PII vs. PHI vs. PCI
Vos clients vous font confiance pour leur fournir les produits et services dont ils ont besoin pour leur entreprise. Souvent, cela signifie qu'ils vous confient leurs informations personnelles afin que vous puissiez recevoir des paiements, fournir des solutions ou les aider d'autres façons.
Que votre organisation traite des cartes de paiement, dispense des soins de santé ou propose tout autre service, la protection des informations clients doit être votre priorité absolue. En fonction de votre service et de votre secteur, vous collecterez différents types de données pour diverses utilisations. Chaque type de données est doté de son propre niveau de protection.
La première étape pour protéger les données des clients consiste à comprendre les types de données que ces derniers partagent avec vous. À partir de là, vous pouvez en apprendre davantage sur les directives et lois en vigueur pour vous aider à assurer la sécurité des clients et à tirer le meilleur parti de leurs informations, tout en permettant à votre organisation à continuer de prospérer.
Aperçu des informations protégées
Les données personnelles d'identification (PII), les données personnelles de santé (PHI) et celles de carte de paiement (PCI) sont différentes catégories d'informations que les organisations peuvent utiliser pour identifier les individus et leur fournir un service. Les PII, PHI et PCI relèvent toutes de la catégorie de gouvernance des informations. La gouvernance est définie comme les réglementations de sécurité que les organisations doivent respecter pour protéger les informations sensibles des clients et rester transparentes quant à leur utilisation.
Votre entreprise ou organisation recueille probablement et accède quotidiennement à des informations sur les clients. Que les clients utilisent leurs cartes de crédit pour acheter vos produits, que les patients reçoivent un traitement dans vos établissements médicaux ou que des personnes partagent leurs informations personnelles avec vous à des fins commerciales, ils vous font confiance pour les protéger aussi efficacement que possible.
En échange, vous bénéficiez de leurs données : leurs intérêts, leurs données démographiques et d'autres informations non identifiantes que vous pourriez utiliser pour la recherche et le marketing. La collecte des données clients aide aussi votre organisation à fonctionner plus efficacement et à identifier vos coûts. La gouvernance des informations vous aide à capitaliser sur la valeur inhérente des informations personnelles en minimisant les risques et en optimisant les données clients pour atteindre vos objectifs.
Les PII, PHI et PCI ont chacune leur propre ensemble de normes de conformité, qui permettent aux organisations de tirer le meilleur parti des données de leurs clients tout en les protégeant des cybermenaces. Ces normes englobent les mesures de sécurité et pratiques du secteur tout en aidant les organisations à respecter les limites légales pour contrôler le partage d'informations et éviter les risques associés.
Secteur financier et PCI
Le Payment Card Industry Data Security Standard (PCI DSS) est une norme mondiale de sécurité des données utilisée par les marques de cartes de paiement du monde entier pour traiter, stocker ou transmettre les données des titulaires de carte en toute sécurité. La norme PCI DSS est incluse dans les protocoles de sécurité de toutes les cartes de crédit pour protéger les titulaires de carte contre la fraude et le vol d'identité.
Pourquoi PCI DSS ?
Les cartes de crédit et de débit font partie des méthodes de paiement les plus courantes. Lorsque les clients vous paient pour un produit ou service, ils s'attendent à être protégés. Cependant, des vulnérabilités peuvent exister n'importe où dans le processus de traitement de la carte, notamment aux niveaux suivants :
- Dispositifs de point de vente
- Périphériques personnels comme les ordinateurs et téléphones portables
- Connexions Internet
- Sites Web ou applications d'achat en ligne
- Stockage papier
- Transmission de données à un service tiers avec lequel vous avez établi un partenariat
La norme PCI DSS protège les données des titulaires de carte par le biais d'exigences techniques et opérationnelles s'appliquant à toutes les personnes et entreprises impliquées dans les transactions par carte de paiement. Les normes garantissent que toutes les entités concernées protègent le titulaire de la carte, y compris les commerçants, les sociétés de traitement de paiements, les émetteurs de cartes, les fournisseurs de services par carte, et toutes les autres entités recevant, traitant, stockant ou partageant des informations sur les titulaires de carte.
En tant qu'entreprise conforme à la norme PCI DSS, vous pouvez protéger les données des titulaires de carte de vos clients en empêchant les violations de données, ce qui peut également vous aider à améliorer la réputation de votre marque et à gagner plus de clients.
Comment la norme PCI DSS sécurise-t-elle les informations ?
