Toda a organização moderna trata informações de identificação pessoal (PII) de pelo menos uma forma, quer se trate de registos de colaboradores, dados de conta de clientes ou credenciais de início de sessão.
À medida que a rede da sua empresa se expande por plataformas na nuvem, dispositivos remotos, prestadores de serviços e ferramentas SaaS, os dados PII circulam por mais sistemas, mais fluxos de trabalho e mais intervenientes. Isto faz da privacidade e da segurança não apenas obrigações legais, mas prioridades operacionais.
Os riscos e as responsabilidades associados aos dados PII não podem ser deixados para segundo plano. Em 2025, a IBM concluiu que o custo médio global de uma violação de dados atingiu 4,4 milhões de dólares(nova janela), mais 10 % do que no ano anterior e o maior aumento desde a pandemia. Os dados de 2025 da Verizon sobre incidentes acrescentam um contexto importante: 60 % dos incidentes envolveram um elemento humano, como práticas fracas de gestão de credenciais, má gestão de acessos e erros por descuido que criam riscos sérios para a empresa.
Por outras palavras, controlos fracos em torno dos dados PII podem rapidamente tornar-se uma questão ao nível do conselho de administração, envolvendo perda de receitas, exposição legal, perda de clientes e danos reputacionais.
Este artigo explica o que significa PII no ambiente empresarial moderno, por que motivo representa um risco concentrado, que responsabilidades recaem sobre as organizações e que práticas reduzem a exposição de forma mais eficaz. Também veremos que ferramentas empresariais as organizações podem utilizar para reforçar o controlo de acesso e a higiene das credenciais, como parte de uma estratégia mais ampla de privacidade e segurança.
O que são os dados PII e porque é que são importantes para as empresas?
Porque é que as organizações se devem preocupar com os dados PII
Os riscos associados aos dados PII em ambientes digitais
As responsabilidades organizacionais no tratamento de dados PII
Práticas de segurança que protegem os dados PII
Como o Proton Pass for Business apoia a proteção de dados PII
O que são os dados PII e porque é que são importantes para as empresas?
As informações de identificação pessoal, ou PII, são quaisquer informações que possam identificar uma pessoa específica, de forma direta ou indireta. Isto inclui identificadores óbvios, como nomes completos, números de passaporte, números de segurança social e dados de cartões de pagamento.
Segundo o National Institute of Standards and Technology (NIST), os dados PII podem ser definidos, de forma ampla, como informações capazes de distinguir ou rastrear a identidade de uma pessoa, por si só ou quando associadas a outros dados. A definição do NIST também inclui explicitamente informações que estejam “ligadas ou possam ser ligadas” a uma pessoa. Isto é importante nos sistemas digitais modernos, onde a identidade é muitas vezes inferida a partir de conjuntos de dados, em vez de estar exposta num único campo.
De forma menos óbvia, os dados PII também incluem informações que se tornam identificadoras consoante o contexto, como IDs de dispositivos, endereços IP, histórico de localização, credenciais de início de sessão ou combinações de dados aparentemente banais. O nome de solteira da mãe ou o endereço de casa podem parecer inofensivos isoladamente, mas, quando combinados com uma data de nascimento ou um número de conta, estes dados podem ser suficientes para verificar a identidade, contornar controlos de segurança ou permitir atividades fraudulentas. Os dados PII não se limitam a documentos de identificação oficiais ou a dados financeiros; também podem incluir as pegadas digitais que tornam possível rastrear alguém online.
Nos programas modernos de privacidade de dados e cibersegurança, os dados PII são tratados como altamente sensíveis, porque o acesso ou a divulgação não autorizados podem levar a roubo de identidade, fraude e infrações regulamentares. Um endereço de e-mail num CRM, o endereço de casa de um colaborador na folha salarial, um identificador de navegador associado ao comportamento do utilizador ou uma nota de apoio ao cliente que inclua o histórico da conta podem, todos eles, qualificar-se como dados pessoais sensíveis no contexto certo. Proteger os dados PII exige controlos de acesso robustos, encriptação e políticas claras que regulem a forma como as informações pessoais são recolhidas, armazenadas e partilhadas.
