Envío de Información Personal Identificable (PII) por Correo Electrónico: Consideraciones de Seguridad y Cumplimiento

Si tu empresa recibe información personal identificable (PII) a través de correo electrónico de clientes, contratistas u otras personas, hay regulaciones estrictas que debes seguir para evitar multas costosas.

¿Es seguro enviar PII por correo electrónico? No, nunca deberías enviar PII por correo electrónico. Sin embargo, si debes enviar PII por correo electrónico, debe estar cifrada y se deben cumplir ciertos protocolos de seguridad para asegurar que, si es interceptada, la PII no sea legible.

¿Qué es la Información Personal Identificable (PII)?

En términos simples, la información personal identificable (PII) es cualquier información que permite a alguien “inferir” la identidad de otra persona directa o indirectamente. “Inferida”, en este caso, puede significar cualquier cosa que haga que la identidad de alguien sea determinable.

Aunque esto parece evidente, la PII está bastante mal definida en los EE. UU. Por lo tanto, puede ser difícil separar lo que constituye PII y lo que no, especialmente cuando diferentes contextos pueden cambiar lo que significa divulgar información confidencial.

Directrices NIST SP 800-122 sobre la Categorización de PII

El Instituto Nacional de Estándares y Tecnología (NIST) divide la PII en dos categorías: vinculada y no vinculada. La información vinculada puede permitir que alguien determine una identidad directamente. Ejemplos de PII en esta categoría incluyen:

  • Nombre y Apellido
  • Dirección de Casa
  • Dirección de Trabajo
  • Número de Seguro Social (SSN)
  • Número de Teléfono (Trabajo, Casa o Móvil)
  • Información sobre Propiedad Personal (Números de Identificación de Vehículos, etc.)
  • Fecha de Nacimiento
  • Números de Tarjeta de Crédito o Débito
  • Direcciones de Correo Electrónico
  • Información Asociada a TI (Direcciones MAC específicas de dispositivos, Direcciones IP, Números de Serie, etc.)

La información no vinculada es menos directa y requiere que una parte externa combine dos o más piezas de información para identificar a alguien. La información no vinculada incluye:

  • Nombres y Apellidos Comunes
  • Categorías Raciales y de Género
  • Edad
  • Título del Trabajo
  • Elementos de Dirección Más Amplios (Ciudad, Estado, País o Código Postal)

La PII no vinculada puede parecer “más segura” que la PII vinculada; sin embargo, no sabes qué combinación de PII no vinculada revelará accidentalmente la identidad de alguien. Por lo tanto, es importante usar plataformas, herramientas y procesos que protejan los datos dentro de tus casos de negocio específicos.

Con eso en mente, la PII se define y trata de manera ligeramente diferente bajo diferentes regulaciones de privacidad de datos:

  • Bajo la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), la PII se entiende mejor como información de salud protegida (PHI). HIPAA define la PHI bajo la Regla de Privacidad como cualquier información relacionada con la salud de un paciente, atención médica o tratamiento, o facturación y pago relacionados con la salud y el tratamiento.
  • El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) enfatiza los datos de pago con tarjeta, por lo que la PII enviada por correo electrónico se referirá casi exclusivamente a números de tarjetas de crédito, así como a cualquier combinación de nombre, dirección, número de teléfono o dirección de correo electrónico que pueda identificar a un cliente.
  • FedRAMP se divide en tres niveles de impacto (Bajo, Moderado, Alto) y los tipos de PII difieren por nivel. Muchos sistemas de Bajo Impacto, por ejemplo, podrían no contener PII fuera de las credenciales de inicio de sesión (nombre de usuario y contraseña), mientras que los sistemas de Alto Impacto pueden manejar datos como la PHI. Enviar PII por correo electrónico está prohibido bajo FedRAMP a menos que esté cifrada.

¿Es la PII Diferente de los Datos Personales?

Mientras que la PII está un poco mal definida en los Estados Unidos, la Unión Europea ha tomado medidas para hacer la definición más concreta. Por eso el concepto de “Datos Personales”, tal como se define en el marco del Reglamento General de Protección de Datos (GDPR), está detallado en el marco legal y se menciona repetidamente en la documentación y requisitos legales.

¿Qué es la PII bajo el Reglamento General de Protección de Datos (GDPR)?

Bajo las regulaciones del GDPR, los datos personales están específicamente vinculados a cualquier información “relacionada con una persona física identificada o identificable (sujeto de datos) … directa o indirectamente.” El GDPR también especifica elementos generales que caen bajo datos personales, incluyendo cualquier nombre, número de identificación, identificador en línea, o “uno o más factores específicos de la identidad física, fisiológica, genética, económica, cultural o social de esa persona natural.”

