Jokainen nykyaikainen organisaatio käsittelee henkilötietoja (PII) ainakin yhdessä muodossa, olipa kyseessä sitten työntekijöiden tiedot, asiakkaiden tilitiedot tai kirjautumistiedot.

Kun yrityksenne verkko laajenee pilvialustoille, etälaitteisiin, alihankkijoille ja SaaS-työkaluihin, henkilötiedot (PII) siirtyvät yhä useamman järjestelmän, työnkulun ja ihmisen kautta. Tämä tekee yksityisyydestä ja turvallisuudesta paitsi lakisääteisiä velvoitteita myös operatiivisia prioriteetteja.

Henkilötietoihin (PII) liittyviä riskejä ja vastuita ei voida siirtää taka-alalle. Vuonna 2025 IBM havaitsi, että tietomurron maailmanlaajuiset keskimääräiset kustannukset nousivat 4,4 miljoonaan dollariin(uusi ikkuna), mikä on 10 % enemmän kuin edellisenä vuonna ja suurin lisäys pandemian jälkeen. Verizonin vuoden 2025 murtoja koskevat tiedot tuovat tärkeää kontekstia: 60 % murroista sisälsi inhimillisen tekijän, kuten heikot kirjautumistietojen käytännöt, puutteellisen käyttöoikeuksien hallinnan ja huolimattomat virheet, jotka luovat vakavan liiketoimintariskin.

Toisin sanoen heikot henkilötietoihin (PII) kohdistuvat valvontatoimet voivat nopeasti muodostua johtotason ongelmaksi, joka johtaa tulojen menetykseen, oikeudellisiin vastuisiin, asiakaspoistumaan ja mainehaittoihin.

Tässä artikkelissa selitetään, mitä PII tarkoittaa nykyaikaisessa liiketoimintaympäristössä, miksi se luo keskittynyttä riskiä, mitä vastuita organisaatioilla on ja mitkä käytännöt vähentävät altistumista tehokkaimmin. Tarkastelemme myös, mitä yritystyökaluja organisaatiot voivat käyttää tukemaan vahvempaa käyttöoikeuksien hallintaa ja kirjautumistietojen hygieniaa osana laajempaa yksityisyys- ja turvallisuusstrategiaa.

Mitä PII-tiedot ovat ja miksi ne ovat tärkeitä yrityksille?

Miksi organisaatioiden tulisi välittää PII:stä

PII:hin liittyvät riskit digitaalisissa ympäristöissä

PII:n käsittelyn organisatoriset vastuut

PII:tä suojaavat turvallisuuskäytännöt

Kuinka Proton Pass for Business tukee PII:n suojaamista

Usein kysytyt kysymykset

Mitä PII-tiedot ovat ja miksi ne ovat tärkeitä yrityksille?

Henkilötiedot eli PII on mitä tahansa tietoa, jolla voidaan tunnistaa tietty henkilö suoraan tai välillisesti. Tähän sisältyvät selvät tunnisteet, kuten koko nimet, passin numerot, henkilötunnukset ja maksukorttien tiedot.

National Institute of Standards and Technologyn (NIST) mukaan PII-tiedot voidaan yleisesti määritellä tiedoiksi, jotka voivat erottaa tai jäljittää yksilön henkilöllisyyden, joko sellaisenaan tai kun ne on yhdistetty muihin tietoihin. NISTin määritelmä sisältää nimenomaisesti myös tiedot, jotka on “yhdistetty tai yhdistettävissä” henkilöön. Tämä on tärkeä huomioida nykyaikaisissa digitaalisissa järjestelmissä, joissa henkilöllisyys usein päätellään useiden tietojoukkojen perusteella sen sijaan, että se paljastuisi yhdessä kentässä.

Vähemmän ilmeistä on, että PII sisältää myös tietoja, jotka muuttuvat tunnistaviksi tietyssä asiayhteydessä, kuten laitetunnukset, IP-osoitteet, sijaintihistoria, kirjautumistiedot tai muutoin tavallisten tietopisteiden yhdistelmät. Äidin tyttönimi tai kotiosoite saattaa vaikuttaa erillisenä vaarattomalta, mutta yhdistettynä syntymäaikaan tai tilinumeroon nämä tietopisteet voivat riittää henkilöllisyyden todentamiseen, turvavalvontojen kiertämiseen tai vilpillisen toiminnan mahdollistamiseen. PII ei rajoitu valtion myöntämiin henkilötodistuksiin tai taloudellisiin tietoihin; se voi sisältää myös digitaalisia leivänmuruja, jotka tekevät mahdolliseksi seurata jotakuta verkossa.