Porque é que as organizações se devem preocupar com os dados PII
Os dados PII situam-se na interseção entre privacidade, segurança, conformidade e confiança. Se uma organização não consegue proteger os dados que identificam os seus clientes, colaboradores ou parceiros, não está apenas perante uma fragilidade técnica. Está perante um problema de governação e conformidade.
Isto é especialmente relevante em ambientes distribuídos. As aplicações na nuvem, o trabalho remoto, os dispositivos partilhados, os prestadores de serviços e os fornecedores terceiros aumentam o número de pontos a partir dos quais os dados PII podem ser acedidos, duplicados ou expostos.
As orientações do European Data Protection Board (EPDB) sublinham um princípio semelhante: as organizações têm de compreender que dados pessoais tratam, onde estão armazenados e para onde podem circular dentro da rede, e quem lhes pode aceder, para cumprir os requisitos de responsabilização previstos no GDPR. Isto parece simples, mas, na prática, é precisamente aqui que muitas empresas falham.
A proteção de dados PII também tem valor comercial direto para a sua empresa: os seus clientes esperam que demonstre como os dados pessoais são protegidos na prática, enquanto os reguladores exigem controlos documentados, registos de auditoria e aplicação verificável.
Da mesma forma, os colaboradores esperam um tratamento responsável dos dados de RH e de processamento salarial, e os clientes esperam que as promessas de privacidade feitas no marketing e nos avisos legais sejam sustentadas por salvaguardas operacionais reais.
No geral, uma governação sólida dos dados PII apoia a conformidade, simplifica os processos de aquisição ao responder às avaliações de risco dos fornecedores e aos requisitos de diligência devida, melhora a retenção de clientes e reforça a credibilidade da marca.
Os riscos associados aos dados PII em ambientes digitais
Independentemente do setor em que a sua organização opera, os principais riscos em torno dos dados PII decorrem agora de uma combinação de escala, dispersão e fragilidades das credenciais. A maioria das organizações utiliza dezenas ou centenas de serviços digitais, e cada um deles cria mais um ponto de acesso a partir do qual os dados pessoais podem ser armazenados, visualizados, exportados ou partilhados.
Segundo o DBIR 2025 da Verizon, a principal modalidade de ataque tanto para PME como para grandes organizações é a utilização de credenciais roubadas, com 32 % nas grandes organizações e 33 % nas PME. O recurso a credenciais roubadas tem sido uma das formas mais comuns de entrar numa organização nos últimos anos, o que reforça uma lição já conhecida sobre a importância de manter um controlo de acesso rigoroso a dados sensíveis da empresa, dos colaboradores e dos clientes.
Na verdade, conclusões recentes do Data Breach Observatory da Proton destacam até que ponto os dados pessoais são expostos de forma consistente em incidentes do mundo real. Nomes e endereços de e-mail aparecem em quase 9 de cada 10 incidentes, tornando-se os tipos de dados mais frequentemente comprometidos. As informações de contacto, como números de telefone e endereços físicos, são expostas em 75 % dos incidentes, enquanto as palavras-passe estão envolvidas em 47 % dos incidentes.
Estes números reforçam uma realidade crítica para as organizações, mostrando que até dados aparentemente “de baixo risco” podem tornar-se de alto risco quando agregados ou reutilizados entre sistemas.
O relatório também ilustra como os atacantes combinam informações para aumentar o impacto. Em 42 % dos incidentes, o nome de uma pessoa e o seu endereço físico são expostos em conjunto. Esta combinação é particularmente valiosa para roubo de identidade e burlas direcionadas. Entretanto, dados altamente sensíveis, como documentos de identificação emitidos pelo Estado, registos de saúde e outros identificadores pessoais, aparecem em 37 % dos incidentes, enquanto as informações financeiras são expostas cerca de 5 % das vezes.