Aunque la PII y los datos personales son solo ligeramente diferentes, las ramificaciones legales son mucho más diversas. Cualquier cosa que pueda usarse para identificar a alguien se considera datos personales y debe permanecer segura, privada y confidencial. Esto incluye elementos como registros de seguridad, formularios de consentimiento, cookies y cualquier etiqueta o token utilizado para mantener la presencia o experiencia de un cliente en una plataforma en línea.

También significa que podrías enfrentar sanciones severas, como hasta el 4% de tus ingresos totales, por enviar PII por correo electrónico bajo la jurisdicción del GDPR.

Técnicas de Cifrado para Proteger la PII

El cifrado es una técnica ampliamente utilizada para proteger la información personal identificable (PII) antes de enviarla por correo electrónico. Proteger la PII es crítico porque contiene información sensible que puede causar daño si cae en manos equivocadas, como el robo de identidad, fraude con tarjetas de crédito y otras actividades maliciosas. El cifrado proporciona una capa adicional de seguridad a los correos electrónicos que contienen PII, asegurando que la información permanezca confidencial y segura. Es una herramienta vital para que las organizaciones protejan la información confidencial de sus clientes mientras está en tránsito. Al cifrar la PII, las organizaciones aseguran que la información esté segura e inaccesible para personas no autorizadas. Aquí hay algunas formas comunes de cifrar la PII:

Cifrado Simétrico para Proteger la PII

La técnica de cifrado simétrico utiliza una única clave secreta para cifrar y descifrar contenido. Esta técnica es ideal para asegurar la PII porque garantiza la confidencialidad y autenticidad del contenido. La clave se mantiene secreta y solo los usuarios autorizados pueden acceder a ella.

Cifrado Asimétrico para Proteger la PII

La técnica de cifrado asimétrico utiliza dos claves: una para cifrar el contenido y otra para descifrarlo. El remitente cifra el contenido usando la clave pública del destinatario y el destinatario descifra el contenido usando su clave privada. Esta técnica es particularmente útil para asegurar el contenido de PII durante la transmisión.

Hashing para la Protección de la PII

El hashing es una técnica que crea una huella digital única del contenido de PII que no puede ser revertida. Es particularmente útil para asegurar la PII porque incluso si un atacante obtiene acceso al contenido hasheado, es prácticamente imposible derivar el contenido original de él.

Tokenización para la Protección de la PII

La tokenización reemplaza el contenido sensible con un identificador único, o token, que no tiene valor o significado fuera del sistema donde se utiliza. Esta técnica es particularmente útil para asegurar la PII en almacenamiento o durante transacciones, ya que asegura que el contenido sensible permanezca protegido incluso si el sistema es comprometido. La tokenización también permite un procesamiento más eficiente de transacciones y reduce el potencial de filtración de datos.

Gestión de Claves de Cifrado para la Protección de la PII

La gestión adecuada de claves de cifrado es crítica para mantener la seguridad del contenido cifrado. Las claves deben almacenarse de manera segura y solo proporcionarse a partes autorizadas. La rotación y revocación de claves también son importantes para asegurar que las claves comprometidas no comprometan la seguridad de los datos cifrados.

Aunque implementar una combinación de estas técnicas de cifrado puede crear una estrategia de seguridad fuerte e integral para proteger la PII, es importante revisar y actualizar regularmente los métodos de cifrado para asegurar que estén actualizados y sean efectivos contra amenazas emergentes.

PII y Envío de Información por Correo Electrónico

La abstinencia es el mejor remedio para proteger la PII por correo electrónico.

Piensa en lo que se necesita para manejar la PII: servidores seguros, cifrado, políticas, procedimientos, auditorías y más. Por lo tanto, tu plataforma de correo electrónico debe cumplir con requisitos de seguridad estrictos. Enviar PII por correo electrónico público no cumplirá con ningún requisito de regulación de privacidad de datos, mucho menos mantendrá la privacidad de los clientes.

Además del cifrado (cubierto arriba), las organizaciones deberían considerar usar estas capacidades de protección de datos para cumplir con las regulaciones mencionadas anteriormente.

Evitar el Correo Electrónico para SFTP u Otras Transferencias de Archivos

SFTP, configurado adecuadamente, puede proporcionar una forma segura y conforme de compartir y transferir datos. Sin embargo, nuevamente, corres el riesgo de alienar al destinatario. Ningún cliente va a usar un programa de SFTP para manejar datos (a menos que operen en una industria donde el SFTP es la norma).

Enlaces de Correo Electrónico Seguro

Los enlaces de correo electrónico seguro combinan lo mejor de los servidores seguros y los correos electrónicos en un solo paquete. En lugar de enviar datos cifrados, las organizaciones envían un enlace de correo electrónico seguro a un servidor cifrado que contiene el mensaje en una bandeja de entrada de correo electrónico simple. El usuario debe autenticarse para obtener acceso a ese servidor y al mensaje que contiene la PII.

