Confini di informazioni personali identificabili - PCI-DSS

I am attempting to ascertain the boundaries of personally identifiable information.

Questa è una domanda legale e varia in base alla giurisdizione. Forse il più noto è California :

(a) The term “personally identifiable information” means individually identifiable information about an individual consumer collected online by the operator from that individual and maintained by the operator in an accessible form, including any of the following:

(1) A first and last name.

(2) A home or other physical address, including street name and name of a city or town.

(3) An e-mail address.

(4) A telephone number.

(5) A social security number.

(6) Any other identifier that permits the physical or online contacting of a specific individual.

(7) Information concerning a user that the Web site or online service collects online from the user and maintains in personally identifiable form in combination with an identifier described in this subdivision.

La giurisprudenza successiva ha aggiunto codice postale alla lista.

In the context of PCI-DSS, are there specific requirements in the storage, transmission, destruction, utilization of such data?

L'unica sovrapposizione tra PCI-DSS e PII è il nome del titolare della carta. Il PCI DSS non si occupa delle PII; si occupa di "Dati dell'account", che comprende i seguenti elementi:

Alcuni elementi PII che potrebbero essere inclusi nell'elaborazione della carta di credito, come l'indirizzo di fatturazione e il codice postale (potrebbe esserti dovuto inserire lo zip di fatturazione presso una stazione di servizio?) non sono nemmeno menzionati dal PCI DSS. E anche per l'unica chiara sovrapposizione, il nome del titolare della carta, è giusto dire che la gestione dei dati può essere pienamente conforme allo standard PCI, ma in modo eclatante manca la conformità alle normative PII applicabili. Non devi considerare i controlli PCI quando determini se stai proteggendo le PII correttamente.

Seguito fino al commento:

Are there defined controls in protecting PII that also overlap with PCI-DSS controls?

Il problema è che le leggi PII sono punitive piuttosto che prescrittive. Definiscono cos'è PII e indicano chi è responsabile della sua corretta gestione. Non definiscono come gestirlo correttamente; indicano i tipi di risultati forniti da un gestore corretto e affermano che non fornire tali risultati indica una violazione della legge.

Il PCI-DSS, d'altra parte, è molto più prescrittivo. Va in dettaglio per quanto riguarda le protezioni attese. Non dice quale crittografia devi usare, ma dice che devi usare la crittografia per questo e che e correggere la crittografia deve soddisfare standard ragionevoli.

I controlli PCI-DSS potrebbero essere utilizzati per applicare ai dati PII? Certo ... potresti trattare le PII come se fossero dati PAN (numero di conto primario); assicurati che sia crittografato quando archiviato, ecc. ecc. Tuttavia, probabilmente avrai più problemi perché i casi d'uso per PII sono diversi da quelli per PAN; con PAN, hai praticamente bisogno di inviarlo al processore e questo è tutto. Con le PII, potresti avere un sacco di dipendenti che hanno bisogno di entrare e guardarli per un motivo o per un altro (supporto clienti? Campagne di posta ordinaria? Analisi dei dati?) E queste persone saranno disturbate dalla crittografia o dalla protezione intorno al la crittografia sarà indebolita dal numero aumentato e dalla varietà di accesso.

Ci sono molte critiche sul PCI-DSS, ma forse la sua migliore difesa è: "È meglio di niente". È uno standard, è imposto dai marchi delle carte e stabilisce un minimo accettabile di controlli di sicurezza. Non esiste un documento equivalente per le PII, tanto più che le PII dipendono dalla giurisdizione.

Prenderò un approccio diverso a questa risposta. Gowenfawr e SilverlightFox hanno fornito risposte eccellenti dal punto di vista del libro di testo / delle linee guida, quindi affronterò la risposta " John e Doe equivalgono alle informazioni di identificazione personale poiché potrebbero esserci migliaia di parti di John ". Molte parti delle attuali leggi sull'indagine PII provengono da attacchi di inferenza . Decenni fa, c'era molta discussione militare sulla sicurezza dei dati dei suoi soldati. Considera quanto segue:

FNAME   GENDER  AGE CURRENT_LOCATION    TITLE
JAMIE   F       22  NYC                 NUCLEAR_OPERATOR
JAMIE   M       27  NYC                 CHEF

Se hai trovato questi dati come attaccante, sapresti quale è un obiettivo più importante. Dovresti cercare una donna di nome Jamie, che sembra avere 18-25 anni. Puoi perfezionare ulteriormente la tua ricerca a qualcuno che sembra "strutturato" (capelli in una crocchia, contegno serio). Hai avuto informazioni su cui costruire. Governo / militare ha cercato di creare sistemi per proteggere contro questo tipo di ricerche. (Ha senso). Hanno costruito e distribuito video per addestrare molti personali militari sulle PII che possono essere visualizzati qui e viene spiegato in dettaglio. (la diapositiva 3 spiega l'inferenza in misura).

Quindi, quando affermi: "Potrebbero esserci diverse migliaia di John" immagina se vivessimo in Smalltown USA, dove la popolazione è 30, quanti John credi che potremmo trovare lì? Lo stesso vale per la maggior parte dei posti al giorno d'oggi. A causa dell'afflusso di dati ovunque (Spokeo, Facebook, LinkedIn, ecc.) È molto più semplice estrapolare attacchi di inferenza usando dati semplici (esempio di Jamie sopra). "John Doe Smalltown USA" è sufficiente per identificare un individuo. ( Ri-identificazione ). Ora, per quanto riguarda i requisiti, tutto dipende dal tuo stato / paese / azienda. Ad esempio, se gestisci un'attività online, le tue regole saranno diverse da quelle di Smalltown USA che gestisce un coffee shop. Molte organizzazioni si sono spostate su nomi tokenizing, numeri di telefono, codici postali, ecc.

Da Wikipedia :

[PII] is information that can be used on its own or with other information to identify, contact, or locate a single person, or to identify an individual in context.

Quindi sono d'accordo che la tua premessa di PII sia definita come avere abbastanza informazioni per identificare univocamente qualcuno.

In PCI-DSS tutto è considerato nel contesto dei dati dei titolari di carta. Se tali dati vengono conservati su una carta di credito o di debito, allora è nel campo di applicazione del PCI. Altre informazioni su individui che non sono associati ai dettagli delle carte, PCI non interessa molto.

Se tali dati sono associati a schede, il sistema dovrebbe trasmettere, elaborare o archiviare questi dati, quindi deve essere conforme PCI. La versione corrente di PCI DSS è v3.1 . I dati dell'account che devono essere tenuti al sicuro sotto PCI sono i seguenti:

Dati del titolare della carta:

• Numero account principale (PAN)
• Nome del titolare della carta
• Data di scadenza
• Codice servizio

Dati di autenticazione sensibili:

• Dati a traccia completa (dati a banda magnetica o equivalenti su un chip)
• CAV2 / CVC2 / CVV2 / CID
• PIN / Blocchi PIN

E in base a Comodo :

Cardholder data is any personally identifiable data associated with a cardholder. This could be an account number, expiration date, name, address, social security number, etc. All personally identifiable information associated with the cardholder that is stored, processed, or transmitted is also considered cardholder data.