Ho scritto un'app pay e, come parte di questo, ho una tela HTML5 in cui gli acquirenti possono firmare per carta di credito o merce ricevuta. Poi restituisco il Base64 al server in una tabella DB (geniale, lo so). Ho anche un modo per cambiarlo in png per i rapporti e altre cose.
Devo trattare la stringa immagine base64 come se fosse PII e applicare lo stesso protocollo? Anche con un GUID come nome?
Le PII per definizione sono
any information that can be used on its own or with other information to identify, contact, or locate a single person, or to identify an individual in context.
E per rispondere alla tua domanda, l'immagine della firma è un PII sensibile in quanto può essere usato per identificare una persona. Dato che la codifica base64 offusca solo i dati, anche questa deve essere considerata sensibile e quasi altrettanto pericolosa rispetto alla controparte del testo in chiaro. È necessario trattare i dati come informazioni personali sensibili, indipendentemente dal tipo di codifica e nome file.
Sì, lo è.
Alcune persone hanno firme ben leggibili (a volte anche leggibili con OCR), quindi un'immagine della firma è equivalente al nome completo della persona che l'ha creata.
Le persone che hanno firme illeggibili possono essere identificate in modo univoco mediante riferimenti incrociati con firme da un altro database. Esistono algoritmi in grado di confrontare le scansioni delle firme con una precisione piuttosto buona.
Even with a GUID as the name?
Non sono sicuro di cosa intendi con questo, ma se intendi "creare un GUID per identificare in modo univoco ogni immagine-firma e memorizzarla", allora quel GUID senza l'immagine non sarebbe PII, perché non puoi dire da il GUID come appare la firma.
Leggi altre domande sui tag identity-theft confidentiality