Ameaças comuns aos dados pessoais
As causas mais comuns da exposição de dados PII são bem conhecidas, mas isso não as torna menos prejudiciais. Incluem ataques externos como phishing, credential stuffing, ransomware e business email compromise.
Business email compromise (BEC) é um cibercrime sofisticado e altamente direcionado em que os atacantes se fazem passar por executivos, colaboradores ou fornecedores de confiança por e-mail para induzir as vítimas a transferir fundos ou revelar dados sensíveis, tornando-o uma das formas mais sofisticadas de explorar vulnerabilidades dos sistemas.
É fácil perceber como vulnerabilidades individuais podem transformar-se em superfícies de ataque organizacionais. Estas ameaças exploram normalmente fragilidades ao nível individual, como permissões demasiado amplas, credenciais partilhadas, práticas inconsistentes de offboarding e a utilização de ferramentas de shadow IT para armazenamento de dados. Cada uma destas ameaças representa um potencial ponto de entrada que agentes maliciosos conseguem identificar e explorar com facilidade.
Isto é coerente com o DBIR 2025, que concluiu que o fator humano esteve envolvido em 60 % dos incidentes. Os erros são inevitáveis, pelo que as organizações precisam de sistemas que partam do princípio de que as pessoas vão cometer erros e que reduzam o raio de impacto quando isso acontecer.
Da mesma forma, a perda de dispositivos e protocolos deficientes de desativação aumentam significativamente o risco de exposição de dados PII. A ENISA observa que as informações pessoais são frequentemente colocadas em risco quando as empresas não protegem portáteis, suportes de cópia de segurança ou dispositivos de armazenamento portáteis. Os dados ficam especialmente vulneráveis quando circulam fora de ambientes controlados, como em dispositivos pertencentes aos colaboradores no âmbito de um regime bring your own device (BYOD). Deve apagar de forma segura, destruir ou retirar de serviço hardware como portáteis, unidades de cópia de segurança ou dispositivos USB antes da reutilização ou eliminação, porque estes dispositivos podem deixar dados residuais acessíveis a entidades não autorizadas.
Isto faz parte do enquadramento do GDPR, que exige que as organizações gerem todo o ciclo de vida dos dados pessoais, incluindo armazenamento, transferência e eliminação, como parte das suas obrigações de segurança. Sem processos claros para o rastreio de dispositivos, a eliminação segura e a gestão de ativos, as empresas podem criar inadvertidamente vias que conduzem a violações de dados difíceis de detetar e ainda mais difíceis de corrigir, particularmente em ambientes de trabalho híbridos em que os pontos finais estão amplamente distribuídos.
Consequências da exposição
Quando as organizações não conseguem proteger os dados PII, as consequências muitas vezes agravam-se rapidamente. Uma única violação de dados pode expor milhares, ou até milhões, de registos pessoais, desencadeando investigações regulatórias, sanções financeiras e danos reputacionais.
Para a organização, o impacto costuma alastrar-se por várias funções ao mesmo tempo:
- Resposta a incidentes
- Revisão jurídica
- Comunicações com clientes
- Gestão de fornecedores
- Ciberseguro
- Notificação às entidades reguladoras
- Remediação
Os custos raramente se limitam a análises forenses e notificações. A investigação do Ponemon Institute mostra que os incidentes relacionados com ameaças internas custam às organizações, em média, mais de 17 milhões de dólares por ano, refletindo todo o ciclo de vida de deteção, investigação, contenção e recuperação.
Estes números mostram que os custos dos incidentes são impulsionados tanto pela disrupção operacional, pela exposição legal e pela perda de negócio como pela própria resposta ao incidente.