PCI DSS protège toutes les données de compte de carte de paiement fournies en personne ou sur Internet, notamment :
- Le numéro de compte principal qui se trouve généralement au recto de la carte
- Le code de sécurité de la carte
- Les « données de suivi complet » stockées dans la puce ou la bande magnétique de la carte
- Le numéro d'identification personnel (PIN) du titulaire de la carte
- Le nom du titulaire de la carte
- La date d'expiration de la carte
Voici quelques-unes des principales exigences pour les organisations conformes à la norme PCI DSS :
- Installation et gestion d'un pare-feu
- Mise en œuvre d'une protection sécurisée par mot de passe
- Protection des données stockées des titulaires de carte
- Chiffrement de la transmission de données de titulaires de carte entre les parties
- Mise à jour régulière des programmes antivirus
- Gestion de systèmes et d'applications sécurisés
- Restriction de l'accès aux données des titulaires de carte aux seules entreprises sécurisées et conformes ayant besoin de ces informations
- Identifiants uniques fournis aux personnes ayant accès aux données
- Restriction de l'accès physique aux données des titulaires de carte
- Surveillance des personnes accédant aux ressources réseau
- Tests réguliers des systèmes de sécurité
- Création d'une règle écrite de sécurité des informations pour l'ensemble du personnel
Ces exigences garantissent la protection lors des transactions directes de carte à système et du flux d'informations qui en résulte vers différentes parties sur Internet.
Afin d'assurer une protection maximale, les sociétés émettrices de cartes de crédit et leurs entités tierces doivent faire l'objet d'une évaluation formelle annuelle des risques, afin d'identifier les potentielles menaces et les vulnérabilités des informations des titulaires de carte. Les évaluations des risques permettent à votre organisation de rester à jour en matière de sécurité des données des titulaires de carte, afin que vous puissiez continuer à protéger vos clients dans un monde en constante évolution.
Si votre organisation fonctionne sous PCI DSS, vous devez également gérer les prestataires de services externes avec lesquels vous partagez des informations sur les titulaires de carte. Ces prestataires doivent reconnaître leur responsabilité quant à la protection des données des titulaires de carte, et vous devez surveiller chaque année leur conformité aux normes de sécurité pour vous assurer qu'ils offrent à vos clients une expérience de paiement par carte sécurisée.
Conformité pour le domaine de la santé et PHI
Les données de santé protégées, ou PHI, sont des informations liées à la santé, créées ou reçues par toute entité couverte par les lois sur la protection de la confidentialité en matière de santé. Les PHI désignent toutes les données, y compris les informations démographiques, relatives :
- À la santé physique ou mentale passée, présente ou future d'une personne
- Aux soins de santé qu'une personne reçoit
- Aux paiements des soins de santé d'une personne
- Aux informations connexes pouvant être utilisées pour identifier la personne, comme son nom, son adresse, sa date de naissance et son numéro de sécurité sociale
Pourquoi protéger les PHI ?
Les organismes de santé sont tenus de protéger les PHI, qu'elles soient incluses dans des documents écrits ou dans des conversations orales entre des patients et prestataires de santé, ou entre des prestataires de santé et d'autres entités avec lesquelles ils travaillent. Les données sur la santé des personnes vous permettant de fournir aux individus les meilleurs soins possibles, il est essentiel de conserver ces informations de manière organisée et sécurisée.
La gouvernance des informations relatives aux soins de santé garantit également que si vous devez transmettre les informations de santé d'un patient à des tiers, comme des sociétés de facturation, des avocats ou des comptables, elles resteront sécurisées tout au long de la transmission et ne seront transmises qu'à des tiers qui respecteront les mêmes normes de sécurité.
La loi HIPAA (Health Insurance Portability and Accountability Act) est une loi commune couvrant les « données personnelles de santé permettant l'identification » de la plupart des personnes, stockées ou transmises par de nombreux organismes de santé. Au sein du système de santé, les entités devant respecter les réglementations HIPAA pour garantir la sécurité des données des patients sont les suivantes :
- Les régimes de santé
- La plupart des prestataires de santé exerçant par voie électronique
- Les centres d'information des services de santé où le patient doit autoriser la divulgation de toutes les données incluses dans les 18 identificateurs HIPAA
Comment la protection des données PHI permet-elle de sécuriser les informations ?