Nykyaikaisissa tietosuojan ja kyberturvallisuuden ohjelmissa PII:tä käsitellään erittäin arkaluonteisena, koska luvaton pääsy tai paljastuminen voi johtaa identiteettivarkauteen, petoksiin ja säännösten rikkomuksiin. CRM-järjestelmässä oleva sähköpostiosoite, palkanlaskennassa oleva työntekijän kotiosoite, käyttäjän toimintaan sidottu selaimen tunniste tai tuen huomautus, joka sisältää tilihistoriaa, voivat kaikki oikeassa asiayhteydessä täyttää arkaluonteisten henkilötietojen kriteerit. PII:n suojaaminen edellyttää vahvoja käyttöoikeuksien hallintatoimia, salausta sekä selkeitä käytäntöjä, jotka säätelevät sitä, miten henkilötietoja kerätään, tallennetaan ja jaetaan.

Miksi organisaatioiden tulisi välittää PII:stä

PII on risteyskohdassa yksityisyyden, turvallisuuden, vaatimustenmukaisuuden ja luottamuksen välillä. Jos organisaatio ei pysty suojaamaan tietoja, jotka tunnistavat sen asiakkaat, työntekijät tai kumppanit, sillä ei ole edessään vain tekninen heikkous. Sillä on edessään hallinnon ja vaatimustenmukaisuuden ongelma.

Tämä on erityisen tärkeää hajautetuissa ympäristöissä. Pilvisovellukset, etätyö, jaetut laitteet, alihankkijat ja ulkopuoliset toimittajat lisäävät kaikki niiden pisteiden määrää, joista PII:hin voidaan päästä käsiksi, kopioida tai altistaa.

Euroopan tietosuojaneuvoston (EDPB) ohjeistus korostaa vastaavaa periaatetta: organisaatioiden on ymmärrettävä, mitä henkilötietoja ne käsittelevät, missä ne on tallennettu ja mihin ne voisivat siirtyä verkossa, sekä kenellä on niihin pääsy, jotta ne voivat täyttää GDPR:n mukaiset tilivelvollisuutta koskevat vaatimukset. Se kuulostaa yksinkertaiselta, mutta käytännössä monet yritykset epäonnistuvat tässä.

PII:n suojaamisella on myös suoraa kaupallista arvoa yrityksellenne: asiakkaanne odottavat teidän osoittavan, kuinka henkilötiedot on suojattu käytännössä, kun taas sääntelyviranomaiset vaativat dokumentoituja valvontatoimia, tarkastusketjuja ja todennettavaa täytäntöönpanoa.

Samoin työntekijät odottavat henkilöstö- ja palkkatietojen vastuullista käsittelyä, ja asiakkaat odottavat, että markkinoinnissa ja oikeudellisissa ilmoituksissa annetut yksityisyyttä koskevat lupaukset on turvattu todellisilla operatiivisilla suojatoimilla.

Kaiken kaikkiaan vahva PII:n hallinto tukee vaatimustenmukaisuutta, yksinkertaistaa hankintoja vastaamalla toimittajien riskinarviointeihin ja due diligence -vaatimuksiin, parantaa asiakaspysyvyyttä ja vahvistaa brändin uskottavuutta.

PII:hin liittyvät riskit digitaalisissa ympäristöissä

Riippumatta siitä, millä toimialalla organisaationne toimii, PII:tä koskevat suurimmat riskit johtuvat nykyään mittakaavan, hajautumisen ja kirjautumistietojen heikkouksien yhdistelmästä. Useimmat organisaatiot käyttävät kymmeniä tai satoja digitaalisia palveluita, ja jokainen niistä luo uuden tukikohdan, josta henkilötietoja voidaan tallentaa, tarkastella, viedä tai jakaa.

Verizonin vuoden 2025 DBIR-raportin mukaan ensisijainen hakkerointitapa sekä pk-yrityksille että suurille organisaatioille on varastettujen kirjautumistietojen käyttö, mikä on 32 % suurissa organisaatioissa ja 33 % pk-yrityksissä. Varastettujen kirjautumistietojen hyödyntäminen on ollut yksi yleisimmistä tavoista päästä sisään organisaatioon useiden viime vuosien ajan, mikä vahvistaa tuttua opetusta tiukan käyttöoikeuksien hallinnan ylläpitämisestä arkaluonteisiin liiketoimintoihin, työntekijöihin ja asiakkaisiin.

Itse asiassa tuoreet havainnot Protonin Data Breach Observatory -palvelusta korostavat, kuinka johdonmukaisesti henkilötiedot altistuvat todellisissa välikohtauksissa. Nimet ja sähköpostiosoitteet esiintyvät lähes 9:ssä 10:stä murrosta, mikä tekee niistä yleisimmin vaarantuneita tietopisteitä. Yhteystiedot, kuten puhelinnumerot ja fyysiset osoitteet, paljastuvat 75 %:ssa murroista, kun taas salasanat ovat mukana 47 %:ssa tapauksista.

