Límites de la información de identificación personal - PCI-DSS

  

Estoy intentando averiguar los límites de la identificación personal   información.

Esa es una pregunta legal, y varía según la jurisdicción. Quizás el más conocido es California :

  

(a) El término "información de identificación personal" significa individualmente   Información identificable sobre un consumidor individual recopilada en línea   por el operador de ese individuo y mantenido por el operador en   un formulario accesible, que incluye cualquiera de los siguientes:

     

(1) Un nombre y apellido.

     

(2) Una dirección física u otra dirección física, incluido el nombre de la calle   y nombre de una ciudad o pueblo.

     

(3) Una dirección de correo electrónico.

     

(4) Un teléfono   número.

     

(5) Un número de seguridad social.

     

(6) Cualquier otro identificador que   permite el contacto físico o en línea de una persona específica.

     

(7) Información sobre un usuario que el sitio web o servicio en línea   Recoge en línea del usuario y mantiene en identificación personal   forma en combinación con un identificador descrito en esta subdivisión.

Posteriormente, la jurisprudencia ha agregado zip code a la lista.

  

En el contexto de PCI-DSS, ¿existen requisitos específicos en el   ¿Almacenamiento, transmisión, destrucción, utilización de dichos datos?

La única superposición entre PCI-DSS y PII es el nombre del titular de la tarjeta. El PCI DSS no se ocupa de la PII; se ocupa de los "Datos de cuenta", que constan de los siguientes elementos:

Ciertos elementos de la PII que pueden incluirse en el procesamiento de la tarjeta de crédito, como la dirección de facturación y el código postal (es posible que haya tenido que ingresar su código postal de facturación en una gasolinera?) ni siquiera los menciona el PCI DSS. E incluso para la única coincidencia clara, el nombre del titular de la tarjeta, es justo decir que la administración de los datos puede ser totalmente compatible con PCI pero que, evidentemente, no cumple con las regulaciones PII aplicables. No debe tener en cuenta los controles de PCI cuando determine si está protegiendo la PII correctamente.

Siguiendo con el comentario:

  

¿Existen controles definidos para proteger la PII que también se superponen con   ¿Controles PCI-DSS?

El problema es que las leyes de PII son punitivas en lugar de prescriptivas. Definen qué es la PII e indican quién es el responsable de manejarla correctamente. No definen cómo para manejarlo correctamente; indican el tipo de resultados que proporciona un manejador correcto y afirman que el no proporcionar esos resultados indica una violación de la ley.

El PCI-DSS, por otro lado, es mucho más prescriptivo. Entra en algunos detalles en cuanto a las protecciones esperadas. No dice el cifrado que necesita usar, pero dice que necesita usar el cifrado para this y that y el cifrado correcto tiene que cumplir con los estándares razonables.

¿Se podrían usar los controles PCI-DSS para aplicar a los datos de PII? Claro ... usted podría tratar la PII como si fueran datos de PAN (Número de cuenta principal); asegúrese de que esté cifrado cada vez que se almacene, etc. Sin embargo, es probable que tenga más problemas porque los casos de uso de PII son diferentes a los de PAN; Con PAN, necesitas enviarlo al procesador y eso es todo. Con la PII, es posible que tenga muchos empleados que necesitan acercarse y mirarla por una razón u otra (¿atención al cliente? ¿Campañas de correo electrónico? ¿Análisis de datos?) Y esas personas se verán perjudicadas por el cifrado o la protección en torno al el cifrado se verá debilitado por el aumento en el número y la variedad de acceso.

Hay muchas críticas al PCI-DSS, pero quizás su mejor defensa es: "Es mejor que nada". Es un estándar, está impuesto por las marcas de tarjetas y establece un mínimo aceptable de controles de seguridad. No hay un documento equivalente para la PII, tanto más porque la PII es muy dependiente de la jurisdicción.

Voy a tomar un enfoque diferente a esta respuesta. Gowenfawr y SilverlightFox proporcionaron excelentes respuestas desde la perspectiva del libro de texto / guía, por lo que abordaré respondiendo a su parte " John y Doe equivale a información personal identificable, ya que podría haber varios miles de John Does ". Muchas partes de las leyes actuales de PII provienen de ataques de inferencia . Hace décadas, hubo mucha discusión militar sobre la seguridad de los datos de sus soldados. Considera lo siguiente:

FNAME   GENDER  AGE CURRENT_LOCATION    TITLE
JAMIE   F       22  NYC                 NUCLEAR_OPERATOR
JAMIE   M       27  NYC                 CHEF

Si se encontrara con estos datos, como atacante, sabría cuál es un objetivo más importante. Buscarías a una mujer llamada Jamie, que parece tener entre 18 y 25 años. Puede refinar aún más su búsqueda a alguien que parece "estructurado" (pelo en un moño, comportamiento serio). Tenías información sobre la que construir. El gobierno / los militares buscaron crear sistemas para protegerse contra este tipo de búsquedas. (Que tiene sentido). Han construido e implementado videos que capacitan a muchos militares sobre PII, que pueden ser vistos aquí , y se explica en detalle. (la diapositiva 3 explica la inferencia hasta cierto punto).

Entonces, cuando dices: "Podría haber varios miles de personas de John", imagina que si viviéramos en Smalltown EE. UU., donde la población es de 30, ¿cuántos habitantes de John cree que podríamos encontrar allí? Lo mismo se aplica a la mayoría de los lugares hoy en día. Debido a la afluencia de datos en todas partes (Spokeo, Facebook, LinkedIn, etc.) es mucho más sencillo realizar ataques de inferencia utilizando datos simples (ejemplo de Jamie más arriba). "John Doe Smalltown USA" es suficiente para identificar a una persona. ( Reidentificación ). Ahora, en lo que respecta a los requisitos, todo depende de su estado / país / empresa. Por ejemplo, si opera un negocio en línea, sus reglas diferirán de las de alguien en Smalltown USA que dirige una cafetería. Muchas organizaciones se han movido a la tokenización de nombres, números de teléfono, códigos postales, etc.

De Wikipedia :

  

[PII] es información que se puede usar sola o con otra   información para identificar, contactar o localizar a una sola persona, o para   identificar a un individuo en contexto.

Por lo tanto, estoy de acuerdo con su premisa de que la PII se define como tener suficiente información para identificar a alguien de forma única.

Bajo PCI-DSS, todo se ve en el contexto de los datos del titular de la tarjeta. Si dicha información se mantiene sobre una tarjeta de crédito o débito, entonces está dentro del alcance de PCI. Otra información acerca de las personas que no están asociadas con los detalles de la tarjeta, a PCI realmente no le importa.

Si dichos datos están asociados con tarjetas, si su sistema transmite, procesa o almacena estos datos, debe ser compatible con PCI. La versión actual de PCI DSS es v3.1 . Los datos de la cuenta que deben mantenerse seguros bajo PCI son los siguientes:

Datos del titular de la tarjeta:

• Número de cuenta principal (PAN)
• Nombre del titular de la tarjeta
• Fecha de caducidad
• Código de servicio

Datos de autenticación confidenciales:

• Datos de seguimiento completos (datos de banda magnética o equivalentes en un chip)
• CAV2 / CVC2 / CVV2 / CID
• PINs / bloques de PIN

Y de acuerdo con Comodo :

  

Los datos del titular de la tarjeta son todos los datos de identificación personal asociados con un   titular de la tarjeta. Esto podría ser un número de cuenta, fecha de caducidad, nombre,   Dirección, número de seguro social, etc. Todos identificables personalmente.   información asociada con el titular de la tarjeta que se almacena, procesa,   o transmitido también se considera información del titular de la tarjeta.