Salesforce Security 101: ¿Qué es el cumplimiento de PII?

Su Salesforce Org almacena parte de la información más sensible de sus clientes y prospectos. Esta información sensible, también conocida como información personal identificable (PII), es la fuerza vital de sus operaciones de ventas y marketing, pero también puede llevar a grandes preocupaciones de seguridad.

Lamentablemente, solo se necesita una violación de seguridad para que sus clientes pierdan la confianza en su empresa, y para que su negocio sufra como resultado. No asegurar la información de identificación personal conlleva a multas regulatorias severas y demandas, y aún peor, podría causar daños irreparables a su negocio.

En esta publicación, desglosamos qué es exactamente la PII y cómo mantener la seguridad y el cumplimiento mientras se continúa ejecutando operaciones de ingresos efectivas.

¿Qué es PII?

La información personal identificable es cualquier dato que pueda usarse para identificar directamente a un individuo específico. Incluye, obviamente, el nombre y apellido de una persona, dirección de correo electrónico, número de seguro social, número de teléfono o dirección — pero también cosas más oscuras como las direcciones IP.

Existen dos tipos de información de identificación personal (PII): sensible y no sensible. La PII no sensible generalmente es cualquier cosa en el registro público, como una dirección o número de teléfono empresarial. Por otro lado, la PII sensible incluye cosas como números de cuentas bancarias, información de pasaporte o detalles de tarjetas de crédito — datos que típicamente están protegidos por marcos legales o regulatorios de privacidad.

¿Qué es el cumplimiento de PII?

Existen varios estándares regulatorios que rigen el cumplimiento de PII. Algunos de ellos solo afectan a organizaciones con sede en un país/región específico; otros, como el GDRP de la UE, afectan a cualquier empresa que opere en esa región. Aquí hay un resumen de algunas de las regulaciones que comúnmente están dentro del alcance para las empresas norteamericanas:

• GDPR. El Reglamento General de Protección de Datos es un marco regulatorio que se centra en la protección de datos en la UE (Unión Europea) y el EEE (Espacio Económico Europeo). Entre otras cosas, el GDPR aborda el mal uso y la explotación de los datos de los consumidores. Las multas por incumplir estos requisitos de cumplimiento de PII son algunas de las más altas del mundo, llegando hasta los 20 millones de euros.
• CCPA. The California Consumer Privacy Act (CCPA) is the first of its kind in the US. The CCPA provides California residents with the ability to control how businesses process their personal information. Businesses will now have to honor requests from California residents to access, delete, and opt out of sharing or selling their information.
• GLBA. La Ley Gramm-Leach Bliley es un marco de trabajo basado en EE. UU. que se centra en cómo las instituciones financieras protegen y comparten datos sensibles sobre sus clientes. GLBA exige que las instituciones se comuniquen con los consumidores acerca de cómo se están utilizando sus datos y les brinden la opción de no participar en el intercambio de datos.
• PCI DSS. The Payment Card Industry Data Security Standard specifies information security standards for companies that work with credit card information. This law requires all companies working with credit card information to maintain cybersecurity through the use of firewalls, encryption, regular updates, access restrictions, etc. Learn how to leverage File Integrity Monitoring for PCI DSS here.
• HIPAA. La Ley de Portabilidad y Responsabilidad de Seguros de Salud es un estándar de cumplimiento bien conocido que tiene como objetivo proteger la información sensible de los pacientes, también conocida como información de salud protegida (PHI). HIPAA exige que los proveedores de servicios de salud y otras compañías que trabajan con PHI tengan medidas de redundancia y seguridad adecuadas, con requisitos específicos en aspectos como el acceso físico y en línea, la transferencia de datos y las auditorías regulares.

Salesforce’s New PII Security Setting

Para garantizar la seguridad de los consumidores, Salesforce introdujo una nueva configuración de seguridad en su lanzamiento de Winter ‘22 llamada el permiso de Enhanced Personal Information Management. Este permiso restringe a los usuarios externos de ver información personal en sus registros de usuario. Por defecto, esta nueva característica te permite elegir hasta 20 campos para asegurar configurando la categoría de cumplimiento de cada campo como “PersonalInfo”. Los administradores pueden elegir qué campos se consideran información personal — y una vez que un campo está establecido como “PersonalInfo”, estará oculto para otros usuarios externos.

Para obtener instrucciones sobre cómo configurar este nuevo permiso, haga clic aquí.

Protegiendo la información de identificación personal

Proteger la información de identificación personal (PII) se extiende mucho más allá del alcance de Salesforce. Incluye controles técnicos y físicos, y a menudo dependerá de las especificidades de las organizaciones — cómo trabajan, con qué trabajan y a qué requisitos de cumplimiento están sujetos. Dicho esto, algunas prácticas generales recomendadas para proteger la PII incluyen:

• Localizando toda la información sensible en su sistema
• Utilizing data classification to accurately identify and categorize the types of information in your system. We have a post walking you through data classification here.
• Eliminar o archivar cualquier información sensible que ya no sea necesaria o esté en uso
• Usando cifrado (¡este podría ser el más importante!)
• Implementar procesos adecuados de desvinculación para empleados
• Identificar y eliminar cualquier error de permisos
• Minimizando la recolección de datos

El costo de una violación de datos

Como mencionamos, la información del cliente es algunos de los datos más críticos con los que trabaja su empresa, pero también es el más vulnerable. En el año 2018, la PII representó el 97% de las violaciones de seguridad, lo que llevó a consecuencias financieras significativas para las empresas afectadas.

IBM’s Cost of a Data Breach Report indica que el costo promedio de una violación de PII en 2020 fue de $3.86 millones de dólares — una cifra que asciende a $7.13 millones para la industria de la salud. Para poner esas cifras en contexto, las violaciones de datos de PII suelen costar a una organización $150 por registro; cuanto más datos de clientes almacenes, más vulnerable eres.

Con todo lo dicho, es crítico para las organizaciones conocer la importancia de proteger la PII en Salesforce. Las técnicas de protección de datos mencionadas anteriormente te pondrán en el camino correcto — pero si almacenas una gran cantidad de datos en tu Salesforce Org (o cualquier aplicación empresarial), deberías considerar invertir en un software de seguridad de datos para ayudarte a proteger eficazmente tu PII mientras también monitoreas las amenazas de seguridad.

Póngase en contacto con Netwrix para aprender cómo nuestras herramientas de Data Security Posture Management pueden ayudarle a comenzar.