Os incidentes internos maliciosos, em que colaboradores, prestadores de serviços ou parceiros utilizam indevidamente, de forma intencional, o acesso legítimo a sistemas ou dados, são particularmente dispendiosos. Ao contrário dos ataques externos, estes incidentes contornam muitas vezes por completo as defesas perimetrais, tornando-se mais difíceis de detetar e mais prejudiciais quando os dados são expostos. As ameaças internas também podem incluir ações negligentes, como o tratamento inadequado de credenciais ou a exposição não intencional de dados, que representam uma parte significativa dos incidentes reais.
É por isso que a proteção de dados como um todo, e a segurança das PII em particular, têm de ser tratadas como uma disciplina empresarial contínua, e não como um exercício reativo de conformidade. As maiores ameaças à cibersegurança da atualidade — phishing, palavras-passe fracas, ransomware e engenharia social — são comuns porque exploram falhas operacionais, e não apenas erros de software.
As responsabilidades organizacionais no tratamento de PII
Espera-se que as organizações que recolhem ou tratam PII façam mais do que apenas evitar negligência óbvia. Espera-se que definam regras claras para a recolha, o acesso, a retenção, a proteção e a resposta.
Obrigações legais e regulamentares
A norma legal exata depende da jurisdição e do setor, mas as responsabilidades fundamentais são, em geral, as mesmas:
- Enquanto empresa, recolha apenas os dados PII de que necessita.
- Explique por que motivo os recolhe e por que motivo os utiliza.
- Restrinja o acesso aos dados PII ao pessoal autorizado.
- Proteja os dados PII com salvaguardas técnicas e organizacionais.
- Responda adequadamente se os dados PII forem comprometidos.
As leis internacionais de proteção de dados, incluindo o quadro do GDPR, enfatizam o mapeamento de dados, a revisão de acessos, a minimização e a eliminação segura como requisitos fundamentais para uma governação responsável dos dados. Isto também significa que a maioria dos processos empresariais está abrangida pelos regulamentos relativos às PII, uma vez que todos eles lidam, de uma forma ou de outra, com informações potencialmente sensíveis.
Mesmo para pequenas e médias empresas com recursos limitados, estas obrigações podem acumular-se rapidamente. Pode ser necessário cumprir o GDPR e os requisitos locais de privacidade, além de corresponder às expectativas de segurança de parceiros e clientes. Criar um programa de privacidade simples e escalável ajuda a responder a estas exigências sobrepostas sem acrescentar complexidade desnecessária.
O Proton for Business dá aos proprietários e gestores de empresas as soluções encriptadas, ferramentas e recursos certos para os ajudar a lidar com estes requisitos sobrepostos, oferecendo salvaguardas práticas que reforçam o controlo sobre dados sensíveis sem acrescentar complexidade desnecessária.
Transparência e responsabilização
A governação das PII também depende da capacidade de explicar o que está a acontecer dentro da sua organização. Isso inclui avisos de privacidade claros, regras de retenção documentadas, registos de acesso, supervisão de fornecedores e provas de que as políticas são efetivamente aplicadas.
Por isso, a responsabilização interna é importante. Todas as organizações devem saber quem é responsável pelas decisões de privacidade, quem aprova o acesso a dados sensíveis, quem analisa incidentes e quem é responsável pela desvinculação de utilizadores e fornecedores. Sem responsabilidades atribuídas, a proliferação gradual de acessos e os processos paralelos tendem a preencher essa lacuna.
Práticas de segurança que protegem as PII
Proteger as PII exige controlos em camadas, e não um único produto ou uma única política. Os programas mais resilientes combinam minimização, encriptação, governação de acessos, formação de colaboradores, monitorização e uma resposta disciplinada a incidentes.
Minimização e classificação de dados
O primeiro controlo é o menos glamoroso e um dos mais eficazes: manter menos dados sensíveis na sua organização. A FTC aconselha as empresas a inventariar as informações pessoais e a reduzir aquilo que retêm. Se os dados não forem necessários para a finalidade empresarial, não devem ser recolhidos.
A classificação reforça esse processo. Nem todas as PII apresentam o mesmo risco. Registos salariais, detalhes financeiros de clientes, informações de saúde e repositórios de credenciais não devem ser tratados com os mesmos pressupostos que os dados de preferências de marketing. A classificação ajuda as organizações a adequar os controlos ao impacto.
