Indice
L'acronimo PII sta per Personally Identifiable Information, in Italiano informazioni di identificazione personale, e rappresenta tutti quei dati in grado di identificare in modo univoco gli utenti, per questo molto appetibili e a rischio di furto da parte dei cybercriminali. Sono considerati dati sensibili, perché possono venire utilizzati ad esempio per i furti di identità.
Esempi di PII possono essere semplicemente il nome, l'indirizzo, e la data di nascita dell'utente, o nei casi peggiori: nome e cognome, indirizzo, codice fiscale e dati bancari. Nei data breach, i dati PII sono uno dei bersagli principali dei cybercriminali, per via del loro valore quando vengono messi in vendita nei marketplace del dark web.
La Formazione sulla Cybersecurity Inizia Qui
Ecco come funziona la tua prova gratuita:
- Parla con i nostri esperti di sicurezza informatica per valutare il tuo ambiente e identificare la tua esposizione al rischio di minacce
- Entro 24 ore e con un minimo di configurazione, implementeremo i nostri strumenti per 30 giorni
- Prova la nostra tecnologia in prima persona!
- Ricevi un rapporto che delinea le tue vulnerabilità di sicurezza per aiutarti a prendere subito provvedimenti adeguati contro gli attacchi alla tua sicurezza informatica
Compila questo modulo per richiedere un incontro con i nostri esperti di sicurezza informatica.
Grazie per esserti registrato per la nostra prova gratuita. Un rappresentante di Proofpoint si metterà in contatto con te a breve, guidandoti nei prossimi passi da seguire.
Cosa viene considerato dato PII?
Non esiste una regola precisa per definire quando un dato può essere considerato PII o meno. I dati PII costituiscono solitamente un pacchetto di dati, ma anche una singola informazione può in certi casi essere considerata PII. Ad esempio, avere a disposizione soltanto il nome e cognome di una persona, non è abbastanza per i cybercriminali, invece conoscere il codice fiscale, permette di identificare in modo univoco una persona. Un nome e cognome permette già di restringere il campo per provare ad identificare qualcuno ma senza l'indirizzo e altre informazioni più specifiche, la persona può ancora rimanere anonima.
Per essere di utilità ai cybercriminali, i PII devono fornire abbastanza informazioni da permettere di identificare un individuo in mezzo a milioni di persone.
Esempi di dati PII
Anche se non esiste una definizione precisa che possa indicare quali dati siano considerati dati PII, le informazioni nella seguente lista sono esempi di PII se un numero sufficiente di questi dati vengono violati in un data breach.
Una sola di esse, o tutte quante insieme possono venire compromesse in un data breach:
- Nome.
- Cognome.
- Indirizzo di fatturazione.
- Indirizzo di residenza.
- Codice fiscale.
- Informazioni sul passaporto (o una sua foto).
- Numero della patente (o una sua foto).
- Dati della carta di credito (numero, CVV, data di scadenza).
- Data di nascita.
- Numero di telefono.
- Credenziali di accesso (nome utente e password).
Le informazioni appena viste, possono essere utilizzate per identificare una persona, ma ulteriori informazioni possono risultare ancor più utili per i cybercriminali.
Le seguenti informazioni, di per sé, non sono particolarmente utili ma in combinazione con i dati visti in precedenza, permettono di rubare l'identità della vittima:
- Soltanto il nome o il cognome, non il nome completo.
- Paese e/o città.
- Sesso.
- Razza.
- Intervallo di età (es. 30-40 anni).
- Posizione lavorativa o informazioni sulla professione.
Le informazioni appena viste, sono soltanto un piccolo esempio, ma la lista è ben più lunga. Qualsiasi informazione che permetta di identificare in modo univoco una persona può essere considerata un dato PII. Sono proprio questi i dati che le aziende hanno a cuore proteggere dagli attacchi dei cybercriminali.
Dati PII sensibili e non
È importante distinguere tra dati PII sensibili e dati PII non sensibili. I primi sono regolati da specifiche norme di conformità e devono essere protetti da rigidi standard in tema di sicurezza informatica, stabiliti dagli enti regolatori. Dati estremamente sensibili, come ad esempio il codice fiscale o i dati bancari, richiedono standard di sicurezza molto elevati per proteggerli dagli attacchi.
Come nel caso della definizione dei dati PII, anche per i dati sensibili non esiste una definizione ben definita che li contraddistingua. Un buon metodo è determinare se l'informazione è disponibile pubblicamente o se invece è un dato che non può essere trovato ad esempio sull’elenco telefonico o su un database pubblico. I numeri di cellulare possono essere privati ma i nomi e i numeri di telefono pubblici non sono considerati dati privati. Il nome e l'indirizzo email di un dipendente trovati in un elenco aziendale non sono considerati dati sensibili, al contrario il numero di telefono privato del dipendente e il suo indirizzo di residenza sono invece considerati sensibili.
Gli standard di regolamentazione definiscono il modo in cui i dati sensibili devono essere conservati e trasferiti. I dati sensibili devono infatti essere crittografati quando archiviati e trasferiti in rete. I dati archiviati su hard disk o su database vengono definiti dati a riposo, “data at rest”. I dati trasferiti all'interno della rete aziendale o in rete vengono definiti dati in movimento “data in motion”. Entrambi sono vulnerabili agli attacchi e richiedono l'adozione delle migliori soluzioni di difesa in termini di sicurezza informatica per proteggerli.