Si l'un des types d'informations suivants, reconnu comme l'un des 18 identificateurs HIPAA, apparaît dans un document écrit ou une conversation orale liée aux soins de santé d'une personne, ces informations ne peuvent être divulguées au public sans l'autorisation du patient :
- Nom du patient
- Informations de localisation géographique comme l'adresse, la ville, le quartier et le code postal
- Dates, à l'exclusion d'une année quelconque, se rapportant directement à une personne, comme sa date de naissance, d'admission, de sortie et de décès
- Numéros de téléphone
- Numéros de fax
- Adresses e-mail
- Numéro de sécurité sociale
- Numéros de dossier médical
- Numéros des bénéficiaires du régime de santé
- Numéros de compte
- Numéros de licence
- Numéros d'identification de véhicules
- Numéros d'identification des périphériques
- URL
- Adresses IP
- Identificateurs biométriques comme les empreintes digitales
- Photographies de visage entier
- Tout autre numéro, code ou caractéristique d'identification unique qui pourrait être utilisé pour identifier une personne, comme les numéros de passeport
Les réglementations HIPAA sont essentielles, car elles fournissent une base de référence pour la sécurité des données affectant directement la qualité des soins. Les PHI protégées par la loi HIPAA permettent aux personnes de recevoir les soins de santé dont elles ont besoin sans interférence provenant de failles de sécurité au niveau individuel ou organisationnel.
Conformité PII pour chaque secteur
Une PII est une information permettant d'identifier directement une personne, comme son nom, adresse, numéro de sécurité sociale, numéro de téléphone, adresse e-mail, ou tout autre numéro ou code d'identification. Les PII sont également des informations qu'une entité peut utiliser pour identifier des individus conjointement à d'autres éléments de données, comme le sexe, la race, la date de naissance et l'emplacement géographique. Toute coordonnée d'une personne pouvant être utilisée pour la trouver physiquement ou en ligne est également une PII.
Les informations qui ne sont pas assez spécifiques pour être considérées comme des PII en soi peuvent devenir des PII lorsqu'elles sont associées à d'autres informations facilement disponibles qui, ensemble, pourraient permettre d'identifier une personne.
Les PII peuvent être divisées en deux catégories : sensibles et non sensibles. Les PII sensibles comprennent :
- Nom complet
- Numéro de sécurité sociale
- Numéro de permis de conduire
- Adresse
- Informations de carte de crédit
- Informations sur le passeport
- Informations financières
- Informations médicales
Les informations non sensibles comprennent :
- Race
- Sexe
- Code postal
- Date de naissance
- Lieu de naissance
- Religion
Les PII non sensibles peuvent être diffusées seules sans risquer de permettre l'identification de la personne. Toutefois, si elles ne sont pas surveillées attentivement, les PII non sensibles peuvent être liées à d'autres données pour révéler l'identité d'une personne. Votre organisation doit toujours veiller à protéger les PII de toute nature et ne les publier que si cela est absolument nécessaire.
Si votre organisation recueille les informations personnelles des clients, les lois de votre région peuvent vous obliger légalement à respecter certaines normes de sécurité pour protéger les PII contre tout accès non autorisé, utilisation, destruction, modification ou autre violation de données.
De nombreux États disposent également de réglementations vous indiquant comment éliminer les PII clients. Votre État peut avoir des instructions spécifiques pour l'élimination des PII, ou il peut exiger que vous disposiez de votre propre programme. Quoi qu'il en soit, il est important de prendre des mesures pour protéger les PII même lorsque vous n'en avez plus besoin, afin de préserver la confiance des clients et de libérer de l'espace de stockage des données.
L'importance de protéger les informations clients
Dans le monde interconnecté d'aujourd'hui, les informations personnelles circulent plus librement que jamais, les prestataires de services et le cloud computing élargissant les façons dont les organisations comme la vôtre accèdent à et utilisent des données clients. Internet accélère la communication et rend plus partageables toutes les formes de PII, des informations sur les réseaux sociaux aux données de commerce électronique.
Vous avez la responsabilité toujours plus importante de protéger vos clients en comprenant les différents systèmes de protection et les différentes relations avec les tiers s'offrant à vous. Vous pouvez optimiser la protection des données de vos clients en sélectionnant des relations avec des tiers qui respecteront contractuellement les normes de sécurité de votre organisation et en surveillant ces relations pour vous assurer qu'elles restent conformes.
Les PII affectent la vie quotidienne des personnes. Les finances, les informations de santé, les numéros d'identification, etc., sont tous des composants des données personnelles que les personnes doivent garder en sécurité, afin de ne pas avoir de soucis et pour pouvoir accéder aux services nécessaires comme les cartes de paiement, les soins de santé et les prestations de sécurité sociale. Lorsque vous protégez les données de vos clients, vous vous assurez que les services de votre organisation sont fiables quand ils en ont le plus besoin.