Esta última opción es la forma más sencilla y manejable de proteger la PII por correo electrónico. No solo elimina la carga sobre los usuarios de aprender o adoptar nuevas tecnologías, sino que también transfiere la responsabilidad del usuario a la infraestructura de TI. Con enlaces de correo electrónico seguro, puedes asegurarte de cumplir con otros requisitos de cumplimiento de correo electrónico como el registro de auditoría y la gestión de acceso de usuarios.

Problemas Legales y de Cumplimiento al Enviar PII por Correo Electrónico

Enviar PII por correo electrónico puede ser inseguro y llevar a un acceso no autorizado a datos privados y confidenciales. La mayoría de los servicios de correo electrónico no están cifrados y, por lo tanto, pueden ser interceptados en tránsito, permitiendo a los hackers acceder a datos sensibles. Hay otros riesgos que enfrentan las organizaciones al enviar PII por correo electrónico, incluyendo:

  1. Protección de Datos: Enviar PII por correo electrónico puede violar las leyes de protección de datos en la jurisdicción en la que el remitente está recibiendo los datos. Las leyes de protección de datos pueden requerir que el remitente tome medidas adicionales para asegurar que el correo electrónico sea seguro y que los datos no se divulguen inapropiadamente.
  2. Privacidad y Consentimiento: Enviar PII por correo electrónico puede violar las leyes de privacidad y consentimiento en la jurisdicción en la que el remitente está recibiendo los datos. En algunos casos, se debe obtener permiso del usuario antes de que se puedan enviar datos personales.
  3. Leyes Anti-spam: Enviar PII por correo electrónico puede violar las leyes anti-spam en la jurisdicción en la que el remitente está recibiendo los datos. Los correos electrónicos no solicitados pueden estar prohibidos y cualquier correo electrónico que contenga PII debe enviarse de acuerdo con la ley.
  4. Transferencias Internacionales: Enviar PII por correo electrónico también puede implicar mover datos entre países, lo que desencadena obligaciones legales y de cumplimiento adicionales, como el Reglamento General de Protección de Datos de la UE (GDPR).

Estándares NIST PII sobre la Protección de la PII

El Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF), así como el Marco de Privacidad del NIST, proporcionan Estándares PII para proteger la PII de las personas. El marco proporciona orientación a las organizaciones al diseñar e implementar un programa de seguridad de la información. Los estándares PII contienen controles para proteger la PII en áreas como la recopilación de datos, almacenamiento de datos, transmisión de datos, desarrollo de software, control de acceso físico, listas de control de acceso y cifrado. Los estándares también especifican requisitos de auditoría e informes.

Las organizaciones deberían considerar implementar los estándares PII del NIST CSF para proteger la PII porque son directrices integrales y accionables, establecidas por una fuente confiable y autorizada, que proporcionan una base sólida para asegurar el manejo seguro y responsable de los datos sensibles de los clientes. Seguir estos estándares puede ayudar a proteger a las organizaciones de posibles riesgos de seguridad y violaciones de privacidad de datos. Además, regulaciones de privacidad de datos como HIPAA utilizan los estándares PII del NIST CSF como los requisitos mínimos de seguridad para las organizaciones que manejan PII, por lo que el cumplimiento de los estándares PII del NIST CSF puede ayudar a las organizaciones a evitar multas costosas por violar estas regulaciones.

Envía Correo Electrónico Seguro con Kiteworks

La Red de Contenido Privado (PCN) de Kiteworks proporciona protección avanzada y cumplimiento para contenido sensible, como información personal identificable (PII), y otra información confidencial que las empresas comparten con socios de confianza a través de varios canales de comunicación.

La PCN de Kiteworks proporciona servicios de correo electrónico seguro y uso compartido seguro de archivos que cumplen con varios requisitos clave de privacidad de datos sin sacrificar la usabilidad o la funcionalidad empresarial. Combina un dispositivo virtual reforzado, cifrado de extremo a extremo y registro de auditoría para asegurar que los empleados puedan compartir, colaborar y gestionar información confidencial de manera segura desde cualquier dispositivo o ubicación.

Además, la Puerta de Enlace de Protección de Correo Electrónico de Kiteworks automatiza la protección del correo electrónico con cifrado de extremo a extremo para proteger el contenido privado del correo electrónico de los proveedores de servicios en la nube y ataques de malware.

Kiteworks también proporciona visibilidad detallada y trazabilidad de auditoría para asegurar que los documentos permanezcan conformes con las regulaciones y estándares de la industria, como el GDPR, HIPAA, la Certificación del Modelo de Madurez de Ciberseguridad (CMMC), y muchos otros. Esto hace que Kiteworks sea una herramienta invaluable para las organizaciones que necesitan proteger la PII y demostrar cumplimiento con las regulaciones relevantes.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks