Escribí una aplicación de pago y, como parte de eso, tengo un lienzo HTML5 donde los compradores pueden firmar por tarjetas de crédito o bienes recibidos. Luego ajax el base64 de nuevo al servidor en una tabla de base de datos (genio, lo sé). También tengo un medio para cambiarlo a png para informes y otras cosas.
¿Debo tratar la cadena de imagen base64 como si fuera PII y aplicar el mismo protocolo? ¿Incluso con un GUID como nombre?
PII por definición es
cualquier información que se pueda usar sola o con otra información para identificar, contactar o localizar a una sola persona, o para identificar un individuo en contexto.
Y para responder a su pregunta, la imagen de la firma es una PII sensible, ya que puede utilizarse para identificar a una persona. Como la codificación base64 solo confunde los datos, eso también se considerará sensible y casi tan inseguro como tener la contraparte de texto claro. Debe tratar los datos como un PII sensible independientemente del tipo de codificación y nombre de archivo.
Sí, lo es.
Algunas personas tienen firmas bien legibles (a veces incluso legibles por OCR), por lo que una imagen de la firma es equivalente al nombre completo de la persona que lo hizo.
Las personas que tienen firmas ilegibles pueden identificarse de forma única mediante referencias cruzadas con firmas de una base de datos diferente. Hay algoritmos que pueden comparar los escaneos de firmas con bastante buena precisión.
¿Incluso con un GUID como nombre?
No estoy seguro de lo que quieres decir con eso, pero si te refieres a "crear un GUID para identificar de manera única cada imagen de la firma y almacenarlo", entonces ese GUID sin la imagen no sería PII, porque no puedes distinguirlo. el GUID cómo se ve la firma.
Lea otras preguntas en las etiquetas identity-theft confidentiality