Pesquisa de site

O que são dados confidenciais?

Dados confidenciais são informações confidenciais que devem ser mantidas seguras e fora do alcance de todas as pessoas de fora, a menos que tenham permissão para acessá-las.

O acesso a dados sensíveis deve ser limitado por meio de práticas suficientes de segurança de dados e segurança da informação projetadas para evitar vazamentos e violações de dados.

O aumento do escrutínio regulatório sobre a proteção de dados confidenciais culminou em uma necessidade desesperada de melhor gerenciamento de dados, gerenciamento de riscos de terceiros e segurança cibernética aprimorada. Abandonar esses requisitos agora essenciais pode custar à sua empresa até US $4 milhões.

Exemplos de dados confidenciais

As informações confidenciais incluem todos os dados, originais ou copiados, que contêm:

Dados Pessoais Sensíveis

Conforme definido pela Lei de Proteção contra Roubo de Identidade da Carolina do Norte de 2005, uma série de leis amplas para prevenir ou desencorajar o roubo de identidade e para proteger e proteger a privacidade individual.

Informações de saúde protegidas (PHI)

Conforme definido pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA). PHI sob a lei dos EUA é qualquer informação sobre estado de saúde, prestação de cuidados de saúde ou pagamento por cuidados de saúde que é criada ou coletada por uma Entidade Coberta (ou um associado terceirizado) que pode ser vinculada a um indivíduo específico.

Registros de educação

Conforme definido pela Lei de Direitos Educacionais e Privacidade da Família de 1974 (FERPA). A FERPA rege o acesso a informações e registros educacionais por potenciais empregadores, instituições educacionais com financiamento público e governos estrangeiros.

Informações ao cliente

Conforme definido pela Lei Gramm-Leach-Bliley (Lei GLB, GLBA ou Lei de Modernização Financeira de 1999), exigindo que as instituições financeiras expliquem como compartilham e protegem as informações privadas de seus clientes.

Dados do titular do cartão

Conforme definido pelo Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS). O PCI DSS é um padrão de segurança da informação que informa às organizações como lidar com cartões de crédito de marca das principais bandeiras de cartão.

Informações pessoais confidenciais

Conforme definido pela Lei de Pessoal do Estado.

Informações confidenciais

De acordo com a Lei de Registros Públicos da Carolina do Norte. Inclui segredos comerciais e dados relacionados semelhantes.

Dados pessoais

Conforme definido pelo Regulamento Geral de Proteção de Dados da UE (GDPR).

Em geral, dados confidenciais são quaisquer dados que revelem:

  • Origem racial ou étnica
  • Opinião política
  • Crenças religiosas ou filosóficas
  • Filiação sindical
  • Dados genéticos
  • Dados biométricos
  • Dados de saúde
  • Vida sexual ou orientação sexual
  • Informações financeiras (números de contas bancárias e números de cartão de crédito)
  • Informações classificadas

O que são Dados Pessoais?

Dados pessoais (ou informações pessoais) são informações que podem identificar um indivíduo.

O GDPR define dados pessoais como qualquer coisa que identifique diretamente um indivíduo, como nome, sobrenome, número de telefone, número do seguro social, número da carteira de motorista ou qualquer outra informação de identificação pessoal (PII).

Em comparação com dados pseudônimos ou informações de identificação não direta que não permitem identificação direta, mas permitem destacar o comportamento individual (como veicular um direcionado a um usuário no momento certo).

O GDPR foi estabelecido para estabelecer uma distinção clara entre informações de identificação direta e dados pseudônimos.

O GDPR incentiva o uso de informações pseudônimas em vez de informações de identificação direta, pois reduz o risco de violações de dados com efeitos adversos sobre os indivíduos.

Como medir a sensibilidade dos dados

Para determinar o quão sensível é o específico e como deve ser classificado, pense na confidencialidade, integridade e disponibilidade (tríade da CIA) dessas informações e como isso afetaria sua organização ou seus clientes se fossem expostos.

Essa é uma maneira comum de medir a sensibilidade dos dados e é uma estrutura fornecida nos Padrões Federais de Processamento de Informações (FIPS) pelo Instituto Nacional de Padrões e Tecnologia (NIST).

O que é confidencialidade?

A confidencialidade é aproximadamente equivalente à privacidade.

As contramedidas que impedem o acesso não autorizado a informações confidenciais, garantindo que as pessoas certas ainda possam acessá-las, estão preocupadas com a confidencialidade.

Essas contramedidas variam de um simples treinamento de conscientização para entender os riscos de segurança associados ao manuseio das informações e como se proteger contra eles, até softwares sofisticados de segurança cibernética.