Nämä luvut vahvistavat kriittistä todellisuutta organisaatioille ja paljastavat, että jopa näennäisesti ”vähäriskiset” tietopisteet voivat muuttua suuririskisiksi, kun niitä yhdistetään tai käytetään uudelleen eri järjestelmissä.

Raportti havainnollistaa myös, kuinka hyökkääjät yhdistävät tietoja lisätäkseen vaikutusta. 42 %:ssa murroista sekä henkilön nimi että fyysinen osoite paljastuvat yhdessä. Tämä yhdistelmä on erityisen arvokas identiteettivarkauksissa ja kohdistetuissa huijauksissa. Samanaikaisesti erittäin arkaluonteiset tiedot, kuten valtion myöntämät henkilötodistukset, terveystiedot ja muut henkilökohtaiset tunnisteet, esiintyvät 37 %:ssa tapauksista, ja taloudelliset tiedot paljastuvat noin 5 %:ssa tapauksista.

Yleiset henkilötietoihin kohdistuvat uhat

Yleisimmät PII-altistumisen syyt ovat hyvin tiedossa, mutta se ei tee niistä vähemmän vahingollisia. Niihin kuuluvat ulkoiset hyökkäykset, kuten tietojenkalastelu, kirjautumistietojen kokeilu (credential stuffing), kiristysohjelmat ja yrityssähköpostien vaarantuminen.

Yrityssähköpostien vaarantuminen (BEC) on monimutkainen ja erittäin kohdennettu kyberrikollisuuden muoto, jossa hyökkääjät esiintyvät johtajina, työntekijöinä tai luotettuina toimittajina sähköpostin välityksellä huijatakseen uhreja siirtämään varoja tai paljastamaan arkaluonteisia tietoja, mikä tekee siitä yhden hienostuneimmista tavoista hyödyntää järjestelmien haavoittuvuuksia.

On helppo nähdä, kuinka henkilökohtaiset haavoittuvuudet voivat muodostua organisaation hyökkäyspinnoiksi. Nämä uhat hyödyntävät tyypillisesti yksilötason heikkouksia, kuten löyhiä käyttöoikeuksia, jaettuja kirjautumistietoja, epäjohdonmukaisia poistumiskäytäntöjä ja varjo-IT-työkalujen käyttöä tietojen tallennukseen. Jokainen näistä uhkista on potentiaalinen sisääntulopiste, jonka pahantahtoiset toimijat pystyvät hyvin tunnistamaan ja hyödyntämään.

Tämä on linjassa vuoden 2025 DBIR-raportin kanssa, jossa todettiin inhimillisen tekijän olleen mukana 60 %:ssa murroista. Virheet ovat väistämättömiä, joten organisaatiot tarvitsevat järjestelmiä, jotka olettavat ihmisten tekevän virheitä ja jotka vähentävät vahinkojen laajuutta silloin, kun niitä tapahtuu.

Samoin laitteiden häviäminen ja huonot käytöstäpoistoprotokollat ovat merkittäviä uhkia PII-tietojen altistumiselle. ENISA huomauttaa, että henkilötiedot joutuvat usein vaaraan, kun yritykset eivät pysty suojaamaan kannettavia tietokoneita, varmuuskopiointimedioita tai siirrettävää tallennustilaa. Ne ovat erityisen haavoittuvia, kun tietoja siirretään valvottujen ympäristöjen ulkopuolella, kuten työntekijöiden omistamilla laitteilla Bring Your Own Device (BYOD) -mallissa. Teidän tulisi turvallisesti pyyhkiä, tuhota tai poistaa käytöstä laitteistot, kuten kannettavat tietokoneet, varmuuskopiointilevyt tai USB-laitteet, ennen niiden uudelleenkäyttöä tai hävittämistä, koska nämä laitteet voivat jättää jäljelle jääviä tietoja, joihin luvattomat tahot voivat päästä käsiksi.

Tämä on osa GDPR-kehystä, joka edellyttää organisaatioita hallitsemaan henkilötietojen koko elinkaarta, mukaan lukien tallennus, siirto ja hävittäminen, osana turvallisuusvelvoitteitaan. Ilman selkeitä prosesseja laitteiden seurannalle, turvalliselle poistamiselle ja omaisuudenhallinnalle, yritykset voivat tahattomasti luoda tietomurtojen reittejä, joita on vaikea havaita ja vielä vaikeampi korjata, erityisesti hybridityöympäristöissä, joissa päätepisteet ovat laajalti hajautettuina.

