Personally Identifiable Information (PII) dalam keamanan informasi adalah data yang dapat mengidentifikasi seseorang secara langsung atau tidak langsung.
PII memiliki beberapa jenis definisi formal berbeda di setiap negara dan wilayah. Namun, makna inti dari istilah tersebut tetap tidak berubah.
Cara yang paling umum untuk menentukan PII (sesuai dengan National Institute of Standards and Technology [NIST] dari Amerika Serikat) adalah – “Setiap representasi informasi yang memungkinkan identitas individu kepada siapa informasi berlaku untuk disimpulkan secara wajar baik dengan cara langsung atau tidak langsung.”
Demikian pula, per undang-undang perlindungan privasi dan informasi pribadi, definisi formal diubah. Anda dapat melihat singkatan privasi data terkait untuk menjelajahinya lebih lanjut.
Daftar isi
Pentingnya PII dalam Keamanan Cyber 🔒
Keamanan Cyber mengacu pada perlindungan dan pertahanan terhadap serangan cyber. Dan sebagian besar, ini melibatkan keamanan informasi, di mana fokus utamanya adalah melindungi data yang disimpan dalam sistem dan organisasi.
Jadi, mengetahui apa itu PII pada akhirnya membantu untuk memahami data apa yang disimpan, apa yang perlu diamankan, bagaimana cara mengelolanya dengan lebih baik, dan beberapa hal lain untuk membantu meningkatkan keamanan.
Biasanya, PII bersifat sensitif. Oleh karena itu, penyerang jahat tidak boleh mendapatkan informasi tersebut. Setiap PII yang dikumpulkan dapat memengaruhi individu di dunia nyata, bukan hanya dunia digital.
Selain itu, privasi memainkan peran besar dalam kemampuan organisasi untuk menangani data pribadi. Dan, Informasi Identifikasi Pribadi yang terlibat sangat penting untuk mencerminkan permainan privasi organisasi. Jadi, dengan satu atau lain cara, sangat penting untuk melindungi informasi di dunia keamanan siber.
Apa yang Sebenarnya Ada dalam PII?
Meskipun kami telah mendefinisikan PII, bagaimana Anda dapat memahami bahwa sepotong data dapat mengungkapkan identitas seseorang? 🤔
Untuk mendapatkan jawabannya, Anda perlu mengetahui jenis data apa yang dapat diklasifikasikan sebagai PII dan berbagai jenis PII.
Jangan khawatir; kami akan membahas keduanya saat Anda membaca.
Contohnya termasuk apa pun yang membantu memverifikasi identitas seseorang. Tidak setiap layanan atau organisasi mengumpulkan PII – jadi contoh yang disebutkan bukanlah yang Anda berikan kepada siapa pun di internet.
Misalnya, pemroses pembayaran mungkin telah mengumpulkan beberapa informasi yang diklasifikasikan dalam PII, dan layanan email mungkin telah menyimpan informasi lainnya.
💡 Informasi tersebut dapat berupa nama depan, nama belakang, tanggal lahir, nomor rekening bank, alamat rumah, nomor jaminan sosial, info medis, foto wajah, nomor ponsel, email, nomor kendaraan, sidik jari, dan lainnya.
Hal ini berlaku hampir di semua tempat di dunia, dengan sedikit perbedaan mengenai apa yang dianggap (atau tidak) sebagai PII.
Jenis PII
PII dapat terdiri dari dua jenis yang berbeda, pengidentifikasi langsung dan tidak langsung.
Pengidentifikasi langsung mengacu pada informasi unik untuk individu, seperti nomor ID pemerintah, nomor lisensi, nomor telepon, nomor rekening bank, dll.
Siapa pun dapat mengidentifikasi Anda hanya berdasarkan satu pengenal langsung, oleh karena itu dianggap sebagai jenis PII.
Dan pengidentifikasi tidak langsung (atau pengidentifikasi semu) mengacu pada data tunggal yang tidak dapat membantu mengidentifikasi Anda. Misalnya, jika Anda membagikan tempat lahir Anda secara acak, seseorang tidak dapat menemukan Anda atau mengetahui detail pribadi lainnya tentang Anda.
Sekumpulan pengidentifikasi tidak langsung dapat membantu mengidentifikasi Anda. Atau mungkin tidak? Tergantung…
Lebih Lanjut Tentang Jenis dan Klasifikasi PII
Informasi Identifikasi Pribadi dapat diklasifikasikan sebagai – sensitif dan tidak sensitif.
PII Sensitif: Informasi yang biasanya tidak dibagikan di platform publik dan memerlukan persetujuan untuk dibagikan/disimpan dianggap sebagai informasi sensitif.
Hal-hal seperti nama lengkap Anda, nomor kartu identitas, nomor lisensi, informasi kartu kredit, medis, nomor telepon, dan data keuangan.
PII non-sensitif: Informasi yang dapat diambil tanpa persetujuan individu dari catatan publik atau Internet.
Hal-hal seperti tanggal lahir, jenis kelamin, agama, dan lainnya.