Exemplos de contramedidas de confidencialidade:

  1. Criptografia de dados
  2. Senhas
  3. Autenticação de dois fatores
  4. Verificação biométrica
  5. Tokens de segurança
  6. Chaveiros
  7. Tokens de software
  8. Limitando onde as informações aparecem
  9. Limitando o número de vezes que as informações podem ser transmitidas
  10. Armazenamento em computadores com air gap
  11. Armazenamento em dispositivos de armazenamento desconectados
  12. Armazenamento apenas em cópia impressa

O que é Integridade?

Integridade é manter a consistência, precisão e confiabilidade dos dados ao longo de seu ciclo de vida.

>

Dados confidenciais, ou informações confidenciais, não devem ser alterados em trânsito e não devem poder ser alterados por pessoas não autorizadas (por exemplo, quando ocorre uma violação de dados).

Exemplos de contramedidas de integridade:

  1. Permissões de arquivo
  2. Controles de acesso do usuário
  3. Logs de auditoria
  4. Controle de versão
  5. Checksums criptográficos
  6. Cópias de segurança
  7. Despedimentos

O que é Disponibilidade?

A disponibilidade se preocupa em garantir que todos os sistemas de informação e dados confidenciais estejam disponíveis quando necessário.

Exemplos de contramedidas de disponibilidade:

  1. Manutenção de hardware e reparos imediatos
  2. Corrigindo o software o mais rápido possível
  3. Fornecendo largura de banda de comunicação adequada
  4. Recuperação de desastres rápida e adaptável com um plano abrangente de recuperação de desastres
  5. Proteções contra perda ou interrupção de dados durante desastres naturais e incêndios
  6. Equipamentos e softwares de segurança extras, como firewalls e servidores adicionais, que protegem contra o tempo de inatividade e evitam ataques de negação de serviço (DoS)

Qual é o impacto da divulgação não autorizada de dados confidenciais?

A privacidade dos dados está se tornando cada vez mais importante. Em mais de 80 países, as informações de identificação pessoal (PII) são protegidas por leis de privacidade de informações que descrevem limites para a coleta e o uso de PII por organizações públicas e privadas.

Essas leis exigem que as organizações notifiquem claramente os indivíduos sobre quais dados estão sendo coletados, o motivo da coleta e os usos planejados dos dados. Em estruturas legais baseadas em consentimento, como o GDPR, é necessário o consentimento explícito do indivíduo.

O GDPR estende o escopo das leis de proteção de dados da UE a todas as empresas estrangeiras que processam os dados de residentes da UE. Exigir que todas as empresas:

  • Forneça notificações de violação de dados
  • Nomear um responsável pela proteção de dados
  • Exigir o consentimento do usuário para processamento de dados
  • Anonimize os dados para privacidade

Os Estados Unidos têm leis semelhantes que ditam a divulgação de violação de dados, com todos os 50 estados dos EUA tendo leis de violação de dados de alguma forma exigindo:

  • Notificação dos afectados o mais rapidamente possível
  • Avise o governo o mais rápido possível
  • Pague algum tipo de multa

Além disso, muitos outros países promulgaram sua própria legislação em relação à proteção da privacidade de dados, e outros ainda estão em processo de fazê-lo.

Como proteger dados confidenciais

A primeira etapa na proteção de dados confidenciais é a classificação de dados.

Dependendo da sensibilidade dos dados, existem diferentes níveis de proteção necessários. A principal coisa a entender é que nem todos os dados são iguais e é melhor concentrar seus esforços de proteção de dados na proteção de dados confidenciais, conforme definido acima.

Exemplos de informações não confidenciais:

  • Informação pública: Informação que já é uma questão de registro ou conhecimento público
  • Informações comerciais de rotina: informações comerciais que são compartilhadas rotineiramente com qualquer pessoa de dentro ou de fora da sua organização

A segurança da informação eficaz começa com a avaliação de quais informações você possui e a identificação de quem tem acesso. Entender como os dados confidenciais entram, entram e saem de sua organização é essencial para avaliar possíveis vulnerabilidades e riscos de segurança cibernética.

Isso significa fazer um inventário de todos os lugares em que sua organização usa dados confidenciais e onde você entrega dados confidenciais a fornecedores terceirizados e de terceiros.

Isso permitirá que você entenda como as informações fluem pela sua organização e forneça uma visão completa de quem envia informações pessoais em sua organização, quem recebe dados confidenciais, quais informações são coletadas, quem mantém as informações coletadas e quem tem acesso às informações.

Na UpGuard, podemos proteger sua empresa contra violações de dados, identificar todos os seus vazamentos de dados e ajudá-lo a monitorar continuamente a postura de segurança de todos os seus fornecedores. O UpGuard também oferece suporte à conformidade em uma infinidade de estruturas de segurança, incluindo NIST, HIPAA, HECVAT, ISO 27001 e muito mais!

Artigos relacionados