Každá moderní organizace zpracovává osobně identifikovatelné údaje (PII) alespoň v jedné podobě, ať už jde o záznamy o zaměstnancích, údaje o zákaznických účtech nebo přihlašovací údaje.

Jak se firemní síť rozšiřuje napříč cloudovými platformami, vzdálenými zařízeními, externími dodavateli a SaaS nástroji, údaje PII procházejí více systémy a pracovními postupy a dostávají se do rukou více lidí. Soukromí a bezpečnost se tak stávají nejen právní povinností, ale i provozní prioritou.a0

Rizika a odpovědnosti spojené s PII nelze odkládat na vedlejší kolej. V roce 2025 IBM zjistila, že globální průměrné náklady na narušení bezpečnosti dat dosáhly 4,4 milionu USD(nové okno), což je o 10 % více než v předchozím roce a největší nárůst od pandemie. Data společnosti Verizon z roku 2025 o únicích informací doplňují důležitý kontext: 60 % narušení zahrnovalo lidský faktor, například slabé postupy při práci s přihlašovacími údaji, nedostatečnou správu přístupu a nepozorné chyby, které pro firmu představují závažné riziko.

Jinými slovy, slabá opatření na ochranu PII se mohou rychle stát problémem na úrovni představenstva, který zahrnuje ztrátu příjmů, právní rizika, odchod zákazníků a poškození reputace.

Tento článek vysvětluje, co pojem PII znamená v moderním firemním prostředí, proč představuje soustředěné riziko, jaké odpovědnosti organizace nesou a které postupy nejúčinněji snižují míru vystavení riziku. Podíváme se také na to, jaké podnikové nástroje mohou organizace používat k podpoře silnější kontroly přístupu a lepší hygieny přihlašovacích údajů v rámci širší strategie ochrany soukromí a bezpečnosti.

Co jsou údaje PII a proč jsou pro firmy důležité?

Proč by organizace měly věnovat PII pozornost

Rizika spojená s PII v digitálních prostředích

Povinnosti organizací při nakládání s PII

Bezpečnostní postupy, které chrání PII

Jak Proton Pass for Business podporuje ochranu PII

Často kladené otázky

Co jsou údaje PII a proč jsou pro firmy důležité?

Osobně identifikovatelné údaje neboli PII jsou jakékoli informace, které mohou přímo nebo nepřímo identifikovat konkrétní osobu. Patří sem zjevné identifikátory, jako jsou celá jména, čísla pasů, čísla sociálního zabezpečení a údaje o platebních kartách.

Podle National Institute of Standards and Technology (NIST) lze údaje PII obecně definovat jako informace, které mohou odlišit nebo dohledat identitu jednotlivce, a to samy o sobě nebo ve spojení s jinými údaji. Definice NIST také výslovně zahrnuje informace, které jsou s osobou „spojeny nebo spojitelné“. To je důležité zejména u moderních digitálních systémů, kde se identita často odvozuje napříč datovými sadami, namísto aby byla odhalena v jednom poli.

Na první pohled je méně zřejmé, že PII zahrnují také informace, které se v daném kontextu stávají identifikačními, například identifikátory zařízení, IP adresy, historii polohy, přihlašovací údaje nebo kombinace jinak běžných údajů. Rodné příjmení matky nebo adresa bydliště se mohou samy o sobě jevit jako neškodné, ale v kombinaci s datem narození nebo číslem účtu mohou tyto údaje stačit k ověření identity, obejití bezpečnostních kontrol nebo umožnění podvodné činnosti. PII se neomezují na státní identifikační průkazy nebo finanční údaje; mohou zahrnovat i digitální stopy, které umožňují někoho sledovat online.

V moderních programech ochrany soukromí dat a kybernetické bezpečnosti se s PII zachází jako s vysoce citlivými údaji, protože neoprávněný přístup nebo zveřejnění může vést ke krádeži identity, podvodům a porušení regulačních požadavků. E-mailová adresa v CRM, domácí adresa zaměstnance v mzdové agendě, identifikátor prohlížeče spojený s chováním uživatele nebo záznam podpory obsahující historii účtu mohou ve správném kontextu představovat citlivé osobní údaje. Ochrana PII vyžaduje silné kontroly přístupu, šifrování a jasné zásady upravující, jak jsou osobní údaje shromažďovány, ukládány a sdíleny.