Selain itu, Anda juga dapat mengkategorikan PII sebagai informasi yang ditautkan dan dapat ditautkan.
Beberapa informasi terkait mungkin termasuk:
Dan semua hal lain yang disertakan dengan PII sensitif.
Demikian pula, informasi yang dapat ditautkan dianggap sebagai sesuatu yang dapat disatukan untuk membantu mengidentifikasi individu tersebut.
Misalnya, nama, kode pos, jenis kelamin, dan tempat kerja.
Bagaimana jika PII Tidak Dilindungi? 🔓
Menimbang bahwa Anda tahu PII sangat penting untuk keamanan siber, orang pasti bertanya-tanya, bagaimana jika tidak terlindungi?
Informasi pribadi yang dapat mengidentifikasi seseorang diakses tanpa persetujuan Anda oleh penyerang. Kau tak pernah tahu; banyak serangan dunia maya terjadi setiap hari saat Anda membaca ini. Jadi, itu bukan sesuatu yang bisa Anda kesampingkan.
Rekayasa sosial, serangan phishing, dan banyak cara lainnya.
Penyerang dunia maya dapat menggunakan PII untuk mengekstrak lebih banyak informasi, memantau aktivitas online Anda, atau menjebak Anda dengan pencurian identitas. Dan ini semua adalah masalah yang memprihatinkan.
Ini tentang privasi dan keamanan digital Anda. Seperti halnya Anda ingin merahasiakan aktivitas penjelajahan atau data penelusuran, PII (sensitif atau tidak sensitif) harus dirahasiakan.
Jika tidak, seseorang dapat dengan cepat melibatkan identitas Anda dalam penipuan atau membodohi Anda untuk memberikan uang tebusan atau aktivitas ilegal apa pun. Kemungkinan penyerang menggunakan informasi untuk mengekstrak data, uang, dan aset dari Anda tidak terbatas.
Oleh karena itu, lindungi PII dengan tindakan keamanan siber terbaik.
Bagaimana Cara Melindungi PII?
Organisasi dan layanan yang berinteraksi dengan kita bertanggung jawab untuk melindungi PII yang kita bagikan dengan mereka.
Mulai dari nomor telepon kami hingga informasi dan alamat pembayaran kami, semuanya harus bersifat pribadi dan dijaga keamanannya untuk mencegah akses yang tidak sah.
Berikut beberapa hal yang harus dilakukan organisasi untuk melindungi PII:
- Menginformasikan pelanggan tentang data yang disimpan.
- Amankan data dengan enkripsi sehingga informasi tidak terganggu meskipun ada pelanggaran.
- Otentikasi dua faktor untuk melindungi akun online.
- Kontrol akses ke informasi untuk memastikan privasi maksimal.
- Kebijakan keamanan siber harus diluncurkan agar siap tempur untuk dipertahankan dan memastikan sedikit atau tidak ada kerusakan yang dapat dilakukan pada informasi yang disimpan.
- Anonimkan data yang disimpan sebanyak mungkin.
- Amankan jaringan dengan firewall aplikasi web terbaik.
- Memastikan Anda memiliki Sistem Manajemen Keamanan Informasi (ISMS).
Banyak hal lain dan praktik halus mengarah pada keamanan informasi dan penanganan data yang lebih baik dalam suatu organisasi. Namun, praktik dasar tersebut harus dipenuhi untuk memberikan perlindungan terbaik bagi PII.
Selain itu, Anda dapat memilih untuk tidak membagikan beberapa data yang diklasifikasikan sebagai PII jika diperlukan. Ini seharusnya lebih meningkatkan privasi Anda.
PII Penting, Tapi Tidak Semua Data Pribadi Penting
Tentu saja, kami berurusan dengan data “pribadi” di sini.
Namun, apa yang dikategorikan sebagai “pribadi” dapat memiliki beberapa penyimpangan tergantung pada undang-undang/undang-undang privasi negara Anda. Meskipun hampir setiap data dianggap lebih sensitif daripada satu dekade yang lalu, beberapa negara memiliki klasifikasi yang berbeda.
Misalnya, kami membagikan nama lengkap kami di mana-mana, meskipun itu adalah jenis PII. Kami tidak dapat menyalahkan organisasi/layanan mana pun jika penyerang menggunakan nama kami di tempat lain. Jadi, Anda mungkin tidak perlu stres pada beberapa informasi yang kami bagikan setiap hari.
Selain itu, seseorang harus memeriksa peraturan privasi dan undang-undang perlindungan data negara mereka untuk mengetahui apa yang dianggap sensitif dan bagaimana meningkatkan privasi Anda dengan lebih baik.
Pada akhirnya, kami bertanggung jawab untuk melindungi PII, baik secara langsung maupun tidak langsung. Dan, jika kami dapat tetap waspada dengan data kami, organisasi dapat lebih menjaga PII yang dikumpulkan dari kami.
Anda juga dapat menjelajahi beberapa podcast keamanan dunia maya terbaik untuk tetap terdepan dalam dunia ancaman digital.
