Salesforce Security 101: Was ist PII-Compliance?

Ihre Salesforce Org speichert einige der sensibelsten Informationen Ihrer Kunden und Interessenten. Diese sensiblen Informationen, auch bekannt als persönlich identifizierbare Informationen (PII), sind die Lebensader Ihrer Vertriebs- und Marketingoperationen – aber sie können auch zu großen Sicherheitsbedenken führen.

Leider reicht bereits ein einziger Sicherheitsvorfall aus, damit Ihre Kunden das Vertrauen in Ihr Unternehmen verlieren – und Ihr Geschäft dadurch Schaden nimmt. Versäumnisse beim Schutz personenbezogener Daten führen zu hohen regulatorischen Strafen und Klagen und noch schlimmer, sie können Ihrem Unternehmen irreparablen Schaden zufügen.

In diesem Beitrag erklären wir, was PII genau ist und wie Sie Sicherheit und Compliance aufrechterhalten können, während Sie weiterhin effektive Umsatzoperationen durchführen.

Was ist PII?

Personenbezogene Daten sind alle Daten, die verwendet werden können, um eine bestimmte Person direkt zu identifizieren. Dazu gehören offensichtlich der Vor- und Nachname einer Person, E-Mail-Adresse, Sozialversicherungsnummer, Telefonnummer oder Adresse – aber auch weniger offensichtliche Dinge wie IP-Adressen.

Es gibt zwei Arten von PII: sensible und nicht-sensible. Nicht-sensible PII ist im Allgemeinen alles, was öffentlich zugänglich ist, wie eine Adresse oder Geschäftstelefonnummer. Sensible PII hingegen umfasst Dinge wie Bankkontonummern, Passinformationen oder Kreditkartendetails – Daten, die typischerweise durch gesetzliche oder regulatorische Datenschutzrahmen geschützt sind.

Was ist PII-Konformität?

Es gibt mehrere regulatorische Standards, die die Einhaltung von PII vorschreiben. Einige davon betreffen nur Organisationen, die in einem bestimmten Land/einer bestimmten Region ansässig sind; andere, wie die DSGVO der EU, betreffen jedes Unternehmen, das in dieser Region tätig ist. Hier ist eine Übersicht einiger der Vorschriften, die für nordamerikanische Unternehmen häufiger relevant sind:

• GDPR. Die Datenschutz-Grundverordnung ist ein Regelwerk, das sich auf den Datenschutz in der EU (Europäische Union) und im EWR (Europäischer Wirtschaftsraum) konzentriert. Unter anderem befasst sich die GDPR mit dem Missbrauch und der Ausbeutung von Verbraucherdaten. Die Bußgelder für Verstöße gegen diese Vorschriften zur Einhaltung des Schutzes personenbezogener Daten gehören zu den höchsten der Welt und können bis zu 20 Millionen Euro betragen.
• CCPA. Das California Consumer Privacy Act (CCPA) ist das erste seiner Art in den USA. Das CCPA gibt Einwohnern Kaliforniens die Möglichkeit, zu kontrollieren, wie Unternehmen ihre persönlichen Informationen verarbeiten. Unternehmen müssen nun Anfragen von kalifornischen Einwohnern nach Zugang, Löschung und dem Widerspruch gegen das Teilen oder Verkaufen ihrer Informationen nachkommen.
• GLBA. Das Gramm-Leach Bliley Act ist ein US-amerikanischer Rahmen, der sich darauf konzentriert, wie Finanzinstitutionen sensible Daten ihrer Kunden schützen und teilen. Der GLBA verlangt, dass Institutionen mit Verbrauchern darüber kommunizieren, wie ihre Daten verwendet werden, und ihnen die Möglichkeit geben, die Datenweitergabe abzulehnen.
• PCI DSS. Der Payment Card Industry Data Security Standard legt Informationssicherheitsstandards für Unternehmen fest, die mit Kreditkarteninformationen arbeiten. Dieses Gesetz verlangt von allen Unternehmen, die mit Kreditkarteninformationen arbeiten, die Aufrechterhaltung der Cybersicherheit durch den Einsatz von Firewalls, Verschlüsselung, regelmäßigen Updates, Zugriffsbeschränkungen usw. Erfahren Sie, wie Sie File Integrity Monitoring für PCI DSS hier.
• HIPAA. Der Health Insurance Portability and Accountability Act ist ein bekannter Compliance-Standard, der darauf abzielt, sensible Informationen von Patienten, auch bekannt als geschützte Gesundheitsinformationen (PHI), zu schützen. HIPAA verlangt von Gesundheitsdienstleistern und anderen Unternehmen, die mit PHI arbeiten, angemessene Redundanz- und Sicherheitsmaßnahmen zu treffen, mit spezifischen Anforderungen in Bereichen wie physischem und Online-Zugang, Datenübertragung und regelmäßigen Audits.

