捍卫个人身份信息从这里开始

数据泄露事件屡屡见诸报端，因此客户和企业领导者都可能担心他们的企业在客户的个人身份信息 (PII) 保护方面做得不够。在当今混乱的经济环境中，威胁格局堪忧，企业可以采用哪些方法来更好地保护增加的 PII 数据流呢？

在一些情况下，企业无法正确地存储数据。还有一些情况，企业没有采取充分的措施。数据泄露的后果远远不止金钱损失。数据泄露对组织声誉和客户信心的损害还可能会损害企业利润。更复杂的是，许多组织经常会出于营销或其他目的与其他公司共享用户数据，进而引发更多 PII 泄露的“完美风暴”。

为什么如此难以保护 PII 的安全？

PII 是指可用于识别特定个人的任何数据。常见的 PII 数据包括电话号码、社保编号、邮箱地址和家庭住址。随着技术的采用，PII 的范围已大幅扩展，包括登录 ID、IP 地址、数字图像等，甚至包括社交媒体贴文。生物特征识别数据、行为数据和地理位置数据等其他数据也可以归类为 PII。

无论您的组织属于哪个行业，即便不属于医疗保健和金融行业，保护客户 PII 的安全都至关重要。那么，企业应如何存储私有数据？

密码相关问题

在与安全专家 Frank Abagnale 交谈时，他给出的建议是：用户名+密码的身份验证方法已经过时，这也是造成安全泄露事件的最大因素。随着复杂性层次的增加，用户只会感到沮丧和不满。

Abagnale 建议舍弃将密码作为安全机制的做法，来加强身份识别和访问管理（IAM）。类似借助安全哈希算法和其他加密技术来存储密码的风险减缓解决方案，在短期内可能会有所帮助。但您依然很容易遭受暴力破解、字典攻击和彩虹攻击等类型的攻击。此外，在使用密码访问 PII 时，您的公司依然很容易遭受网络钓鱼电子邮件的攻击。

未来，PII 保护可能会受益于当前在用户手机上执行身份验证所用的类似技术，比如在手机上部署加密密钥。

PII 保护最佳实践

密码和身份验证方法在短时期内不会有太大改变。在业务部门做好迎接剧烈的思维转变、适应新做法的准备之前，我们仍旧需要充分发掘现有资源的潜力。

对于希望高效保护 PII 安全的企业而言，可以采取以下六个步骤：

1. 识别保护对象及其存储位置 

保护 PII 安全的第一步是要充分了解要收集的 PII 以及它们的存储位置。您还应确定数据是否得到了正确收集，以及是否采取了适当的安全措施。

2. 明确合规性法规

不同的行业需要遵守有关如何治理 PII 收集、存储、处理和传输的特定合规性法律和法规。这些法规也可能与客户数据或其存储位置有关，而不是特定于您的行业。

您的行业可能需要遵守下列一项或多项通用法规：

· 通用数据保护条例 (GDPR)

· 医疗保险可携性和责任法案 (HIPAA)

· 个人信息保护和电子文档法案 (PIPEDA)

· 支付卡行业数据安全标准 (PCI DSS)

（编辑：新余站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!