Proč by organizace měly věnovat PII pozornost

PII leží na průsečíku soukromí, bezpečnosti, souladu s předpisy a důvěry. Pokud organizace nedokáže chránit údaje, které identifikují její zákazníky, zaměstnance nebo partnery, nejde jen o technickou slabinu. Jde i o problém řízení a souladu s předpisy.

To je obzvlášť důležité v distribuovaných prostředích. Cloudové aplikace, práce na dálku, sdílená zařízení, smluvní pracovníci a dodavatelé třetích stran rozšiřují počet míst, odkud lze k PII přistupovat, kopírovat je nebo je vystavit.

Pokyny Evropského sboru pro ochranu osobních údajů (EPDB) zdůrazňují podobný princip: organizace musí rozumět tomu, jaké osobní údaje zpracovávají, kde jsou uloženy a kam se mohou v síti přesouvat, a kdo k nim má přístup, aby splnily požadavky na odpovědnost podle GDPR. Zní to přímočaře, ale právě zde mnoho firem v praxi selhává.

Ochrana PII má pro vaši firmu také přímou obchodní hodnotu: vaši zákazníci a klienti očekávají, že v praxi prokážete, jak jsou osobní údaje zabezpečeny, zatímco regulační orgány vyžadují zdokumentované kontroly, auditní stopy a ověřitelné prosazování pravidel.

Stejně tak zaměstnanci očekávají odpovědné nakládání s HR a mzdovými údaji a zákazníci očekávají, že sliby týkající se soukromí uvedené v marketingových materiálech a právních oznámeních budou podloženy skutečnými provozními opatřeními.

Celkově silná správa PII podporuje soulad s předpisy, zjednodušuje nákupní proces díky řešení hodnocení rizik dodavatelů a požadavků na due diligence, zlepšuje udržení zákazníků a posiluje důvěryhodnost značky.

Rizika spojená s PII v digitálních prostředích

Bez ohledu na odvětví, ve kterém organizace působí, vycházejí dnes hlavní rizika kolem PII z kombinace rozsahu, roztříštěnosti a slabin v přihlašovacích údajích. Většina organizací používá desítky nebo stovky digitálních služeb a každá z nich vytváří další přístupový bod, odkud mohou být osobní údaje ukládány, zobrazovány, exportovány nebo sdíleny.

Podle zprávy Verizon 2025 DBIR je primární hackerskou metodou u malých a středních podniků i velkých organizací používání odcizených přihlašovacích údajů: ve velkých organizacích 32 % a u malých a středních podniků 33 %. Využívání odcizených přihlašovacích údajů patří už několik let k nejběžnějším způsobům, jak proniknout do organizace, což znovu potvrzuje známé poučení o nutnosti udržovat přísnou kontrolu přístupu k citlivým obchodním údajům, údajům zaměstnanců a zákazníků.

Nedávná zjištění z Data Breach Observatory společnosti Proton ve skutečnosti ukazují, jak často v reálných incidentech dochází k vystavení osobních údajů. Jména a e-mailové adresy se objevují téměř v 9 z 10 úniků informací, což z nich činí nejčastěji kompromitované typy údajů. Kontaktní informace, například telefonní čísla a adresy bydliště, jsou odhaleny v 75 % úniků informací, zatímco hesla se vyskytují ve 47 % incidentů.

Tato čísla organizacím připomínají zásadní skutečnost: i zdánlivě „nízkorizikové“ údaje se mohou stát vysoce rizikovými, když jsou agregovány nebo znovu použity napříč systémy.

Zpráva také ukazuje, jak útočníci kombinují informace, aby zvýšili dopad. Ve 42 % úniků informací jsou společně odhaleny jak jméno osoby, tak její adresa bydliště. Tato kombinace je obzvlášť cenná pro krádež identity a cílené podvody. Vysoce citlivé údaje, jako jsou státem vydané identifikační doklady, zdravotní záznamy a další osobní identifikátory, se mezitím objevují ve 37 % incidentů, přičemž finanční informace jsou odhaleny přibližně v 5 % případů.