Altistumisen seuraukset

Kun organisaatiot eivät pysty suojaamaan PII:tä, seuraukset kärjistyvät usein nopeasti. Yksittäinen tietomurto voi paljastaa tuhansia tai jopa miljoonia henkilökohtaisia tietueita, mikä voi johtaa viranomaistutkintoihin, taloudellisiin seuraamuksiin ja mainehaittoihin.

Organisaation kannalta seuraukset leviävät usein useisiin toimintoihin kerralla:

  • Välikohtauksiin reagoiminen
  • Oikeudellinen tarkastelu
  • Asiakasviestintä
  • Toimittajien hallinta
  • Kybervakuutus
  • Sääntelyraportointi
  • Korjaustoimenpiteet

Kustannukset rajoittuvat harvoin rikostutkintaan ja ilmoituksiin. Ponemon Instituten tutkimus osoittaa, että sisäpiiriin liittyvät tapaukset maksavat organisaatioille keskimäärin yli 17 miljoonaa dollaria vuosittain, mikä kuvastaa havaitsemisen, tutkinnan, rajoittamisen ja palautumisen koko elinkaarta.

Nämä luvut osoittavat, että murtojen kustannukset johtuvat yhtä paljon toimintahäiriöistä, oikeudellisista vastuista ja menetetyistä liiketoiminnoista kuin itse välikohtauksiin reagoimisesta.

Pahantahtoiset sisäpiirin vaaratilanteet, joissa työntekijät, alihankkijat tai kumppanit väärinkäyttävät tahallaan laillista pääsyään järjestelmiin tai tietoihin, ovat erityisen kalliita. Toisin kuin ulkoiset hyökkäykset, nämä vaaratilanteet ohittavat usein reunapuolustuksen kokonaan, mikä tekee niistä vaikeammin havaittavia ja tuhoisampia, kun tietoja paljastuu. Sisäpiirin uhat voivat sisältää myös huolimattomia toimia, kuten kirjautumistietojen väärinkäsittelyä tai tietojen tahatonta paljastamista, joiden osuus todellisista murroista on merkittävä.

Tästä syystä tietosuojaa kokonaisuutena ja erityisesti henkilötietojen suojaamista on käsiteltävä jatkuvana liiketoimintana reaktiivisen säännösten noudattamisen sijaan. Nykypäivän suurimmat tietoturvauhat — tietojenkalastelu, heikot salasanat, kiristyshaittaohjelmat ja sosiaalinen manipulointi — ovat yleisiä, koska ne hyödyntävät toiminnallisia puutteita, eivätkä vain ohjelmistovikoja.

Organisaation vastuut henkilötietojen käsittelyssä

Henkilötietoja keräävien tai käsittelevien organisaatioiden odotetaan tekevän enemmän kuin vain välttävän ilmeistä huolimattomuutta. Niiden odotetaan laativan selkeät säännöt tietojen keräämiselle, pääsylle, säilytykselle, suojaukselle ja reagoinnille.

Lakisääteiset ja lainsäädännölliset velvoitteet

Tarkka oikeudellinen standardi riippuu lainkäyttöalueesta ja toimialasta, mutta ydinvelvollisuudet ovat yhdenmukaiset:

  • Yrityksenä teidän tulisi kerätä vain tarvitsemanne henkilötiedot.
  • Selittäkää, miksi keräätte niitä ja miksi käytätte niitä.
  • Rajoittakaa henkilötietoihin pääsy vain valtuutetulle henkilöstölle.
  • Suojatkaa henkilötiedot teknisillä ja organisaatiollisilla suojatoimilla.
  • Reagoikaa asianmukaisesti, jos henkilötiedot vaarantuvat.

Kansainväliset tietosuojalait, mukaan lukien GDPR-kehys, painottavat tietojen kartoitusta, pääsyn tarkistamista, minimointia ja turvallista hävittämistä vastuullisen tiedonhallinnan perusvaatimuksina. Tämä tarkoittaa myös, että useimmat liiketoimintaprosessit kuuluvat henkilötietoja koskevien säädösten piiriin, koska ne kaikki käsittelevät mahdollisesti arkaluonteisia tietoja tavalla tai toisella.

Jopa pienille ja keskisuurille yrityksille, joilla on rajalliset resurssit, nämä velvoitteet voivat kertyä nopeasti. Niiden voi olla tarpeen täyttää GDPR:n ja paikallisten yksityisyysvaatimusten lisäksi kumppanien ja asiakkaiden asettamat turvallisuusodotukset. Yksinkertaisen, skaalautuvan yksityisyysohjelman rakentaminen auttaa vastaamaan näihin päällekkäisiin vaatimuksiin lisäämättä tarpeetonta monimutkaisuutta.