Encriptação e controlo de acesso
A encriptação deve proteger as PII tanto em repouso como em trânsito. Mas a encriptação, por si só, não basta se o acesso for demasiado amplo ou se as credenciais forem fracas. As organizações também precisam de um modelo de privilégio mínimo, revisões regulares de acesso, partilha controlada de credenciais, rotação de credenciais para sistemas sensíveis e revogação rápida quando há mudanças de cargo.
Isto é especialmente importante porque os incidentes modernos começam frequentemente com credenciais válidas, e não com intrusões por força bruta. Se a pessoa errada conseguir iniciar sessão com sucesso, a encriptação na camada de armazenamento não impedirá o comprometimento.
Autenticação forte e bons hábitos de palavra-passe
A boa higiene das credenciais continua a ser um dos controlos com maior impacto ao alcance da maioria das organizações. Palavras-passe fortes e únicas com autenticação de dois fatores (2FA), monitorização da integridade da palavra-passe e políticas de partilha segura abordam simultaneamente os problemas de segurança mais comuns. O Proton Pass for Business, um gestor de palavras-passe empresarial seguro, suporta esse modelo com armazenamento de palavras-passe encriptado de ponto a ponto, um autenticador 2FA integrado, verificações da integridade da palavra-passe, Monitorização da Dark Web e políticas de equipa que permitem aos administradores impor boas práticas à escala.
Isto importa porque as predefinições seguras superam de forma consistente os lembretes de políticas. Se os colaboradores tiverem de se lembrar de credenciais complexas e geri-las manualmente, a reutilização, a partilha insegura e o armazenamento inseguro acabam inevitavelmente por surgir. Em contrapartida, ferramentas como o Proton Pass for Business incorporam práticas seguras diretamente nos fluxos de trabalho diários, gerando automaticamente palavras-passe fortes e únicas, armazenando-as com encriptação ponto a ponto e permitindo partilha segura sem expor as credenciais.a0
Monitorização, alertas e testes
No que diz respeito à monitorização do acesso a dados PII sensíveis, as empresas recorrem a controlos como registos de auditoria, alertas de atividade invulgar, acompanhamento de tentativas de início de sessão falhadas e revisões regulares de acessos privilegiados. O Proton Pass for Business suporta estas práticas com registos de atividade detalhados, relatórios de utilização e visibilidade baseada em IP, permitindo uma supervisão operacional mais robusta ao mesmo tempo que simplifica a preparação de auditorias e os relatórios de conformidade.
Os controlos também devem ser testados regularmente. Exercícios de mesa, revisões de acesso, testes de penetração e simulações de incidentes ajudam a garantir que as suas políticas são eficazes em cenários reais e não apenas documentadas no papel.
Formação de colaboradores e cultura no local de trabalho
A consciencialização para a segurança continua a ser importante porque muitos incidentes começam com phishing, roubo de credenciais ou tratamento inseguro de dados por utilizadores legítimos. O guia de cibersegurança da Proton defende políticas repetíveis, hábitos anti-phishing e rotinas orientadas para a segurança, em vez de lembretes anuais pontuais.
Uma cultura de segurança sólida não significa dizer aos colaboradores para terem mais cuidado. Significa tornar o caminho seguro o mais fácil. Isso inclui ferramentas aprovadas, canais claros de escalamento, políticas simples para partilha de acessos e formação prática baseada em cenários reais.
Retenção de dados, eliminação segura, gestão de fornecedores e resposta a incidentes
A retenção é um problema de segurança, não apenas um problema de registos. Quanto mais tempo as PII forem mantidas, mais sistemas alcançam e mais valor oferecem aos atacantes. Isto acontece porque, ao longo do tempo, os dados pessoais serão duplicados em cópias de segurança, plataformas de análise, ferramentas de terceiros e dispositivos de colaboradores, aumentando o número de potenciais pontos de acesso. Isto aumenta a superfície de ataque e também torna mais difícil para as organizações localizar, proteger e eliminar esses dados de forma controlada.