Běžné hrozby pro osobní údaje

Nejběžnější příčiny vystavení PII jsou dobře známé, ale to je nečiní méně škodlivými. Patří mezi ně externí útoky, jako jsou phishing, credential stuffing, ransomware a kompromitace firemního e-mailu.

Business email compromise (BEC) je sofistikovaná, vysoce cílená forma kyberkriminality, při níž se útočníci prostřednictvím e-mailu vydávají za vedoucí pracovníky, zaměstnance nebo důvěryhodné dodavatele, aby oběti přiměli k převodu finančních prostředků nebo prozrazení citlivých údajů, což z ní činí jeden z nejsofistikovanějších způsobů zneužití zranitelností systémů.

Je snadné pochopit, jak se osobní zranitelnosti mohou proměnit v útočné plochy organizace. Tyto hrozby obvykle zneužívají slabiny na úrovni jednotlivců, například příliš volně nastavená oprávnění, sdílené přihlašovací údaje, nekonzistentní postupy při ukončování přístupů a používání nástrojů shadow IT k ukládání dat. Každá z těchto hrozeb představuje potenciální vstupní bod, který jsou útočníci dobře schopni odhalit a zneužít.a0

To odpovídá i zprávě DBIR 2025, která zjistila, že lidský faktor se podílel na 60 % úniků informací. Chybám se nelze vyhnout, takže organizace potřebují systémy, které počítají s tím, že lidé budou dělat chyby, a které omezí rozsah škod, když k nim dojde.

Významnou hrozbou pro vystavení údajů PII jsou také ztráta zařízení a nedostatečné protokoly pro vyřazování z provozu. ENISA upozorňuje, že osobní informace jsou často ohroženy, když firmy nedokážou zabezpečit notebooky, záložní média nebo přenosná úložiště. Obzvlášť zranitelné jsou tehdy, když se data přesouvají mimo kontrolovaná prostředí, například na zařízení vlastněná zaměstnanci v rámci režimu bring your own device (BYOD). Před opětovným použitím nebo likvidací byste měli bezpečně vymazat, zničit nebo vyřadit hardware, jako jsou notebooky, záložní disky nebo USB zařízení, protože na těchto zařízeních mohou zůstat zbytková data přístupná neoprávněným stranám.

To je součást rámce GDPR, který od organizací vyžaduje, aby v rámci svých bezpečnostních povinností spravovaly celý životní cyklus osobních údajů, včetně ukládání, přenosu a likvidace. Bez jasných procesů pro sledování zařízení, bezpečné mazání a správu aktiv mohou firmy neúmyslně vytvářet cesty k únikům informací, které je obtížné odhalit a ještě obtížnější napravit, zejména v hybridních pracovních prostředích, kde jsou koncové body široce rozptýleny.

Důsledky vystavení údajů

Když organizace nedokážou PII chránit, důsledky se často rychle stupňují. Jediný únik informací může odhalit tisíce nebo dokonce miliony osobních záznamů, což spustí regulační vyšetřování, finanční sankce a poškození reputace.

Pro organizaci se následky často současně rozšíří do několika oblastí:

  • Reakce na incident
  • Právní posouzení
  • Komunikace se zákazníky
  • Správa dodavatelů
  • Kybernetické pojištění
  • Hlášení regulačním orgánům
  • Nápravná opatření

Náklady se zřídka omezují jen na forenzní analýzu a oznámení. Výzkum Ponemon Institute ukazuje, že incidenty související s interními hrozbami stojí organizace v průměru více než 17 milionů USD ročně, což odráží celý životní cyklus detekce, vyšetřování, omezení dopadů a obnovy.a0

Tato čísla ukazují, že náklady na úniky informací nejsou dány jen samotnou reakcí na incidenty, ale stejnou měrou i provozními výpadky, právními riziky a ztrátou obchodních příležitostí.

Obzvlášť nákladné jsou incidenty způsobené škodlivými interními aktéry, kdy zaměstnanci, dodavatelé nebo partneři záměrně zneužívají oprávněný přístup k systémům nebo datům. Na rozdíl od externích útoků tyto incidenty často zcela obcházejí perimetrovou ochranu, takže se hůře odhalují a po úniku dat způsobují větší škody. Interní hrozby mohou zahrnovat i nedbalé jednání, jako je nesprávné nakládání s přihlašovacími údaji nebo neúmyslné zveřejnění dat, které tvoří významný podíl skutečných úniků informací.