Proton for Business antaa yritysten omistajille ja johtajille oikeat salatut ratkaisut, työkalut ja resurssit auttaakseen heitä selviytymään näistä päällekkäisistä vaatimuksista tarjoten käytännöllisiä suojatoimia, jotka vahvistavat arkaluonteisten tietojen hallintaa lisäämättä tarpeetonta monimutkaisuutta.

Avoimuus ja vastuu

Henkilötietojen hallinta riippuu myös siitä, että pystytte selittämään, mitä organisaationne sisällä tapahtuu. Se sisältää selkeät yksityisyysilmoitukset, dokumentoidut säilytyssäännöt, käyttölokit, toimittajien valvonnan ja todisteet siitä, että käytäntöjä todella noudatetaan.

Sellaisenaan sisäinen vastuu on tärkeää. Jokaisen organisaation tulisi tietää, kuka omistaa yksityisyyspäätökset, kuka hyväksyy pääsyn arkaluonteisiin tietoihin, kuka tarkistaa vaaratilanteet ja kuka on vastuussa käyttäjien ja toimittajien poistamisesta. Ilman nimettyä vastuuta pääsyoikeuksien laajeneminen ja varjoprosessit pyrkivät täyttämään aukon.

Tietoturvakäytännöt, jotka suojaavat henkilötietoja

Henkilötietojen suojaaminen vaatii kerrostettuja hallintatoimia, ei vain yhtä tuotetta tai käytäntöä. Joustavimmat ohjelmat yhdistävät minimoinnin, salauksen, pääsynhallinnan, työntekijöiden koulutuksen, valvonnan ja kurinalaisen vaaratilanteisiin reagoinnin.

Tietojen minimointi ja luokittelu

Ensimmäinen hallintatoimi on vähiten hohdokas ja yksi tehokkaimmista: pitäkää vähemmän arkaluonteisia tietoja organisaatiossanne. FTC neuvoo yrityksiä luetteloimaan henkilötiedot ja vähentämään säilytettävää määrää. Jos tieto ei ole tarpeen liiketoimintatarkoitukseen, sitä ei pitäisi kerätä.

Luokittelu vahvistaa tätä prosessia. Kaikkiin henkilötietoihin ei liity samaa riskiä. Palkkatietoja, asiakkaiden taloudellisia tietoja, terveystietoja ja kirjautumistietojen säilöjä ei pidä käsitellä samoin oletuksin kuin markkinoinnin asetustietoja. Luokittelu auttaa organisaatioita sovittamaan hallintatoimet vaikutuksiin.

Salaus ja pääsynhallinta

Salauksen tulisi suojata henkilötietoja sekä levossa että siirron aikana. Mutta salaus yksin ei riitä, jos pääsy on liian laaja tai kirjautumistiedot ovat heikot. Organisaatiot tarvitsevat myös vähimpien oikeuksien mallin, säännölliset pääsyoikeuksien tarkistukset, kirjautumistietojen kontrolloidun jakamisen, arkaluonteisten järjestelmien kirjautumistietojen kierrättämisen ja nopean kumoamisen roolien vaihtuessa.

Tämä on erityisen tärkeää, koska nykyaikaiset murrot alkavat usein voimassa olevilla kirjautumistiedoilla eikä väsytyshyökkäyksellä. Jos väärä henkilö voi kirjautua sisään onnistuneesti, salaus tallennuskerroksessa ei pysäytä altistusta.

Vahva tunnistautuminen ja salasanatottumukset

Kirjautumistietojen hygienia on yksi vaikuttavimmista hallintakeinoista useimmille organisaatioille. Vahvat ja yksilölliset salasanat, joissa on kaksivaiheinen tunnistautuminen (2FA), salasanaterveyden valvonta ja turvalliset jakamiskäytännöt ratkaisevat samanaikaisesti yleisimmät turvallisuusongelmat. Proton Pass for Business, turvallinen yritysten salasananhallinta, tukee tätä mallia päästä päähän -salatulla salasanojen tallennuksella, sisäänrakennetulla 2FA-tunnistautumisella, salasanaterveyden tarkistuksilla, pimeän verkon valvonnalla ja tiimien käytännöillä, joiden avulla järjestelmänvalvojat voivat valvoa parhaita käytäntöjä suuressa mittakaavassa.

