorizadas, ela é considerada ilegal — independentemente de a pessoa que a pratica ser ou não um funcionário da empresa.

O uso ou conhecimento de MNPI determina, em parte, a legalidade do uso de informações privilegiadas. Portanto, embora nem todo uso de informações privilegiadas seja ilegal — como quando funcionários compram ou vendem ações de suas empresas e cumprem os requisitos de registro e arquivamento do órgão regulador, a Securities and Exchange Commission (SEC) — qualquer negociação que envolva MPNI é ilegal.

A parte "material" do MNPI exige que a informação seja significativa o suficiente para influenciar o valor das ações da empresa. Se a informação não afetar razoavelmente o preço das ações, não é considerada MNPI.

Os tipos de MNPI incluem — mas não estão limitados a:

• informações corporativas que vêm da empresa afetada — ou de agências reguladoras externas, legisladores ou instituições financeiras
• relatórios de ganhos e outros registros financeiros
• próximas ações ou planos corporativos, como ofertas públicas iniciais (IPO), aquisições ou desdobramentos de ações
• resultados de processos judiciais
• decisões de agências como a FDA

Os regulamentos relevantes para MNPI incluem o Lei de Valores Mobiliários e Lei de Câmbio da Comissão de Valores Mobiliários — Regulamento FD (Divulgação Justa)

Informações privadas

Informações Privadas são o conjunto de dados sensíveis regulamentados pela Lei Stop Hacks and Improve Electronic Data Security (NY SHIELD) de Nova York.

NY SHIELD aplica-se a “qualquer pessoa ou empresa que possua ou licencie dados informatizados que incluam informações privadas” de um residente de Nova York — também conhecidas como “empresas cobertas”.

Informações privadas expande o conceito de "informações pessoais", que era o tipo de dado originalmente regulamentado pela lei de violação de dados de Nova York antes da SHIELD entrar em cena. A lei de Nova York definiu informações pessoais como "qualquer informação relativa a uma pessoa física que, devido ao nome, número, marca pessoal ou outro identificador, possa ser usada para identificar essa pessoa física".

Para definir informações privadas, a Lei SHIELD ampliou essa definição para incluir “informações pessoais consistindo de qualquer informação em combinação com um ou mais dos seguintes elementos de dados, quando o elemento de dados ou a combinação de informações não for criptografado — ou for criptografado com uma chave de criptografia que também foi acessada ou adquirida”.

Os elementos de dados abrangidos são:

• número da Segurança Social
• número da carteira de motorista ou número do cartão de identificação de não motorista
• informações biométricas — ou representação digital das características físicas únicas de um indivíduo, como uma impressão digital, impressão vocal, imagem da retina ou da íris, ou outra medida física única que possa autenticar a identidade de um indivíduo
• número da conta ou número do cartão de crédito/débito, em combinação com qualquer código de segurança, código de acesso ou senha necessária que permita o acesso — ou sem tais informações adicionais de identificação

Informações privadas não incluem dados disponíveis publicamente que estejam legalmente disponíveis em registros governamentais em nível federal, estadual ou local.

O mais importante é que a informação privada incorpora uma combinação de diferentes tipos de dados pessoais, como um nome de usuário ou e-mail com uma pergunta de segurança ou senha.

PHI / ePHI — Informações de saúde protegidas / Informações de saúde protegidas eletronicamente

Informações de saúde protegidas, ou PHI, é um tipo de informação sensível regulamentada pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) — uma regulamentação dos EUA para provedores de saúde, planos de saúde e seguradoras, câmaras de compensação de saúde ou empresas associadas a organizações de saúde — também chamadas coletivamente de “entidades cobertas pela HIPAA” ou apenas “entidades cobertas”.

PHI é qualquer informação médica que possa identificar um indivíduo — ou que seja criada, utilizada ou divulgada no processo de prestação de serviços de saúde. Isso inclui informações passadas, atuais e futuras sobre as condições médicas ou de saúde física/mental dos indivíduos — conforme contidas em registros físicos, registros eletrônicos e até mesmo conversas entre pacientes e médicos.

Registros de saúde, históricos médicos, serviços de saúde prestados, resultados de exames laboratoriais ou de saúde, receitas médicas, consultas, formulários de pacientes, contas médicas e registros de comunicação com provedores ou pacientes são considerados PHI. Qualquer informação é considerada PHI se puder ser relacionada a um indivíduo, mesmo que seja considerada PI por uma regulamentação diferente (por exemplo, nomes, números de previdência social, datas de nascimento).

