No mundo da Segurança da Informação, designa-se a sigla “IIP” para informação de identificação pessoal, ou seja, dados pessoais de indivíduos que podem identificar e expor informações. Em cibersegurança, são os dados que precisam ser protegidos pelas empresas que os tratam de alguma forma, como na coleta, no armazenamento, no compartilhamento de dados, etc..
Caso seu IIP seja exposto, criminosos do ambiente digital podem cometer atividades ilícitas, como vender suas informações, sequestrar sua identidade e efetuar movimentações usando seu nome. Para mitigar as consequências de vazamentos de IIP, é necessário utilizar recursos de segurança eficientes e compreender de que forma os sistemas podem estar sendo atacados.
Entenda melhor sobre IIP e os cuidados acerca logo abaixo.
O que é Informação de Identificação Pessoal (IIP)?
Chamamos de Informação de Identificação Pessoal (IIP) qualquer dado que possa ser relacionado a um indivíduo para identificá-lo, abrangendo uma ampla gama de informações, desde os básicos nome e sobrenome até dados biométricos.
São IIPs:
- Os identificadores diretos, que consistem em informações que identificam uma pessoa de forma específica e inequívoca, como números de identidade, CPF, etc.;
- Os identificadores indiretos, que são informações que, quando combinadas com outros dados podem expor a identificação do indivíduo, como data de nascimento, dados de localização, endereço IP e etc;
- Informações financeiras, que consistem em números atrelados ao nome da pessoa, como cartões de crédito e débito, informações bancárias e outros;
- Informações de saúde, como informações relacionadas a seguro de saúde e registros médicos.
Quais são os tipos comuns de informação de identificação pessoal?
A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) no Brasil classifica as informações de identificação pessoal em duas categorias principais: dados pessoais e dados pessoais sensíveis.
Dados pessoais
São considerados dados pessoais todas as informações relacionadas a uma pessoa natural identificada ou identificável, ou seja, que permitem chegar à identificação de um indivíduo, direta ou indiretamente, sem a necessidade de cruzar informações.
Alguns dos exemplos mais comuns de dados pessoais incluem:
- Dados de identificação: nome completo, RG, CPF, data e local de nascimento, número do passaporte, CNH.
- Dados de contato: endereço residencial, endereço de e-mail, número de telefone.
- Dados digitais: endereço IP, dados de geolocalização (GPS), cookies, histórico de navegação, identificação de dispositivos.
- Dados financeiros: número de cartão bancário, renda pessoal, histórico de pagamentos.
- Outros: fotografias, hábitos de consumo, gênero, nacionalidade, estado civil, profissão, peso, altura.
Dados pessoais sensíveis
Refere-se a informações que, se tratadas de forma inadequada, podem levar a discriminação ou preconceito. Por isso, a LGPD estabelece regras ainda mais rigorosas para o tratamento desses dados.
Quando falamos em dados pessoais sensíveis, falamos de:
- Origem racial ou étnica: cor da pele, ancestralidade.
- Convicção religiosa: crenças e práticas religiosas.
- Opinião política: posicionamento político, filiação partidária.
- Filiação a sindicato ou a organização de caráter religioso, filosófico ou político.
- Dados referentes à saúde ou à vida sexual: atestados, CID, exames, prescrições médicas, laudos médicos, orientação sexual.
- Dados genéticos: informações sobre o DNA de um indivíduo.
- Dados biométricos: reconhecimento facial, reconhecimento de digital, íris (quando vinculados a uma pessoa natural).
Diferenciar os dados pessoais dos dados pessoais sensíveis é fundamental para a proteção de dados. A LGPD refere-se a medidas de segurança adequadas para proteção total a todos os tipos de dados, propondo a implementação de controles de acesso, criptografia e outras medidas de alta proteção para evitar acesso não autorizado e vazamento de informações.
Quais são os cuidados que as empresas devem tomar com IIP?
