问个人可识别信息的边界. PCI-DSS

EN

我正试图确定个人身份信息的界限。

这是一个法律问题，不同的管辖范围各不相同。也许最著名的是加利福尼亚：

(a)“个人可识别信息”一词系指经营者从该个人网上收集并由经营者以可获取的形式保存的关于个人消费者的个人可识别信息，包括下列任何一种：(1)姓名或姓氏。(2)家庭或其他实际地址，包括城市或城镇的街道名称和名称。(3)电子邮件地址。(4)电话号码。(5)社会保障号码。(6)允许特定个人实际接触或在线联系的任何其他标识符。(7)网站或在线服务从用户在线收集的有关用户的信息，并以个人可识别的形式与本细分所述的标识符相结合。

后来，判例法将邮编添加到列表中。

在PCI的背景下，在这些数据的存储、传输、销毁和使用方面是否有具体的要求？

PCI和PII之间唯一的重叠是持卡人的名字.PCI DSS不关心PII；它关注的是“帐户数据”，它由以下元素组成：

某些可能包含在信用卡处理中的PII元素，例如账单地址和邮政编码(您可能必须在加油站输入您的账单邮编吗？)甚至PCI DSS都没有提到。即使是一个明显的重叠，持卡人的名字，公平地说，一个人对数据的管理可能完全符合PCI，但严重缺乏遵守适用的PII条例。在确定是否正确保护PII时，不应考虑PCI控件。

对意见采取后续行动：

在保护PII中是否有与PCI控件重叠的定义控件？

问题是PII法律是惩罚性的，而不是指令性的。它们定义了什么是PII，并说明了谁负责正确处理它。它们没有定义如何正确地处理它；它们指出正确的处理程序提供了什么样的结果，并指出如果不提供这些结果，就意味着违反了法律。

另一方面，PCI则更具规范性.它详细说明了预期的保护措施。它没有说明你需要使用什么加密，但是它说你需要使用加密来实现这个和那个，正确的加密必须符合合理的标准。

PCI控件可以应用于PII数据吗？当然..。您可以将PII视为PAN (主要帐号)数据；确保它无论何时存储都是加密的，等等。但是，您可能会遇到更多的麻烦，因为PII的用例与PAN不同；对于PAN，您几乎需要将它发送到处理器，仅此而已。使用PII，您可能会有很多员工因为某种原因需要进入并查看它(客户支持？)蜗牛邮件活动？数据分析？)这些人要么受到加密的不便，要么由于访问次数和种类的增加而削弱了对加密的保护。

人们对PCI有很多批评，但也许它最好的辩护是：“总比什么都没有强。”这是一个标准，它是由卡品牌强加的，它规定了一个可接受的最低限度的安全控制。PII没有同等的文档--尤其是因为PII是如此依赖于管辖权。

对于这个问题，我会采取不同的方法。Gowenfawr和SilverlightFox从教科书/指南的角度提供了很好的答案，所以我将讨论回答您的"John等同于个人可识别信息，因为可能有几千个John“部分。现行PII法的许多部分来自推理攻击。几十年前，军方就其士兵数据的安全性进行了大量讨论。请考虑以下几点：

FNAME   GENDER  AGE CURRENT_LOCATION    TITLE
JAMIE   F       22  NYC                 NUCLEAR_OPERATOR
JAMIE   M       27  NYC                 CHEF

如果您遇到这些数据，作为攻击者，您将知道哪个是更重要的目标。你会去找一个叫杰米的女人，她看起来是18-25岁。你可以进一步完善你的搜索对象，那些看起来“有条理”的人(发髻，严肃的举止)。你有可供利用的信息。政府/军方寻找建立防范系统这类搜索。(这是合理的)。他们建立并部署了培训许多军事人员的视频，这些视频可以是在这里观看，并将对其进行详细说明。(幻灯片3在一定程度上解释了推理)。

所以当你说：“可能有几千个约翰，”想象一下，如果我们住在美国小镇，那里的人口是30，你认为我们能在那里找到多少约翰？现在大多数地方也是如此。由于到处都是大量的数据(Spokeo、Facebook、LinkedIn等)，使用简单的数据进行推断攻击要简单得多(上面的Jamie示例)。“美国小城镇约翰·多尔敦”足以识别一个人。(再鉴定)。现在，就需求而言，这都取决于您的州/国家/企业。例如，如果您经营一家在线企业，您的规则将与在美国小镇经营一家咖啡店的人不同。许多组织已经转向标记名称、电话号码、邮政编码等。

来自维基百科：

PII是可以单独使用或与其他信息一起使用的信息，用于识别、联系或定位单个人，或在上下文中标识个人。

因此，我同意您的前提，即PII被定义为拥有足够的信息，以便唯一地识别某个人。

在PCI下，所有内容都是在持卡人数据的背景下查看的。如果这些数据是关于信用卡或借记卡的，那么它就属于PCI的范围。其他与卡片细节无关的个人信息，PCI并不真正关心。

如果这些数据与卡片相关联，那么如果您的系统传输、处理或存储这些数据，那么它必须符合PCI标准。当前版本的PCI是v3.1。在PCI下必须保持安全的帐户数据如下：

持卡人数据：

• 主要帐号(PAN)
• 持卡人姓名
• 到期日
• 服务代码

敏感身份验证数据：

• 全轨数据(磁条数据或芯片上的等效数据)
• CAV2 2/CVC2/CVV2 2/CID
• 引脚/PIN块

根据科莫多的说法：

持卡人资料是与持卡人有关的任何个人识别资料。这可能是一个帐号、到期日、姓名、地址、社会保障号码等。与持卡人有关的所有个人身份识别信息也被视为持卡人数据。