Proto je třeba k ochraně dat jako celku a zejména k zabezpečení PII přistupovat jako k průběžné firemní disciplíně, nikoli jako k reaktivnímu plnění požadavků na soulad s předpisy. Mezi největší hrozby kybernetické bezpečnosti dnes patří phishing, slabá hesla, ransomware a sociální inženýrství — jsou běžné proto, že zneužívají provozní mezery, nejen chyby v softwaru.

Odpovědnost organizací při nakládání s PII

Od organizací, které shromažďují nebo zpracovávají PII, se očekává víc než jen vyhýbání se zjevné nedbalosti. Očekává se od nich, že zavedou jasná pravidla pro shromažďování, přístup k datům, uchovávání, ochranu a reakci.

Právní a regulační povinnosti

Konkrétní právní standard závisí na jurisdikci a odvětví, základní povinnosti jsou však stejné:

  • Jako firma byste měli shromažďovat pouze PII, které potřebujete.
  • Vysvětlete, proč je shromažďujete a k čemu je používáte.
  • Omezte přístup k údajům PII na oprávněné pracovníky.
  • Chraňte PII pomocí technických a organizačních opatření.
  • Pokud dojde ke kompromitaci PII, reagujte odpovídajícím způsobem.

Mezinárodní zákony na ochranu dat včetně rámce GDPR zdůrazňují mapování dat, kontrolu přístupu, minimalizaci a bezpečnou likvidaci jako základní požadavky odpovědné správy dat. To také znamená, že většina podnikových procesů spadá do působnosti směrnic týkajících se PII, protože všechny tak či onak nakládají s potenciálně citlivými informacemi.

I pro malé a středně velké firmy s omezenými zdroji mohou tyto povinnosti rychle narůstat. Mohou potřebovat splnit požadavky GDPR a místní požadavky na ochranu soukromí a zároveň dostát bezpečnostním očekáváním partnerů a zákazníků. Vytvoření jednoduchého a škálovatelného programu ochrany soukromí pomáhá tyto překrývající se požadavky řešit bez zbytečné složitosti.

Proton for Business poskytuje majitelům firem a manažerům správná šifrovaná řešení, nástroje a zdroje, které jim pomáhají orientovat se v těchto překrývajících se požadavcích, a nabízí praktická ochranná opatření, jež posilují kontrolu nad citlivými daty bez zbytečné složitosti.

Transparentnost a odpovědnost

Správa PII závisí také na schopnosti vysvětlit, co se ve vaší organizaci děje. To zahrnuje jasná sdělení o ochraně soukromí, zdokumentovaná pravidla uchovávání, přístupové logy, dohled nad dodavateli a důkazy o tom, že jsou zásady skutečně vynucovány.

Proto je interní odpovědnost důležitá. Každá organizace by měla vědět, kdo odpovídá za rozhodnutí v oblasti soukromí, kdo schvaluje přístup k citlivým datům, kdo posuzuje incidenty a kdo je zodpovědný za odebrání přístupů uživatelům a dodavatelům při ukončení spolupráce. Bez jasně určené odpovědnosti mají tendenci vznikat nadměrná oprávnění a stínové procesy.

Bezpečnostní postupy, které chrání PII

Ochrana PII vyžaduje vícevrstvá opatření, nikoli jediný produkt nebo zásadu. Nejodolnější programy kombinují minimalizaci, šifrování, správu přístupu, školení zaměstnanců, sledování a důslednou reakci na incidenty.

Minimalizace a klasifikace dat

Prvním opatřením je to nejméně atraktivní a zároveň jedno z nejúčinnějších: uchovávat ve vaší organizaci méně citlivých dat. FTC doporučuje firmám evidovat osobní údaje a omezit rozsah toho, co uchovávají. Pokud data nejsou pro obchodní účel nezbytná, neměla by být shromažďována.

Klasifikace tento proces posiluje. Ne všechny údaje PII představují stejné riziko. Mzdové záznamy, finanční údaje zákazníků, zdravotní informace a úložiště přihlašovacích údajů by se neměly posuzovat se stejnými předpoklady jako údaje o marketingových předvolbách. Klasifikace pomáhá organizacím přiřadit opatření odpovídající dopadu.