PHI inclui 18 identificadores — qualquer um dos quais é considerado PHI se tratado por uma entidade coberta:

• nomes
• datas
• números de telefone
• dados geográficos
• Números de FAX
• números de segurança social
• endereços de e-mail
• números de registros médicos
• números de conta
• números de beneficiários do plano de saúde
• números de certificado/licença
• identificadores de veículos e números de série, incluindo placas
• URLs da web
• identificadores de dispositivos e números de série
• endereços de protocolo de internet
• fotos de rosto inteiro e imagens comparáveis
• identificadores biométricos
• qualquer número ou código de identificação exclusivo

As PHI em arquivos digitais são chamadas de Informações de Saúde Protegidas Eletronicamente — ou ePHI. A Norma de Segurança da HIPAA exige que as entidades cobertas garantam a inviolabilidade e a integridade das PHI com salvaguardas administrativas, técnicas e físicas.

Dados regulamentados, comerciais, confidenciais e de alto risco

Adotando uma visão mais ampla dos dados confidenciais que as organizações podem possuir, as empresas devem considerar como tratam dados regulamentados, dados comerciais, dados confidenciais e dados de alto risco — as joias da coroa de uma organização.

Essas categorias podem incluir informações como propriedade intelectual (PI) – incluindo segredos comerciais, patentes, direitos autorais e marcas registradas. Podem incluir dados financeiros ou de saúde altamente sensíveis, informações pessoais que devem ser mantidas em sigilo e dados obscuros que podem estar ocultos em silos, servidores ocultos ou fluxos de dados – e que representam um risco elevado à segurança se expostos.

Podem ser dados sensíveis específicos da empresa, essenciais para a empresa, mas que tradicionalmente não são rotulados como sensíveis ou regulamentados. Ou dados transacionais essenciais para a Prevenção à Lavagem de Dinheiro (AML), IDs de clientes e muito mais.

Esses tipos de dados confidenciais geralmente se sobrepõem a PI, PII, SPI, NPI, PHI e outras definições de dados, mas podem precisar ser classificados, mapeados e catalogados de acordo com permissões de acesso específicas ou requisitos de relatórios, ou receber tags personalizadas para necessidades comerciais específicas.

Empresas que têm a capacidade de classificar e correlacionar dados não apenas por regulamentação — mas também por categorias de risco, princípios de confidencialidade e outros elementos relevantes para o funcionamento do negócio — podem contextualizar, compreender e tomar medidas com base em seus dados. Essa visibilidade permite que as empresas:

• habilitar pontuação de risco
• garantir controles de acesso adequados
• operacionalizar esforços de minimização de dados e fluxos de trabalho de retenção
• estabelecer padrões de qualidade de dados e muito mais.

Do ponto de vista empresarial, permitir visibilidade total dos seus dados reduzirá significativamente os riscos, fortalecerá as proteções contra acesso não autorizado, levará a insights comerciais significativos e, por fim, ajudará a liberar o valor dos seus dados.

O que são informações confidenciais compartimentadas?

Informações Compartimentadas Sensíveis (SCI) são um tipo de informação classificada usada pelo governo dos Estados Unidos e por agências de inteligência de alguns outros países. SCI refere-se a informações altamente sensíveis que requerem tratamento e proteção especiais para evitar divulgação não autorizada.

As informações SCI são classificadas em um nível mais alto do que as informações Top Secret e são divididas em compartimentos com base no nível de sensibilidade e na necessidade de conhecimento dos indivíduos autorizados a acessá-las. Cada compartimento é designado por uma palavra-código que indica o nível de sensibilidade e o tipo de informação contida nele.

O acesso às informações do SCI é estritamente controlado e limitado a indivíduos com o nível de autorização apropriado e a necessidade de conhecimento. Aqueles autorizados a acessar informações do SCI devem passar por extensas verificações de antecedentes, autorizações de segurança e treinamento regular para garantir o manuseio seguro e a proteção de informações sensíveis.

Exemplos de informações do SCI incluem relatórios de inteligência, planos militares e outras informações confidenciais relacionadas à segurança nacional ou às relações exteriores.

Exceções regulatórias por vertical e localização

Dependendo do setor de atuação de uma organização, ela pode ser responsável por cumprir diversas regulamentações — e rastrear quais de seus dados sensíveis são regulados por qual conjunto de regras e quais estão sujeitos a múltiplos conjuntos de regras. Estabelecer este "diagrama de Venn" para práticas regulatórias responsáveis requer uma funcionalidade sofisticada de classificação de dados.

Por exemplo, uma empresa de empréstimos hipotecários que está sujeita ao GLBA e ao CCPA (ou ao próximo CPRA) sempre precisará monitorar cuidadosamente seu NPI para conformidade com o GLBA e relatórios (bem como outras regulamentações voltadas para o setor financeiro) — mas descobrirá que seu NPI está isento dos requisitos da CCPA. Ao mesmo tempo, os dados que a empresa de crédito imobiliário coleta, processa e armazena que não são considerados NPI ainda podem se enquadrar nos requisitos da CCPA para PI sensível.