Rester à jour avec les normes de sécurité et gérer les relations avec vos clients en conséquence vous permet de fournir une expérience client sécurisée que vous pouvez continuer à améliorer à mesure que la technologie le permet. Lors de la création d'un plan de gouvernance des informations, vos responsabilités juridiques vous aident également à bâtir une bonne stratégie commerciale et à établir des relations saines avec vos clients.
Création d'un plan de gouvernance des informations
Pour déterminer le plan de sécurité dont vous avez besoin, il convient d'étudier la façon dont vous utilisez les informations client, les raisons pour lesquelles vous en avez besoin, les risques liés à leur collecte et les avantages liés à leur possession. À partir de là, vous pouvez créer un plan pour éviter au mieux les risques prévisibles et être préparé avec de potentielles solutions à tous les problèmes qui se posent.
De nombreuses lois fédérales et étatiques sur la sécurité des données obligent les organisations à mettre en œuvre des mesures de sécurité des données, des systèmes de notification de violations de données, des notifications de confidentialité et des formulaires de consentement en matière de confidentialité. Les notifications de violation de données vous permettent d'informer vos clients de toute menace concernant leurs informations personnelles. Tenir les clients informés et résoudre les problèmes vous permet de vous montrer digne de confiance.
De même, les formulaires de consentement et options de désabonnement informent les clients des risques auxquels ils seront confrontés lorsqu'ils traiteront avec vous et leur donnent des options quant à la façon dont ils souhaitent recevoir vos services en fonction des informations qu'ils fournissent. Être honnête et transparent avec vos clients augmente leur fidélité. La protection des informations clients assure la sécurité des clients et aide votre organisation à rester digne de confiance.
Comparaison des données PII, PHI et PCI
Bien que les données PII, PHI et PCI nécessitent toutes des formes de sécurité des informations, elles fonctionnent toutes de manière légèrement différente. Les PII constituent le type global de données personnelles des clients. Les PCI et PHI constituent des sous-ensembles spécifiques de la sécurité des PII dans les secteurs de la finance et de la santé.
Les PII, PHI et PCI sont similaires en ce sens que leurs normes exigent toutes que votre organisation effectue un nombre minimum de divulgations et d'utilisations des données clients. Les clients vous confient leurs informations en s'attendant à ce que vous les gardiez en sécurité et ne les partagiez avec des parties autorisées que lorsque cela est absolument nécessaire.
PII vs PCI
Les PCI faisant partie de la catégorie PII, la norme PCI DSS est tout aussi rigoureuse que les normes s'appliquant aux autres types de données personnelles sensibles. Cependant, la PCI DSS diffère également de la sécurité des PII à plusieurs égards. En effet, les PCI DSS sont des normes spécifiques au secteur des cartes de paiement.
Quand se chevauchent-elles ?
La norme PCI DSS couvre les PII lorsque celles-ci sont liées à des données de titulaires de carte. Certaines informations personnelles entrent dans les deux catégories, comme les noms des titulaires de carte et le code PIN de la carte, ainsi que toute autre information d'identification sur la carte de paiement. Les détails financiers étant considérés comme des PII, ils entrent également dans la catégorie des informations de carte de paiement, et la PCI DSS les protège dans des contextes financiers.
Quand ne se chevauchent-elles pas ?
Toutes les informations relatives aux cartes de paiement sont des PII, mais toutes les PII ne sont pas protégées par la PCI DSS. Les identifiants d'une personne, comme son nom et son adresse, sont souvent inclus sur les cartes de paiement et documents connexes, et peuvent aider à identifier les individus lorsqu'ils sont associés à leurs informations financières. Cependant, les identificateurs non financiers en tant que tels, en dehors des contextes financiers, ne sont pas des PCI.
D'autres types de données personnelles sont protégés de différentes façons. Par exemple, tous les documents et conversations d'ordre médical sont des PHI et ne sont pas protégés par la norme PCI DSS, sauf s'ils sont liés à des informations strictement liées aux cartes de paiement, comme les codes PIN.
PII vs PHI
Les PHI correspondent à une catégorie de PII directement liée aux informations de santé. Les normes de protection des PHI sont tout aussi rigoureuses que celles qui protègent les données personnelles et les informations relatives aux cartes de paiement, mais les normes de sécurité des informations de santé sont limitées quant aux types de données personnelles qu'elles protègent.
Quand se chevauchent-elles ?