Salesforce’s New PII Security Setting

Um die Sicherheit und den Schutz der Verbraucher zu gewährleisten, hat Salesforce in ihrer Winter '22-Version eine neue Sicherheitseinstellung namens Enhanced Personal Information Management permission eingeführt. Diese Berechtigung verhindert, dass externe Benutzer persönliche Informationen in Ihren Benutzerdatensätzen einsehen können. Standardmäßig ermöglicht Ihnen dieses neue Feature, bis zu 20 Felder zu sichern, indem Sie die Compliance-Kategorie jedes Feldes als „PersonalInfo“ festlegen. Administratoren können wählen, welche Felder als persönliche Informationen gelten — und sobald ein Feld als „PersonalInfo“ festgelegt ist, wird es für andere externe Benutzer verborgen.

Für Anweisungen zur Einrichtung dieser neuen Berechtigung, klicken Sie hier.

Schutz von PII

Der Schutz von PII erstreckt sich weit über den Anwendungsbereich von Salesforce hinaus. Er umfasst sowohl technische als auch physische Kontrollen und hängt oft von den Besonderheiten der Organisationen ab – wie sie arbeiten, womit sie arbeiten und welchen Compliance-Anforderungen sie unterliegen. Allgemein gesagt, gehören einige der besten Praktiken zum Schutz von PII:

• Auffinden aller sensiblen Informationen in Ihrem System
• Die Nutzung von Data Classification zur genauen Identifizierung und Kategorisierung der Informationstypen in Ihrem System. Wir haben einen Beitrag, der Sie hier durch die Data Classification führt.
• Löschen oder Archivieren von sensiblen Informationen, die nicht mehr benötigt oder verwendet werden
• Verschlüsselung verwenden (dies könnte das Wichtigste sein!)
• Implementierung ordnungsgemäßer Offboarding-Prozesse für Mitarbeiter
• Identifizierung und Beseitigung aller Berechtigungsfehler
• Minimierung der Datenerfassung

Die Kosten einer Datenpanne

Wie bereits erwähnt, sind Kundeninformationen einige der kritischsten Daten, mit denen Ihr Unternehmen arbeitet – aber sie sind auch am meisten gefährdet. Im Jahr 2018, machten PII 97 % der Sicherheitsverletzungen aus, was zu erheblichen finanziellen Konsequenzen für betroffene Unternehmen führte.

Der Cost of a Data Breach Report von IBM besagt, dass die durchschnittlichen Kosten eines PII-Datenverstoßes im Jahr 2020 3,86 Millionen Dollar betrugen – eine Zahl, die im Gesundheitswesen auf 7,13 Millionen Dollar ansteigt. Um diese Zahlen zu veranschaulichen: PII-Datenverstöße kosten ein Unternehmen typischerweise 150 Dollar pro Datensatz; je mehr Kundendaten Sie speichern, desto anfälliger sind Sie.

Angesichts all dieser Punkte ist es für Organisationen entscheidend, die Bedeutung des Schutzes von PII in Salesforce zu kennen. Die oben genannten Datenschutztechniken bringen Sie auf den richtigen Weg — aber wenn Sie viele Daten in Ihrer Salesforce Org (oder einer beliebigen Geschäftsanwendung) speichern, sollten Sie in eine Data Security Software investieren, um Ihr PII effektiv zu schützen und gleichzeitig Sicherheitsbedrohungen zu überwachen.

Nehmen Sie Kontakt mit Netwrix auf, um zu erfahren, wie unsere Data Security-Tools Ihnen den Einstieg erleichtern können.