Por outro lado, uma empresa de serviços de saúde que opera na França, no Brasil e em vários estados dos EUA, incluindo Nova York e Califórnia, precisará determinar e categorizar quais de seus dados estão sujeitos a PHI sob HIPAA, PI sob GDPR, LGPD, NY SHIELD e CCPA — e, em breve, SPI sob CPRA — e processá-los adequadamente para atender aos diversos padrões de relatórios exigidos por cada um. Para complicar ainda mais a situação, as empresas que operam internacionalmente também devem levar em consideração os requisitos de transferências internacionais.

As complicações impostas por múltiplas regulamentações podem resultar em um verdadeiro atoleiro para programas de governança, segurança e privacidade de dados — se os dados da empresa não forem mapeados, marcados, catalogados e limpos adequadamente.

Existem dados confidenciais que são mais vulneráveis que outros?

• Informações de identificação pessoal (PII): Informações de Identificação Pessoal (PII) são frequentemente alvos de cibercriminosos, pois podem ser usadas para cometer roubo de identidade, fraude financeira ou outras formas de atividade maliciosa. Em particular, números de Seguro Social e números de cartão de crédito são muito procurados por hackers.
• Informações de saúde: As informações de saúde são consideradas sensíveis porque podem ser usadas para identificar e atingir indivíduos com condições médicas específicas e também podem ser usadas para fraudes de seguros ou outros tipos de golpes financeiros.
• Informações financeiras: Informações financeiras são um alvo preferencial dos cibercriminosos, pois podem ser usadas para roubar dinheiro, abrir contas de crédito ou fazer compras fraudulentas. Dados bancários, números de cartão de crédito e informações fiscais são extremamente valiosos para os hackers.
• Propriedade intelectual: Propriedade intelectual, como segredos comerciais, códigos de software proprietários e patentes, geralmente são alvos de espionagem corporativa ou de criminosos cibernéticos que buscam roubar informações valiosas para obter ganhos financeiros.
• Informações biométricas: Informações biométricas, como impressões digitais, dados de reconhecimento facial e escaneamento de íris, são consideradas altamente sensíveis, pois não podem ser alteradas, como uma senha ou um número de cartão de crédito. Uma vez comprometidas, essas informações podem ser usadas para roubo de identidade ou outras atividades maliciosas.

Perda de dados confidenciais – O que está em jogo?

O risco de perda de dados sensíveis é significativo e pode ter consequências graves tanto para indivíduos quanto para organizações. Aqui estão alguns dos riscos potenciais de perda de dados sensíveis:

• Roubo de identidade: Dados confidenciais, como informações pessoais e financeiras, podem ser usados para roubar a identidade de um indivíduo, permitindo que hackers acessem contas bancárias, abram contas de crédito e façam compras fraudulentas.
• Danos à reputação: Se os dados confidenciais de uma organização ou indivíduo forem perdidos, isso pode prejudicar sua reputação, levando à perda de confiança entre clientes ou parceiros.
• Consequências legais e regulatórias: Dependendo do tipo de dados perdidos, organizações e indivíduos podem estar sujeitos a ações legais ou regulatórias, multas ou outras penalidades por não protegerem adequadamente informações confidenciais.
• Perdas financeiras: A perda de dados confidenciais pode resultar em perdas financeiras para indivíduos e organizações, incluindo custos diretos associados a esforços de remediação, taxas legais e danos à propriedade intelectual.
• Riscos à segurança nacional: A perda de dados confidenciais também pode representar riscos à segurança nacional se as informações perdidas estiverem relacionadas a operações governamentais ou militares.

BigID para todos os tipos de dados sensíveis

Não importa onde sua empresa opera ou em qual setor você atua, o cumprimento de uma série complexa de requisitos regulatórios começa com a descoberta profunda de dados que mapeia, inventaria e categoriza todas as suas informações confidenciais, tudo em um só lugar.

BigIDs descoberta e classificação de dados vai além das técnicas tradicionais de descoberta, que veem apenas um tipo de dado, e a descoberta de dados direcionada, que encontra apenas dados que você já conhece. Usando aprendizado de máquina avançado, você pode proteger todas as PII, PI, SPI, NPI, PHI da sua organização e muito mais; saber quais dados estão sujeitos a qual regulamentação; manter padrões de relatórios precisos; e alcançar a conformidade com todas as regulamentações.

Aqui estão algumas maneiras Plataforma de inteligência de dados incomparável da BigID pode ajudar:

• classifique todos os seus dados confidenciais — de todos os tipos — para conhecer sua finalidade de uso, qualidade, impactos de risco e muito mais
• catalogar automaticamente dados confidenciais e metadados em fontes estruturadas, não estruturadas, em nuvem, Big Data, NoSQL, data lake e em todos os lugares entre eles
• encontrar, sinalizar e marcar dados relacionados
• identificar automaticamente dados duplicados, derivados e semelhantes

Agende uma demonstração para saber mais sobre quais informações confidenciais sua organização precisa proteger — e como aproveitar ao máximo seus dados.