Por isso, as empresas devem definir períodos de retenção e processos de eliminação segura tanto para sistemas ativos como para cópias de segurança.
A gestão de fornecedores faz parte da mesma conversa. Os prestadores de serviços lidam frequentemente com dados salariais, identificadores analíticos, registos de apoio ao cliente e dados de autenticação. Os contratos devem abranger as expectativas de proteção de dados, e o acesso deve ser limitado e passível de revisão.
Por fim, todas as organizações que lidam com PII precisam de um plano documentado de resposta a incidentes. As orientações de resposta a incidentes(nova janela) do GDPR sublinham a notificação rápida às empresas e instituições afetadas, quando apropriado, juntamente com medidas de contenção e recuperação. A rapidez importa, mas a preparação também.
Como proprietário ou gestor de uma empresa, deve ter políticas rigorosas sobre como armazenar dados PII numa base de dados de forma segura. Isto envolve normalmente uma abordagem em camadas que inclui encriptação em repouso, gestão robusta de credenciais, controlos de acesso rigorosos, registos de auditoria e monitorização regular da atividade da base de dados.
Como o Proton Pass for Business apoia a proteção das PII
Os programas de segurança de PII têm êxito quando reduzem a exposição real sem abrandar as equipas, quando a cibersegurança faz parte da sua cultura de segurança e privacidade e não algo pensado apenas depois. É aí que um gestor de palavras-passe empresarial pode desempenhar um papel relevante, especialmente porque as credenciais protegem as portas de entrada para sistemas de RH, ferramentas financeiras, CRMs, plataformas de apoio ao cliente, infraestrutura de desenvolvimento e armazenamento na nuvem.
O Proton Pass for Business foi concebido com vários controlos diretamente relevantes para a proteção das PII. O Proton Pass assenta num modelo de conhecimento zero e encriptação ponto a ponto para palavras-passe, chaves de acesso, cartões de crédito, notas e metadados, pelo que até campos sensíveis como nomes de utilizador e URLs de sítios web são encriptados. Também é protegido pela legislação suíça de privacidade e por um modelo de código aberto auditado de forma independente.
Do ponto de vista operacional, a oferta empresarial acrescenta administração centralizada, registos de auditoria, verificações da integridade da palavra-passe, Monitorização da Dark Web, partilha segura de cofres e itens, políticas de equipa e suporte para SSO e SCIM em ambientes empresariais. O Proton Pass for Business apoia as organizações não apenas com armazenamento pessoal de palavras-passe, mas com governação de acessos à escala da empresa.
As práticas robustas de segurança das credenciais são uma das melhores formas de reduzir a exposição das PII. Quando as equipas conseguem gerar e armazenar credenciais únicas, partilhá-las de forma segura com preenchimento automático, monitorizar palavras-passe fracas ou reutilizadas e revogar rapidamente o acesso durante o processo de desvinculação, reduzem a probabilidade de um problema de credenciais se transformar num incidente de privacidade.
O Proton Pass for Business oferece supervisão administrativa centralizada, aplicação de políticas, partilha segura e visibilidade sobre alterações e eventos. O Proton Pass também pode apoiar práticas mais amplas de proteção contra phishing e proteção da identidade. Por exemplo, os alias hide-my-email podem ajudar os utilizadores a limitar a exposição dos seus endereços de e-mail reais, o que pode reduzir o spam e a pressão do phishing em alguns fluxos de trabalho.
Para organizações que lidam com apoio ao cliente, contas de teste e registos baseados em cargos, isso pode ser útil como parte de uma estratégia mais alargada de higiene da identidade.
