Thông tin nhận dạng cá nhân (PII) trong bảo mật thông tin là dữ liệu có thể trực tiếp hoặc gián tiếp nhận dạng một cá nhân.
PII có nhiều loại định nghĩa chính thức khác nhau tùy theo quốc gia và vùng lãnh thổ. Tuy nhiên, ý nghĩa cơ bản của thuật ngữ này vẫn không thay đổi.
Cách phổ biến nhất để định nghĩa PII (theo Viện Tiêu chuẩn và Công nghệ Quốc gia) [NIST] Hoa Kỳ) là – “Bất kỳ sự trình bày thông tin nào cho phép nhận dạng cá nhân mà thông tin liên quan được suy luận một cách hợp lý, trực tiếp hoặc gián tiếp.”
Tương tự, theo luật bảo vệ quyền riêng tư và dữ liệu cá nhân, định nghĩa chính thức cũng được sửa đổi. Bạn có thể xem lại các phím tắt liên quan đến quyền riêng tư dữ liệu để tìm hiểu thêm về chúng.
Tầm quan trọng của dữ liệu cá nhân trong an ninh mạng 🔒
An ninh mạng đề cập đến việc bảo vệ và phòng thủ chống lại các cuộc tấn công mạng. Phần lớn, điều này áp dụng cho bảo mật thông tin, trong đó mục tiêu chính là bảo vệ dữ liệu được lưu trữ trong các hệ thống và tổ chức.
Vì vậy, việc biết PII là gì cuối cùng sẽ giúp bạn hiểu dữ liệu nào được lưu trữ, dữ liệu nào cần được bảo mật, cách quản lý dữ liệu đó tốt hơn và một số điều khác sẽ giúp tăng cường bảo mật.
Thông thường PII rất nhạy cảm. Vì vậy, những kẻ tấn công độc hại không nên để tay vào những thông tin đó. Bất kỳ thông tin cá nhân nào được thu thập đều có thể có tác động đến một người trong thế giới thực, không chỉ trong thế giới kỹ thuật số.
Ngoài ra, quyền riêng tư đóng một vai trò lớn trong khả năng xử lý thông tin cá nhân của tổ chức. Thông tin nhận dạng cá nhân rất quan trọng để phản ánh trò chơi bảo mật của tổ chức. Vì vậy, bằng cách này hay cách khác, việc bảo vệ thông tin trong thế giới an ninh mạng là điều cần thiết.
Chính xác thì dữ liệu cá nhân chứa gì?
Mặc dù chúng tôi đã xác định dữ liệu cá nhân, nhưng làm sao bạn có thể hiểu rằng một số dữ liệu có thể tiết lộ danh tính của một người? 🤔
Để trả lời câu hỏi này, bạn cần biết loại dữ liệu nào có thể được phân loại là dữ liệu cá nhân và các loại dữ liệu cá nhân khác nhau là gì.
Đừng buồn bã; chúng tôi sẽ đề cập đến cả hai khi chúng tôi đọc tiếp.
Ví dụ bao gồm mọi thứ giúp xác minh danh tính của một người. Không phải mọi dịch vụ hoặc tổ chức đều thu thập dữ liệu cá nhân – vì vậy những ví dụ được liệt kê không phải là những gì bạn có thể cung cấp cho bất kỳ ai trên internet.
Ví dụ: bộ xử lý thanh toán có thể đã thu thập một số thông tin được phân loại là PII và dịch vụ email có thể đã lưu trữ thông tin khác.
💡 Thông tin có thể bao gồm tên, họ, ngày sinh, số tài khoản ngân hàng, địa chỉ nhà, số an sinh xã hội, thông tin y tế, ảnh khuôn mặt, số điện thoại di động, địa chỉ email, số xe, dấu vân tay, v.v.
Điều này áp dụng ở hầu hết mọi nơi trên thế giới, với những thay đổi nhỏ về những gì được (hoặc không) được coi là dữ liệu cá nhân.