Šifrování a řízení přístupu

Šifrování by mělo chránit PII jak v klidovém stavu, tak při přenosu. Samotné šifrování však nestačí, pokud je přístup příliš široký nebo jsou přihlašovací údaje slabé. Organizace také potřebují model minimálních oprávnění, pravidelné kontroly přístupu, řízené sdílení přihlašovacích údajů, pravidelnou obměnu přihlašovacích údajů pro citlivé systémy a rychlé odebrání přístupů při změně rolí.

To je obzvlášť důležité, protože moderní úniky informací často začínají platnými přihlašovacími údaji, nikoli průnikem hrubou silou. Pokud se může úspěšně přihlásit nesprávná osoba, šifrování na vrstvě úložiště kompromitaci nezastaví.

Silné ověřování a správné návyky při práci s hesly

Hygiena přihlašovacích údajů zůstává jedním z nejúčinnějších opatření, která má většina organizací k dispozici. Silná a jedinečná hesla s dvoufázovým ověřením (2FA), kontrolami síly hesel a zásadami bezpečného sdílení současně řeší nejběžnější bezpečnostní problémy. Proton Pass for Business, bezpečný správce hesel pro firmy, tento model podporuje díky koncově šifrovanému úložišti hesel, vestavěnému 2FA autentizátoru, kontrolám síly hesel, sledování temného webu a týmovým zásadám, které správcům umožňují ve velkém měřítku prosazovat osvědčené postupy.

Na tom záleží, protože bezpečná výchozí nastavení dlouhodobě fungují lépe než připomínky zásad. Pokud se od zaměstnanců očekává, že si budou složité přihlašovací údaje pamatovat a spravovat je ručně, nevyhnutelně se objeví opakované používání, nezabezpečené sdílení a nebezpečné ukládání. Naproti tomu nástroje jako Proton Pass for Business začleňují bezpečné postupy přímo do každodenních pracovních postupů tím, že automaticky generují silná a jedinečná hesla, ukládají je pomocí koncového šifrování a umožňují bezpečné sdílení, které nevystavuje přihlašovací údaje.a0

Sledování, upozornění a testování

Pokud jde o sledování přístupu k citlivým údajům PII, firmy spoléhají na opatření, jako jsou auditní logy, upozornění na neobvyklou aktivitu, sledování neúspěšných přihlášení a pravidelné kontroly privilegovaného přístupu. Proton Pass for Business tyto postupy podporuje prostřednictvím podrobných logů aktivit, reportingu využití a viditelnosti na základě IP adres, čímž umožňuje důslednější provozní dohled a zároveň zjednodušuje přípravu auditů a vykazování souladu s předpisy.

Opatření by měla být také pravidelně testována. Cvičení typu tabletop, kontroly přístupu, penetrační testy a simulace incidentů pomáhají zajistit, že jsou zásady účinné v reálných situacích, nejen zdokumentované na papíře.

Školení zaměstnanců a kultura na pracovišti

Povědomí o bezpečnosti je stále důležité, protože mnoho incidentů začíná phishingem, krádeží přihlašovacích údajů nebo nebezpečným nakládáním s daty ze strany oprávněných uživatelů. Průvodce kybernetickou bezpečností od Protonu doporučuje opakovatelné zásady, návyky proti phishingu a bezpečnostně uvědomělé postupy namísto jednorázových každoročních připomínek.

Silná bezpečnostní kultura neznamená říkat zaměstnancům, aby byli opatrnější. Znamená to, že bezpečná cesta je tou nejsnazší. To zahrnuje schválené nástroje, jasné eskalační kanály, jednoduché zásady pro sdílení přístupu a praktické školení vycházející ze skutečných situací.

Uchovávání dat, bezpečné mazání, správa dodavatelů a reakce na incidenty

Uchovávání je bezpečnostní problém, nejen problém evidence. Čím déle jsou údaje PII uchovávány, tím do více systémů se dostanou a tím vyšší hodnotu mají pro útočníky. Je to proto, že se osobní údaje v průběhu času duplikují do záloh, analytických platforem, nástrojů třetích stran a zařízení zaměstnanců, čímž se rozšiřuje počet možných přístupových bodů. To zvětšuje plochu útoku a zároveň organizacím ztěžuje tato data kontrolovaným způsobem sledovat, zabezpečit a mazat.