No entanto, nenhum gestor de palavras-passe, incluindo o Proton Pass, resolve por si só a proteção das PII. Um gestor de palavras-passe não substitui o mapeamento de dados, as políticas de retenção, o DLP, a segurança de pontos finais nem o trabalho de conformidade legal. Mas pode reduzir uma das vias mais comuns para o comprometimento de PII: o tratamento inconsistente de credenciais entre pessoas, aplicações e equipas.
Perguntas frequentes sobre PII
O que são dados pessoais identificáveis (PII)?
A PII é informação que pode identificar uma pessoa direta ou indiretamente. O NIST define-a como informação que pode distinguir ou rastrear a identidade de uma pessoa, por si só ou quando combinada com outros dados ligados. Isso pode incluir nomes, documentos de identificação oficiais, credenciais de conta, detalhes financeiros, endereços IP, dados de localização e outros identificadores, consoante o contexto.
No contexto das estruturas modernas de conformidade, as organizações perguntam frequentemente o que é PII em programas de privacidade de dados. Em termos simples, PII refere-se a qualquer informação que possa identificar uma pessoa direta ou indiretamente quando combinada com outros dados.
As definições regulamentares também variam ligeiramente entre jurisdições. Por exemplo, as organizações perguntam frequentemente o que são dados PII no Reino Unido, onde o UK GDPR considera identificadores como endereços IP, dados de localização e identificadores de dispositivo como dados pessoais se puderem ser ligados a uma pessoa.
Por que razão é importante para as empresas proteger a PII?
Porque a exposição de PII pode desencadear fraude, roubo de identidade, obrigações legais, notificações aos clientes, danos reputacionais e perdas financeiras avultadas. Dados recentes sobre comunicação de incidentes e custos mostram que a dimensão e o impacto empresarial dos incidentes de privacidade são significativos.
Como podem as organizações proteger os dados PII de forma mais eficaz?
A abordagem mais robusta é em várias camadas: recolher menos dados, classificar os dados que mantém, encriptá-los, restringir o acesso, impor autenticação forte, formar os colaboradores, monitorizar atividades suspeitas, rever fornecedores e manter um plano de resposta a incidentes testado. As orientações da FTC sublinham especificamente a importância de saber que dados tem, por onde circulam e quem lhes pode aceder.
Quais são hoje os maiores riscos da exposição de PII?
Os maiores riscos incluem phishing, roubo de credenciais, ransomware, uso indevido interno, contas com acesso excessivo, processos de saída deficientes, dispositivos perdidos e exposição através de terceiros. Os relatórios DBIR da Verizon e a análise de incidentes da Privacy Rights Clearinghouse mostram ambos que o abuso de credenciais e o risco associado a prestadores de serviços continuam a ser fatores importantes nos incidentes modernos.
O que são incidentes de terceiros ou da cadeia de fornecimento na cibersegurança?
Os incidentes de terceiros ou da cadeia de fornecimento ocorrem quando uma violação de segurança não tem origem nos seus próprios sistemas, mas através de um fornecedor, prestador de serviços ou parceiro externo que tenha acesso aos seus dados ou infraestrutura. As empresas modernas dependem fortemente de serviços na nuvem, plataformas SaaS e ferramentas externas, pelo que estes incidentes são cada vez mais comuns. Se um fornecedor que gere as suas credenciais, análises ou sistemas de comunicação for comprometido, os atacantes podem obter acesso indireto aos dados da sua organização.
Que papel desempenha um gestor de palavras-passe na proteção de dados PII?
Um gestor de palavras-passe empresarial ajuda a proteger o acesso aos sistemas onde a PII é armazenada, gerando credenciais fortes e únicas, armazenando-as em segurança, permitindo a partilha controlada e melhorando a visibilidade sobre a atividade de acesso.
Os gestores de palavras-passe empresariais são especialmente úteis para reduzir a reutilização de palavras-passe, proteger contas partilhadas e apoiar fluxos de integração e saída. O Proton Pass for Business acrescenta encriptação ponto a ponto, verificações de integridade da palavra-passe, registos de auditoria e controlos administrativos centralizados para apoiar esses objetivos.