Sillä on merkitystä, koska turvalliset oletukset voittavat jatkuvasti käytäntöjen muistutukset. Jos työntekijöiden odotetaan muistavan ja hallitsevan monimutkaisia kirjautumistietoja manuaalisesti, uudelleenkäyttö, epävarma jakaminen ja turvaton tallennus hiipivät väistämättä mukaan. Sen sijaan Proton Pass for Businessin kaltaiset työkalut upottavat turvalliset käytännöt suoraan päivittäisiin työnkulkuihin luomalla vahvoja, yksilöllisiä salasanoja automaattisesti, tallentamalla ne päästä päähän -salauksella ja mahdollistamalla turvallisen jakamisen, joka ei paljasta kirjautumistietoja.

Valvonta, hälytykset ja testaus

Kun kyse on arkaluonteisiin henkilötietoihin pääsyn valvonnasta, yritykset luottavat hallintatoimiin, kuten tarkastuslokeihin, epätavallisen toiminnan hälytyksiin, epäonnistuneiden kirjautumisten seurantaan ja etuoikeutetun pääsyn säännöllisiin tarkistuksiin. Proton Pass for Business tukee näitä käytäntöjä yksityiskohtaisilla toimintalokeilla, käyttömääräraportoinnilla ja IP-pohjaisella näkyvyydellä, mikä mahdollistaa vahvemman toiminnallisen valvonnan samalla kun se yksinkertaistaa tarkastusvalmisteluja ja säännösten noudattamisen raportointia.

Hallintatoimia on myös testattava säännöllisesti. Pöytäharjoitukset, pääsyoikeuksien tarkistukset, tunkeutumistestaus ja vaaratilannesimulaatiot auttavat varmistamaan, että käytännöt ovat tehokkaita todellisissa tilanteissa, eivätkä vain paperille dokumentoituja.

Työntekijöiden koulutus ja työpaikan kulttuuri

Tietoturvatietoisuudella on edelleen merkitystä, koska monet vaaratilanteet alkavat tietojenkalastelulla, kirjautumistietojen varkaudella tai laillisten käyttäjien turvattomalla tiedonkäsittelyllä. Protonin kyberturvallisuusopas puoltaa toistettavia käytäntöjä, tietojenkalastelun vastaisia tottumuksia ja turvallisuustietoisia rutiineja kertaluonteisten vuosittaisten muistutusten sijaan.

Vahva turvallisuuskulttuuri ei tarkoita, että työntekijöitä kehotetaan olemaan varovaisempia. Se tarkoittaa turvallisen reitin tekemistä helpoksi reitiksi. Tämä sisältää hyväksytyt työkalut, selkeät eskalointikanavat, yksinkertaiset käytännöt pääsyn jakamiseen ja käytännönläheisen koulutuksen, joka perustuu todellisiin tilanteisiin.

Tietojen säilytys, turvallinen poistaminen, toimittajien hallinta ja vaaratilanteisiin reagoiminen

Säilytys on tietoturvaongelma, ei vain rekisteriongelma. Mitä kauemmin henkilötietoja säilytetään, sitä useampiin järjestelmiin ne ulottuvat ja sitä enemmän arvoa ne tarjoavat hyökkääjille. Tämä johtuu siitä, että ajan myötä henkilötiedot kopioituvat varmuuskopioihin, analytiikka-alustoihin, ulkopuolisten tahojen työkaluihin ja työntekijöiden laitteisiin, mikä laajentaa mahdollisten tukiasemien määrää. Tämä kasvattaa hyökkäyspintaa ja vaikeuttaa organisaatioiden mahdollisuuksia seurata, suojata ja poistaa näitä tietoja hallitusti.

Tästä syystä yritysten tulisi määrittää säilytysikkunat ja turvalliset poistoprosessit sekä reaaliaikaisille järjestelmille että varmuuskopioille.

Toimittajien hallinta kuuluu samaan keskusteluun. Palveluntarjoajat käsittelevät usein palkkatietoja, analytiikkatunnisteita, tukitietoja ja tunnistautumistietoja. Sopimusten tulisi kattaa tietosuojaodotukset, ja pääsyn tulisi olla rajoitettu ja tarkistettavissa.

Lopuksi jokainen henkilötietoja käsittelevä organisaatio tarvitsee dokumentoidun vaaratilanteisiin reagoimisen suunnitelman. GDPR:n murtoihin vastaamisen ohjeet(uusi ikkuna) korostavat nopeaa ilmoitusta asianosaisille yrityksille ja laitoksille tarvittaessa, yhdessä rajoittamis- ja palautustoimenpiteiden kanssa. Nopeudella on väliä, mutta niin on myös valmistautumisella.