Proto by firmy měly stanovit doby uchovávání a procesy bezpečného mazání jak pro produkční systémy, tak pro zálohy.

Do stejné diskuse patří i správa dodavatelů. Poskytovatelé služeb často přicházejí do styku s mzdovými údaji, analytickými identifikátory, záznamy podpory a ověřovacími údaji. Smlouvy by měly pokrývat očekávání v oblasti ochrany dat a přístup by měl být omezený a kontrolovatelný.

A konečně, každá organizace, která nakládá s PII, potřebuje zdokumentovaný plán reakce na incidenty. Pokyny GDPR k reakci na úniky informací(nové okno) zdůrazňují rychlé oznámení dotčeným podnikům a institucím, je-li to vhodné, spolu s kroky k omezení dopadů a obnově. Rychlost je důležitá, ale stejně důležitá je i příprava.

Jako majitel firmy nebo manažer byste měli mít přísné zásady pro to, jak bezpečně ukládat údaje PII v databázi. To obvykle znamená vícevrstvý přístup zahrnující šifrování dat v klidovém stavu, důslednou správu přihlašovacích údajů, přísné řízení přístupu, auditní logy a pravidelné sledování aktivity databáze.

Jak Proton Pass for Business podporuje ochranu PII

Programy zabezpečení PII jsou úspěšné tehdy, když snižují skutečnou expozici, aniž by zpomalovaly týmy, a když je kybernetická bezpečnost součástí kultury bezpečnosti a soukromí, nikoli až dodatečnou myšlenkou. Právě zde může hrát smysluplnou roli správce hesel pro firmy, zejména proto, že přihlašovací údaje chrání brány do HR systémů, finančních nástrojů, CRM, platforem podpory, vývojářské infrastruktury a cloudového úložiště.

Proton Pass for Business je postaven na několika opatřeních, která přímo souvisejí s ochranou PII. Proton Pass funguje na principu zero-knowledge a koncového šifrování hesel, přístupových klíčů, platebních karet, poznámek a metadat, takže jsou šifrována i citlivá pole, jako jsou uživatelská jména a URL webů. Chrání jej také švýcarské právo na ochranu soukromí a stojí za ním open-source model, který prošel nezávislým auditem.

Z provozního hlediska firemní nabídka přidává centralizovanou správu, auditní logy, kontroly síly hesla, sledování temného webu, bezpečné sdílení trezorů a položek, týmové zásady a podporu SSO a SCIM pro podniková prostředí. Proton Pass for Business podporuje organizace nejen jako osobní úložiště hesel, ale také jako nástroj pro správu přístupu v celé společnosti.

Důsledné postupy zabezpečení přihlašovacích údajů patří k nejlepším způsobům, jak omezit expozici PII. Když týmy mohou generovat a ukládat jedinečné přihlašovací údaje, bezpečně je sdílet s funkcí automatického vyplňování, sledovat slabá nebo opakovaně používaná hesla a při ukončení spolupráce rychle odebrat přístup, snižují pravděpodobnost, že se problém s přihlašovacími údaji změní v incident související se soukromím.

Proton Pass for Business nabízí centrální dohled správců, vynucování zásad, bezpečné sdílení a přehled o změnách a událostech. Proton Pass může také podpořit širší postupy proti phishingu a na ochranu identity. Například aliasy hide-my-email mohou uživatelům pomoci omezit vystavení jejich skutečných e-mailových adres, což může v některých pracovních postupech snížit množství spamu a tlak phishingu.

Pro organizace, které řeší zákaznickou podporu, testovací účty a registrace podle rolí, to může být užitečné jako součást širší strategie hygieny identity.

Žádný správce hesel, včetně Proton Pass, však sám o sobě ochranu PII nevyřeší. Správce hesel nenahradí mapování dat, zásady uchovávání, DLP, zabezpečení koncových bodů ani práci na zajištění souladu s právními předpisy. Může však omezit jednu z nejběžnějších cest ke kompromitaci PII: nekonzistentní nakládání s přihlašovacími údaji napříč lidmi, aplikacemi a týmy.