Altri dati sensibili protetti da normative
Oltre ai dati PII, anche i dati sanitari protetti (PHI) e le informazioni bancarie sono regolamentati da severi standard e vanno adeguatamente protetti come stabilito dalle seguenti normative: l'Health Insurance Portability and Accountability Act (HIPAA) supervisiona i dati sanitari e definisce gli standard di sicurezza informatica per medici, ospedali, dentisti, compagnie assicurative, e molto altro.
Vari enti regolano le informazioni finanziarie, come il PCI-DSS, il Financial Industry Regulatory Authority (FINRA), Sarbanes-Oxley (SOX), e altri. Violare tali standard può portare a sanzioni milionarie, quindi è fondamentale conformarsi alle normative per proteggere i dati sensibili.
Quali dati sono considerati pii per il GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR) definisce il modo in cui le aziende devono trattare i dati PII. Esso fornisce le linee guida su cosa è considerato dato PII e cosa deve essere fatto per archiviare, proteggere, e eliminare tali dati. La checklist GDPR offre alle aziende un modo per capire se stanno seguendo la strada giusta nella gestione dei personally identifiable information.
Il GDPR distingue tra le aziende con più di 250 dipendenti e quelle con meno dipendenti. La checklist indica alle aziende il modo in cui devono crittografare i dati a riposo e quelli in movimento. La crittografia è il primo metodo per anonimizzare i dati quando vengono trasmessi. Anche se i cybercriminali dovessero violare la rete aziendale, la crittografia renderebbe i dati inutilizzabili per i malintenzionati.
Standard di sicurezza sui personally identifiable information in Europa
Altri standard di sicurezza informatica vigilano sui dati degli utenti appartenenti all'unione europea. Le aziende devono non soltanto implementare le più efficaci misure di sicurezza per proteggere i dati dei propri utenti, ma devono anche fornire loro un modo facile per sapere come tali dati vengono utilizzati e richiederne la cancellazione se lo desiderano. Gli utenti devono anche potersi liberamente opporre alla raccolta e all'utilizzo dei propri dati.
Se un'azienda è tenuta al rispetto del GDPR, è fondamentale che conosca perfettamente tutto ciò che prevede la normativa, perché i requisiti sono diversi da quelli di altri standard. Ad esempio il GDPR stabilisce che i cookies possono essere considerati dati PII. La legge distingue tra PII e identificativo personale. Un identificativo personale in aggiunta a un pacchetto di informazioni personali permetterà ai cybercriminali di identificare una persona a partire da informazioni personali di base. Ad esempio, disponendo soltanto del nome “Mario Rossi”, gli hacker non potranno fare un gran che, ma in combinazione ad esempio con i dati di geolocalizzazione, possono restringere il campo riuscendo ad identificare l'utente.
Le migliori pratiche per gestire i dati PII
Gli standard emanati dai vari organi regolatori permettono di proteggere in modo adeguato i dati sensibili e rappresentano un ottimo punto da cui partire quando si stabiliscono le policy di sicurezza e sull'utilizzo dei dati. Tuttavia ogni azienda avrà poi le proprie esigenze e implementerà le proprie strategie di difesa in base ai propri requisiti.
Ad esempio, le normative HIPAA e PCI-DSS impongono alle organizzazioni l'utilizzo del protocollo SSL/TLS (HTTPS) per trasferire dati sensibili, oltre alla crittografia dei dati sensibili archiviati nei database. Tuttavia, l'azienda dovrà definire delle strategie per l'accesso interno ai dati, il backup, l'archiviazione, e stabilire chi all'interno dell'organizzazione può accedere ai dati PII. Se gli utenti accedono ai dati PII da remoto, dovranno utilizzare una VPN e l'autenticazione multifattore (MFA).
Gli attacchi phishing e social engineering sono comunemente utilizzati per i furti di identità. È perciò fondamentale che i dipendenti delle aziende ricevano un'adeguata formazione contro i pericoli del phishing e del social engineering, affinché imparino a riconoscere un attacco e segnalarlo prontamente. Anche conoscere le normative sulla protezione dei dati e chi può accedervi dovrebbe rientrare nella formazione dei dipendenti. Per arginare gli attacchi phishing possono essere utilizzate inoltre soluzioni specifiche, come filtri email, impostazione del DMARC, SPF, e software basati su DNS per bloccare contenuti pericolosi.
Strategie di sicurezza informatica per proteggere i dati sensibili
Le strategie di sicurezza informatica devono essere aggiornate regolarmente, almeno annualmente, ma alcune aziende scelgono di farlo anche più di frequente. In caso di incidente, si ha l'opportunità di correggere ciò che non ha funzionato a livello di strategia di difesa, ma soltanto dopo che la violazione è avvenuta. Rivedere e tenere aggiornate le proprie tecnologie e strategie di difesa aiuterà i responsabili del reparto informatico a identificare e correggere eventuali vulnerabilità nelle proprie infrastrutture e sistemi.
I dati PII, PHI, ePHI, e PFI (Informazioni finanziarie di identificazione personale) costituiscono vari tipi di dati digitali che vanno tutti protetti fisicamente e virtualmente. Il primo passo è identificare tutti i modi in cui l'azienda raccoglie dati, capire a quali standard in tema di gestione dei dati si deve conformare, e infine mettere in atto le adeguate strategie di difesa.