Yrityksen omistajana tai johtajana teillä tulisi olla tiukat käytännöt siitä, miten henkilötietoja säilytetään tietokannassa turvallisesti. Tämä edellyttää tyypillisesti kerrostettua lähestymistapaa, johon sisältyy lepotilan salaus, vahva kirjautumistietojen hallinta, tiukat pääsynhallinnat, tarkastuslokit ja tietokannan toiminnan säännöllinen valvonta.

Miten Proton Pass for Business tukee henkilötietojen suojaamista

Henkilötietojen turvallisuusohjelmat onnistuvat, kun ne vähentävät todellista altistumista hidastamatta tiimejä, ja kun kyberturvallisuus on osa turvallisuus- ja yksityisyyskulttuurianne jälkiajatuksen sijaan. Tässä yritysten salasananhallinta voi toimia merkittävässä roolissa, varsinkin siksi, että kirjautumistiedot suojaavat yhdyskäytäviä HR-järjestelmiin, taloustyökaluihin, CRM-järjestelmiin, tukialustoihin, kehittäjäinfrastruktuureihin ja pilvitallennustilaan.

Proton Pass for Business on rakennettu useiden hallintatoimien ympärille, jotka liittyvät suoraan henkilötietojen suojaamiseen. Proton Pass toimii nollatiedon päästä päähän -salauksella salasanoille, pääsyavaimille, maksukorteille, muistiinpanoille ja metatiedoille, joten jopa arkaluonteiset kentät, kuten käyttäjätunnukset ja verkkosivustojen URL-osoitteet, on salattu. Sitä suojaa myös Sveitsin yksityisyyslaki, ja sen tukena on avoimen lähdekoodin malli, joka on auditoitu riippumattomasti.

Toiminnallisesta näkökulmasta katsottuna yritystarjonta lisää keskitetyn hallinnan, tarkastuslokit, salasanaterveyden tarkistukset, pimeän verkon valvonnan, turvallisen holvin ja kohteiden jakamisen sekä tiimikäytännöt, sekä SSO- ja SCIM-tuen yritysympäristöille. Proton Pass for Business tukee organisaatioita henkilökohtaisen salasanojen tallennuksen lisäksi myös koko yrityksen laajuisella pääsynhallinnalla.

Vahvat kirjautumistietojen turvallisuuskäytännöt ovat yksi parhaista tavoista vähentää henkilötietojen altistumista. Kun tiimit pystyvät luomaan ja tallentamaan ainutlaatuisia kirjautumistietoja, jakamaan niitä turvallisesti automaattitäytön avulla, valvomaan heikkoja tai uudelleenkäytettyjä salasanoja sekä perumaan käyttöoikeudet nopeasti käyttäjien poistuessa, ne pienentävät todennäköisyyttä, että kirjautumistietoihin liittyvä ongelma muuttuu yksityisyyden loukkaukseksi.

Proton Pass for Business tarjoaa keskitetyn järjestelmänvalvojan valvonnan, käytäntöjen valvonnan, turvallisen jakamisen sekä näkyvyyden muutoksiin ja tapahtumiin. Proton Pass voi tukea myös laajempia tietojenkalastelun vastaisia ja henkilöllisyyden suojaamiskäytäntöjä. Esimerkiksi hide-my-email -aliakset voivat auttaa käyttäjiä rajoittamaan oikeiden osoitteidensa paljastumista, mikä voi vähentää roskapostin ja tietojenkalastelun painetta joissakin työnkuluissa.

Organisaatioille, jotka käsittelevät asiakaspalvelua, testaus-tilejä ja roolipohjaisia rekisteröitymisiä, se voi olla hyödyllistä osana laajempaa henkilöllisyyshygieniastrategiaa.

Kuitenkaan mikään salasananhallinta, Proton Pass mukaan lukien, ei ratkaise henkilötietojen suojaamista yksinään. Salasananhallinta ei korvaa tietojen kartoitusta, säilytyskäytäntöjä, DLP:tä, päätepisteiden suojausta tai säännösten noudattamisen työtä. Mutta se voi vähentää yhtä yleisimmistä teistä henkilötietojen vaarantumiseen: epäjohdonmukaista kirjautumistietojen käsittelyä ihmisten, sovellusten ja tiimien välillä.

Usein kysytyt kysymykset henkilötiedoista

Mitä ovat henkilökohtaisesti tunnistettavat tiedot (PII)?

Henkilökohtaiset tunnistetiedot (PII) ovat tietoja, joiden avulla henkilö voidaan tunnistaa suoraan tai epäsuorasti. NIST määrittelee ne tiedoiksi, jotka voivat erottaa tai jäljittää yksilön henkilöllisyyden, joko yksinään tai yhdistettynä muihin linkitettyihin tietoihin. Nämä voivat sisältää nimiä, virallisia henkilötodistuksia, tilin kirjautumistietoja, taloudellisia tietoja, IP-osoitteita, sijaintitietoja ja muita tunnisteita kontekstista riippuen.