Conformidade com leis de proteção de dados
Autoridade máxima como legislação de regulamentação de proteção a dados, a LGPD protocola normas para o tratamento de dados pessoais no país, garantindo práticas seguras de coleta, armazenamento, uso e compartilhamento de IIPs.
É crucial que as medidas e estratégias adotadas pelas organizações tenham uma base legal de tratamento e que forneçam aos titulares de dados informações sobre como seus dados serão tratados, mantendo a transparência e o livre-arbítrio do titular para com suas próprias informações.
Ainda que seja a maior lei de proteção do país, as empresas podem também ter obrigatoriedade de cumprimento de outras regulamentações conforme o setor de atuação e com quais nacionalidades fazem negócios.
Práticas recomendadas para proteção de IIP
As práticas mais recomendadas para proteção de IIPs são a minimização de dados, que coleta apenas as informações necessárias para fins específicos, minimizando o risco e não mantendo informações excessivas ou irrelevantes no banco de dados, a criptografia em trânsito e em repouso e controle de acesso.
Indo além, são necessárias auditorias regulares, protocolos de segurança eficientes e respostas rápidas a incidentes, além de treinamento contínuo dos integrantes e modelagem de ameaças.
Como proteger suas próprias informações de identificação pessoal?
Para proteger suas IIPs, siga sempre boas práticas de uso de informações online, como uso de senhas fortes e exclusivas, autenticação em duas etapas, cuidado com e-mails e mensagens suspeitas, verificação da segurança de sites, uso de antivírus, firewalls e criptografia de ponta a ponta e limitação de informações compartilhadas em redes sociais.
Quais são as consequências de não proteger IIP?
A não proteção das IIPs pode ter consequências muito expressivas e graves tanto para o titular quanto para as empresas que mantém os dados armazenados.
Para os indivíduos, o vazamento e acesso ilegal a informações pode acarretar prejuízo financeiro, golpes em nome do prejudicado, danos à reputação, roubo de identidade, estresse e ansiedade e, em alguns casos, até riscos à segurança física, como risco de perseguição, assédio ou sequestro.
Para as empresas, a não proteção de dados coletados infringe a premissa básica da LGPD, o que acarreta no abalo da credibilidade junto a clientes, parceiros e fornecedores, danos à reputação, perda financeira, ações judiciais e, em alguns casos mais severos, até suspensão de atividades por tempo indeterminado.
Impacto em casos de vazamento
O impacto de um vazamento pode ser maximizado pela sensibilidade e a quantidade de informações. Se, por exemplo, as informações vazadas forem de cunho financeiro ou relacionadas à saúde, as consequências são particularmente muito graves.
Para mitigar esses riscos, são necessárias medidas rigorosas em Segurança da Informação, incluindo implementação de recursos de segurança cibernética e conscientização a titulares e equipes que trabalham com os dados dos riscos associados a compartilhamento e acesso indevido.
Tecnologias e ferramentas para proteção de IIP
Para manter um alto nível de proteção às IIPs, é preciso combinar recursos de Segurança da Informação com tecnologias avançadas, capazes de prevenir e corrigir falhas de forma rápida, eficiente e confiável.
Softwares de segurança e criptografia
A começar por EDRs, firewalls e IDS/IPS, é possível detectar e remover ameaças, monitorar o tráfego de rede e bloquear acessos não autorizados, além de proteger contra invasões e imposições as barreiras de segurança.
Gerenciadores de senhas, uso de VPNs e criptografia em repouso e em trânsito também são recursos altamente recomendados, criptografando dados e as conexões com a internet em redes privadas e públicas, evitando aproximação e acessos não autorizados.
Ainda, ferramentas de monitoramento constante e contínuo com identificação e resposta imediata a incidentes de segurança e constatação de vulnerabilidades reforçam 24h a proteção a IIPs.
Para soluções em Segurança da Informação, a Clavis tem tudo aquilo que você precisa. Entre em contato e aumente o nível de qualidade do seu serviço agora mesmo!