Các loại dữ liệu cá nhân
Dữ liệu cá nhân có thể có hai loại, số nhận dạng trực tiếp và gián tiếp.
Số nhận dạng trực tiếp đề cập đến thông tin duy nhất của một cá nhân như số nhận dạng chính phủ, số giấy phép, số điện thoại, số tài khoản ngân hàng, v.v.
Bất cứ ai cũng có thể nhận dạng bạn chỉ từ một mã định danh trực tiếp, vì vậy nó được coi là một loại thông tin cá nhân.
Số nhận dạng gián tiếp (hoặc gần như số nhận dạng) đề cập đến dữ liệu đơn lẻ không thể giúp xác định người dùng. Ví dụ: nếu bạn chia sẻ ngẫu nhiên nơi sinh của mình, sẽ không ai có thể xác định được vị trí của bạn hoặc biết bất kỳ thông tin cá nhân nào khác về bạn.
Một số thông tin nhận dạng gián tiếp được kết hợp với nhau có thể giúp nhận dạng bạn. Hoặc có thể không? Nó phụ thuộc…
Tìm hiểu thêm về các loại và phân loại dữ liệu cá nhân
Dữ liệu cá nhân có thể được chia thành nhạy cảm và không nhạy cảm.
Thông tin cá nhân nhạy cảm: Thông tin thường không được chia sẻ trên nền tảng công cộng và cần có quyền chia sẻ/lưu trữ được coi là thông tin nhạy cảm.
Những thông tin như tên, số ID, số giấy phép, thông tin thẻ tín dụng, thông tin y tế, số điện thoại và thông tin tài chính.
Dữ liệu cá nhân không nhạy cảm: thông tin có thể được truy xuất mà không cần sự đồng ý của cá nhân từ hồ sơ công khai hoặc Internet.
Những thông tin như ngày sinh, giới tính, tôn giáo và nhiều thông tin khác.
Hơn nữa, bạn cũng có thể phân loại dữ liệu cá nhân thành thông tin có liên quan và có thể liên kết được.
Một số thông tin liên quan có thể bao gồm:
Và tất cả những thứ khác có trong dữ liệu cá nhân nhạy cảm.
Tương tự, thông tin có thể được kết hợp được coi là thứ có thể được kết hợp lại với nhau để giúp nhận dạng một người.
Ví dụ: tên, mã bưu điện, giới tính và nơi làm việc.
Phải làm gì nếu dữ liệu cá nhân không được bảo vệ? 🔓
Vì bạn biết rằng dữ liệu cá nhân rất cần thiết cho an ninh mạng, bạn không thể không thắc mắc điều gì sẽ xảy ra nếu dữ liệu đó không được bảo vệ?
Kẻ tấn công có quyền truy cập vào thông tin cá nhân có thể nhận dạng một cá nhân mà không cần sự đồng ý của bạn. Bạn không bao giờ biết; nhiều cuộc tấn công mạng xảy ra hàng ngày khi bạn đọc điều này. Vì vậy đó không phải là điều có thể loại trừ được.
Kỹ thuật xã hội, tấn công lừa đảo và nhiều cách khác.
Tội phạm mạng có thể sử dụng thông tin cá nhân của bạn để lấy thêm thông tin, theo dõi các hoạt động trực tuyến của bạn hoặc gài bẫy bạn trong hành vi trộm cắp danh tính. Và tất cả điều này là một mối quan tâm.
Đó là về quyền riêng tư và bảo mật kỹ thuật số của bạn. Cũng giống như bạn muốn giữ bí mật hoạt động duyệt web hoặc dữ liệu tìm kiếm của mình, PII (nhạy cảm hoặc không nhạy cảm) phải được giữ bí mật.
Nếu không, bạn có thể nhanh chóng đưa danh tính của mình vào một vụ lừa đảo hoặc lừa bạn trả tiền chuộc hoặc bất kỳ hoạt động bất hợp pháp nào. Khả năng kẻ tấn công sử dụng thông tin này để lấy dữ liệu, tiền và tài sản từ bạn là vô tận.