Nykyaikaisten vaatimustenmukaisuuskehysten yhteydessä organisaatiot kysyvät usein, mitä PII on tietosuojan ja yksityisyyden ohjelmissa. Yksinkertaisesti sanottuna PII viittaa mihin tahansa tietoon, joka voi tunnistaa yksilön suoraan tai epäsuorasti, kun se yhdistetään muihin tietoihin.

Lainsäädännölliset määritelmät vaihtelevat myös hieman lainkäyttöalueittain. Esimerkiksi organisaatiot kysyvät usein, mitä PII-tiedot ovat Isossa-Britanniassa, missä Ison-Britannian GDPR katsoo tunnisteet, kuten IP-osoitteet, sijaintitiedot ja laitetunnisteet, henkilötiedoiksi, jos ne voidaan linkittää yksilöön.

Miksi PII-tietojen suojaaminen on tärkeää yrityksille?

Koska PII-tietojen altistuminen voi laukaista petoksia, henkilöllisyysvarkauksia, oikeudellisia velvoitteita, asiakkaille tehtäviä ilmoituksia, mainehaittoja ja suuria taloudellisia menetyksiä. Viimeaikaiset murtojen raportoinnit ja kustannustiedot osoittavat, että yksityisyyslupausten rikkomisten mittakaava ja yritysvaikutukset ovat merkittäviä.

Miten organisaatiot voivat suojata PII-tietoja tehokkaammin?

Vahvin lähestymistapa on kerrostettu: kerätkää vähemmän tietoja, luokitelkaa säilytettävät tiedot, salatkaa ne, rajoittakaa niiden käyttöä, vaatikaa vahva tunnistautuminen, kouluttakaa työntekijöitä, valvokaa epäilyttävää toimintaa, arvioikaa toimittajat ja pitäkää yllä testattua poikkeamien hallintasuunnitelmaa. FTC:n ohjeistus korostaa erityisesti sen tietämistä, mitä tietoja teillä on, missä ne liikkuvat ja kuka voi käyttää niitä.

Mitkä ovat PII-tietojen altistumisen suurimmat riskit nykypäivänä?

Suurimpiin riskeihin kuuluvat tietojenkalastelu, kirjautumistietojen varkaus, kiristyshaittaohjelmat, sisäpiirin väärinkäytökset, tilit, joilla on liikaa käyttöoikeuksia, heikko perehdytyksen purku, kadonneet laitteet ja ulkopuolisen tahon aiheuttama altistuminen. Verizonin DBIR-raportointi ja Privacy Rights Clearinghouse -murtoanalyysi osoittavat molemmat, että kirjautumistietojen väärinkäyttö ja palveluntarjoajien riskit pysyvät merkittävinä tekijöinä nykyaikaisissa vaaratilanteissa.

Mitä ovat ulkopuolisen tahon tai toimitusketjun välikohtaukset kyberturvallisuudessa?

Ulkopuolisen tahon tai toimitusketjun välikohtaukset tapahtuvat, kun tietoturvamurto ei saa alkunsa omista järjestelmistänne, vaan toimittajan, palveluntarjoajan tai ulkoisen kumppanin kautta, jolla on käyttöoikeus tietoihinne tai infrastruktuuriinne. Nykyaikaiset yritykset luottavat vahvasti pilvipalveluihin, SaaS-alustoihin ja ulkoisiin työkaluihin, minkä vuoksi nämä välikohtaukset ovat yhä yleisempiä. Jos kirjautumistietojanne, analytiikkaanne tai viestintäjärjestelmiänne hallitseva toimittaja altistuu, hyökkääjät voivat saada epäsuoran pääsyn organisaationne tietoihin.

Mikä tehtävä salasananhallinnalla on PII-tietojen suojaamisessa?

Yrityksen salasananhallinta auttaa suojaamaan pääsyä järjestelmiin, joihin PII-tiedot on tallennettu, luomalla vahvoja, yksilöllisiä kirjautumistietoja, tallentamalla ne turvallisesti, mahdollistamalla hallitun jakamisen ja parantamalla näkyvyyttä käyttötoimintaan.

Yritysten salasananhallinnat ovat erityisen hyödyllisiä salasanojen uudelleenkäytön vähentämisessä, jaettujen tilien suojaamisessa sekä perehdytys- ja poistumisprosessien tukemisessa. Proton Pass for Business lisää päästä päähän -salauksen, Salasanaterveys-tarkistukset, tarkastuslokit ja keskitetyt ylläpitäjän hallintatoimet näiden tavoitteiden tukemiseksi.