Často kladené otázky o PII

Co jsou osobně identifikovatelné údaje (PII)?

PII jsou informace, které mohou přímo nebo nepřímo identifikovat osobu. NIST je definuje jako informace, které mohou rozlišit identitu jednotlivce nebo ji vysledovat, a to samostatně nebo v kombinaci s dalšími propojenými údaji. To může zahrnovat jména, státní identifikační doklady, přihlašovací údaje k účtu, finanční detaily, IP adresy, údaje o umístění a další identifikátory v závislosti na kontextu.

V kontextu moderních rámců souladu s předpisy se organizace často ptají, co je PII v programech ochrany soukromí dat. Jednoduše řečeno, PII označuje jakékoli informace, které mohou jednotlivce přímo nebo nepřímo identifikovat, pokud jsou spojeny s dalšími údaji.

Regulační definice se v jednotlivých jurisdikcích také mírně liší. Organizace se například často ptají, co se ve Spojeném království rozumí údaji PII, kde UK GDPR považuje identifikátory, jako jsou IP adresy, údaje o umístění a identifikátory zařízení, za osobní údaje, pokud je lze spojit s jednotlivcem.

Proč je pro firmy důležité chránit PII?

Protože únik PII může vést k podvodům, krádeži identity, zákonným povinnostem, oznámením zákazníkům, poškození pověsti a značným finančním ztrátám. Nedávné údaje o hlášení úniků informací a souvisejících nákladech ukazují, že rozsah incidentů narušujících soukromí a jejich dopad na podnikání jsou značné.

Jak mohou organizace účinněji zabezpečit údaje PII?

Nejúčinnější přístup je vícevrstvý: shromažďovat méně dat, klasifikovat to, co uchováváte, šifrovat je, omezit přístup, zavést silné ověření, školit zaměstnance, monitorovat podezřelou aktivitu, prověřovat dodavatele a udržovat otestovaný plán reakce na incidenty. Pokyny FTC konkrétně zdůrazňují, že je třeba vědět, jaká data máte, kudy proudí a kdo k nim může přistupovat.

Jaká jsou dnes největší rizika spojená s únikem PII?

Mezi největší rizika patří phishing, krádež přihlašovacích údajů, ransomware, zneužití ze strany interních pracovníků, účty s příliš širokými přístupovými oprávněními, nedostatečně zvládnutý offboarding, ztracená zařízení a vystavení rizikům spojeným s třetími stranami. Zpráva Verizon DBIR i analýza úniků informací organizace Privacy Rights Clearinghouse ukazují, že zneužívání přihlašovacích údajů a rizika spojená s poskytovateli služeb zůstávají hlavními faktory moderních incidentů.

Co jsou incidenty spojené s třetími stranami nebo dodavatelským řetězcem v kybernetické bezpečnosti?

K incidentům spojeným s třetími stranami nebo dodavatelským řetězcem dochází tehdy, když narušení bezpečnosti nevznikne ve vašich vlastních systémech, ale prostřednictvím dodavatele, poskytovatele služeb nebo externího partnera, který má přístup k vašim datům nebo infrastruktuře. Moderní firmy se ve velké míře spoléhají na cloudové služby, SaaS platformy a externí nástroje, a proto jsou tyto incidenty stále častější. Pokud je kompromitován dodavatel, který spravuje vaše přihlašovací údaje, analytické nástroje nebo komunikační systémy, mohou útočníci nepřímo získat přístup k datům vaší organizace.

Jakou roli hraje správce hesel při ochraně údajů PII?

Firemní správce hesel pomáhá chránit přístup k systémům, v nichž jsou údaje PII uloženy, tím, že vytváří silné jedinečné přihlašovací údaje, bezpečně je ukládá, umožňuje řízené sdílení a zlepšuje přehled o aktivitách souvisejících s přístupem.

Firemní správci hesel jsou obzvlášť užiteční při omezování opakovaného používání hesel, zabezpečení sdílených účtů a podpoře pracovních postupů při nástupu a odchodu zaměstnanců. Proton Pass for Business přidává koncové šifrování, kontroly síly hesel, auditní logy a centralizované ovládací prvky pro správce k podpoře těchto cílů.