Do đó, hãy bảo vệ PII bằng các biện pháp an ninh mạng tốt nhất.
Làm thế nào để bảo vệ dữ liệu cá nhân?
Các tổ chức và dịch vụ mà chúng tôi hợp tác có trách nhiệm bảo vệ thông tin cá nhân mà chúng tôi chia sẻ với họ.
Từ số điện thoại đến thông tin và địa chỉ thanh toán của chúng tôi, mọi thứ cần phải được giữ kín và bảo mật để tránh bị truy cập trái phép.
Dưới đây là một số điều tổ chức phải làm để bảo vệ thông tin cá nhân:
- Thông báo cho khách hàng về dữ liệu được lưu trữ.
- Bảo mật dữ liệu của bạn bằng mã hóa để thông tin của bạn không bị xâm phạm ngay cả trong trường hợp bị vi phạm.
- Xác thực hai yếu tố để bảo vệ tài khoản trực tuyến.
- Kiểm soát quyền truy cập thông tin để đảm bảo quyền riêng tư tối đa.
- Các chính sách an ninh mạng phải được triển khai để có thể phòng thủ và đảm bảo rằng thông tin được lưu trữ không bị tổn hại.
- Ẩn danh dữ liệu được lưu trữ nếu có thể.
- Bảo vệ mạng của bạn bằng tường lửa ứng dụng tốt nhất.
- Đảm bảo sở hữu Hệ thống quản lý an ninh thông tin (ISMS).
Nhiều thứ khác và các phương pháp tinh tế sẽ dẫn đến việc xử lý dữ liệu và bảo mật thông tin tốt hơn trong tổ chức. Tuy nhiên, những thực hành cơ bản này phải được tuân thủ để đảm bảo dữ liệu cá nhân được bảo vệ tốt nhất.
Nếu cần, bạn cũng có thể từ chối chia sẻ một số dữ liệu nhất định được phân loại là dữ liệu cá nhân. Điều này sẽ làm tăng đáng kể sự riêng tư của bạn.
Dữ liệu cá nhân rất quan trọng, nhưng không phải tất cả dữ liệu cá nhân
Tất nhiên, ở đây chúng ta đang xử lý dữ liệu “cá nhân”.
Tuy nhiên, những gì được phân loại là “cá nhân” có thể có một số biến thể tùy thuộc vào quy chế/luật về quyền riêng tư ở quốc gia của bạn. Mặc dù hầu hết tất cả dữ liệu đều được coi là nhạy cảm hơn so với 10 năm trước nhưng một số quốc gia lại có cách phân loại khác nhau.
Ví dụ: chúng tôi chia sẻ tên đầy đủ của mình ở mọi nơi, mặc dù đó là một loại thông tin cá nhân. Chúng tôi không thể đổ lỗi cho bất kỳ tổ chức/dịch vụ nào nếu kẻ tấn công sử dụng tên của chúng tôi ở nơi khác. Vì vậy bạn không cần phải lo lắng về một số thông tin chúng tôi chia sẻ hàng ngày.
Ngoài ra, bạn nên tham khảo luật về quyền riêng tư và luật bảo vệ dữ liệu của quốc gia bạn để tìm hiểu những gì được coi là nhạy cảm và cách nâng cao quyền riêng tư của bạn tốt hơn.
Cuối cùng, chúng tôi chịu trách nhiệm bảo vệ dữ liệu cá nhân của bạn, trực tiếp hoặc gián tiếp. Và nếu chúng ta thận trọng với dữ liệu của mình, các tổ chức sẽ có thể quản lý dữ liệu cá nhân mà họ thu thập từ chúng ta tốt hơn.
Bạn cũng có thể xem các podcast về an ninh mạng tốt nhất để đón đầu thế giới trước các mối đe dọa kỹ thuật số.