Les normes de sécurité des PHI couvrent souvent les PII, puisque des documents comme les dossiers médicaux et les factures d'hôpitaux incluent des données personnelles pour identifier les personnes concernées par le contenu des données de santé. Des PII normales doivent être comprises dans les documents médicaux pour s'assurer que les personnes reçoivent les soins dont elles ont besoin, sont traitées de manière appropriée en fonction des données personnelles pertinentes comme leur âge, et sont facturées correctement.
Quand ne se chevauchent-elles pas ?
Tout comme la distinction entre les PII et les PCI, les données personnelles d'identification ne sont pas automatiquement catégorisées comme PHI. Le nom d'une personne, par exemple, peut exister dans des contextes non liés à la santé. Cependant, les dossiers médicaux d'une personne, qui comprennent son nom, sont toujours considérés comme des PHI.
Une exception aux protections de sécurité des PHI survient lorsque les informations médicales d'un grand groupe de personnes sont utilisées anonymement dans un ensemble de données agrégées, sans informations d'identification individuelles. Les établissements médicaux compilent souvent des données de personnes réelles pour les utiliser dans des études. Dans ces cas, les chercheurs veillent à ce que toute information communiquée au public ne puisse être directement reliée à des individus ou à d'autres informations facilement accessibles qui pourraient être utilisées pour retrouver des individus.
L'approche de Box en matière de protection des données
Box est une plate-forme sécurisée protégeant les données de vos clients grâce à des solutions de sécurité modifiables au sein de Content Cloud. Les fonctions de gouvernance des informations de Box vous permettent de sécuriser facilement les informations personnelles de toutes sortes et de déterminer les meilleures pratiques pour votre secteur d'activité en fonction des normes et recommandations juridiques.
Au fur et à mesure de la croissance de votre entreprise, Content Cloud évolue avec vous, vous offrant tout ce dont vous avez besoin pour gérer de grandes quantités de données clients tout en restant conforme aux règles et normes de sécurité les plus récentes. Vous ne manquerez jamais de satisfaire aux réglementations, Box assurant en permanence votre conformité. Notre interface conviviale garantit à tous vos collaborateurs le respect de la sécurité et de la conformité pour protéger les informations clients.
Le stockage et la maintenance de toutes les informations personnelles de vos clients peuvent être coûteux et fastidieux. Box étant basé sur le cloud, ses outils de gestion de conservation des données vous permettent de définir un calendrier de maintenance et de supprimer automatiquement les fichiers dont vous n'avez plus besoin.
Protection supplémentaire avec Box Shield
Box Shield est un programme de sécurité pouvant vous aider à minimiser les risques grâce à des fonctionnalités comme les alertes sur de potentielles menaces et le classement personnalisable des données PII. Atteignez de nouveaux niveaux de sécurité pour votre contenu, avec des étiquettes de classement de vos fichiers dès le départ et des capacités d'apprentissage machine identifiant les problèmes en temps réel.
Avec Content Cloud, le partage d'informations sensibles entre les parties est facile et sécurisé. Toutes les parties autorisées peuvent accéder aux informations via une plate-forme conviviale, intégrant tous vos programmes existants en un seul et éliminant le besoin de transférer des données vers d'autres programmes. Dans Box Shield, définissez des règles empêchant le partage non autorisé de certains documents pour une protection supplémentaire.
Box met continuellement à jour sa plate-forme pour se conformer aux normes HIPAA et PII, de sorte que les mesures de sécurité de votre organisation sont en permanence actualisées, conformément aux normes spécifiques de votre secteur.
En savoir plus sur Box
Vos clients comptant sur vous pour protéger leurs données, vous avez besoin d'une sécurité permettant à votre organisation de se distinguer. Des informations de carte de paiement aux données personnelles de santé et autres renseignements permettant l'identification, Box aide vos équipes à travailler efficacement et à répondre aux normes strictes du secteur.
Que vous souhaitiez renforcer la protection de vos données ou que vous ayez besoin d'un moyen plus simple de partager des fichiers et de collaborer avec les autres membres de votre équipe, Box peut vous aider.
Si vous souhaitez en savoir plus sur notre gamme de services et solutions pour votre secteur spécifique, contactez-nous dès aujourd'hui pour un aperçu personnalisé de ce que nous pouvons faire pour vous !
**Tandis que nous maintenons notre engagement inébranlable de proposer des produits et des services avec la meilleure protection de la vie privée, de la sécurité et de la conformité, les informations fournies dans cet article de blog ne constituent en aucun cas un conseil juridique. Nous encourageons vivement nos clients actuels et potentiels à faire preuve de diligence raisonnable lorsqu'ils évaluent la conformité aux lois applicables.