Problema clasificării despre care nimeni nu vorbește
Raportul IBM privind costul breșelor de date din 2026 estimează costul mediu al unei breșe la 4,88 milioane de dolari. O parte semnificativă provine dintr-un singur eșec specific: organizațiile nu știau ce date dețin, unde sunt stocate sau dacă se califică drept PII — până când erau deja expuse. Nu este o problemă de instrumente de securitate. Este o problemă de clasificare.
PII — informații de identificare personală — pare un concept simplu. Nu este. Cadrele de reglementare nu sunt de acord asupra definițiilor exacte. NIST SP 800-122 le definește diferit față de GDPR. CCPA adaugă un alt strat. Și apoi echipa de inginerie lansează o funcție care înregistrează adrese IP în text simplu, și deodată discutați cu DPO-ul despre obligații de notificare a breșelor.
Acest ghid elimină ambiguitatea prin exemple concrete, cazuri limită din lumea reală și implicațiile de conformitate care contează cu adevărat în 2026.
Ce se consideră PII? Cadrul de bază
Definiția NIST din SP 800-122 rămâne ancora industriei: PII sunt orice informații care pot fi utilizate pentru a distinge sau urmări identitatea unui individ, fie singure, fie combinate cu alte informații legate de o persoană specifică. A doua clauză — combinată cu alte informații — este locul în care majoritatea organizațiilor greșesc.
Un nume singur? Discutabil. Un nume plus angajator plus cod poștal? Aproape sigur PII. Aceasta este problema legabilității, și de aceea listele statice de categorii PII pot fi periculos de incomplete. GDPR merge și mai departe: orice date referitoare la o persoană fizică identificată sau identificabilă constituie date cu caracter personal — o poziție confirmată de CJUE în cazul Breyer împotriva Germaniei.
Identificatori direcți vs. indirecți
Identificatorii direcți includ: nume complet, cod numeric personal, număr pașaport, permis de conducere, date biometrice și numere de identitate emise de stat. Identificatorii indirecți includ: cod poștal, dată de naștere, gen, angajator, funcție, adresă IP, identificatori de dispozitiv, cookie-uri, date comportamentale și istoricul locației.
Un studiu clasic de la Carnegie Mellon a demonstrat că 87% din americani puteau fi identificați unic folosind doar codul poștal, data nașterii și genul. Trei identificatori indirecți — riscul de legabilitate demonstrat concret.
Exemple PII pe categorii
Documente de identitate și guvernamentale
Coduri numerice personale, numere de identificare fiscală, numere de pașaport, numere de cărți de identitate naționale, permise de conducere — toate sunt clar PII în fiecare cadru major. Acestea sunt și cele mai valoroase ținte în campaniile de furt de credențiale. Expunerea lor declanșează obligații de notificare conform GDPR Articolele 33 și 34.
Informații de contact și date tehnice
Nume complet, adresă de domiciliu, email personal, număr de telefon personal. Este numărul de telefon PII? Da, fără echivoc. Conform GDPR sunt date cu caracter personal. Conform NIST SP 800-122, un număr de telefon fie identifică direct o persoană, fie poate fi ușor combinat cu alte informații.
Adresele IP, ID-urile de dispozitiv, identificatorii de cookie și datele de geolocație sunt de asemenea PII. Instrumentele de Secret Detection trebuie să depășească cheile API și să acopere fișierele de log cu date personale — acesta este un vector real de expunere PII în mediile cloud moderne.
Date financiare, medicale și biometrice
Numerele de card de credit, conturile bancare și scorurile de credit constituie PII financiar. Dosarele medicale, numerele de asigurare de sănătate și informațiile despre prescripții sunt PII medical. Datele biometrice — amprente, recunoaștere facială, scanări iris — sunt deosebit de sensibile deoarece sunt imuabile. GDPR Articolul 9 le clasifică drept categorie specială.
PII Sensibil: Nivelul de risc ridicat
PII sensibil este un subset care necesită protecție sporită. Include: CNP-uri, numere de cont financiar cu coduri de securitate, date biometrice, informații medicale, orientare sexuală și identitate de gen, convingeri religioase și politice, origine rasială sau etnică, cazier judiciar, date precise de geolocație și parole. GDPR Articolul 9 impune consimțământ explicit pentru procesarea acestor date. Amenzi de până la 20 milioane euro sau 4% din cifra de afaceri globală anuală. Automatizarea conformității este esențială — auditurile manuale nu se scalează.
PII în mediile Cloud și controale tehnice
La scara cloud, copiile de date proliferează, mediile de dev sunt populate cu date de producție, bucket-urile S3 sunt configurate greșit. Instrumentele CSPM scanează continuu pentru configurații greșite: bucket-uri S3 publice, instanțe de baze de date necriptate, politici IAM excesiv permisive. Analiza statică integrată în pipeline-urile CI/CD prin SAST detectează expunerea PII în codul sursă înainte de lansare. Vulnerability Management asigură că sistemele care stochează PII nu au vulnerabilități nepatchate. Inventarul complet al activelor cloud prin Cloud Inventory elimină punctele oarbe în clasificarea PII.
Ce cer cu adevărat cadrele de conformitate
GDPR impune șapte principii: legalitate, limitarea scopului, minimizarea datelor, exactitate, limitarea stocării, integritate și confidențialitate, responsabilitate. Articolul 25 mandatează Privacy by Design. Breșele se notifică în 72 de ore. NIST Privacy Framework oferă o abordare bazată pe risc pentru gestionarea PII, adoptată tot mai mult ca linie de bază comercială. CCPA și CPRA extind drepturile persoanelor vizate în California, cu legi similare în alte state americane.
La SECRAILS, vedem aceste modele în mod repetat în evaluările de securitate cloud. Expunerea PII este rareori rezultatul unor atacuri sofisticate — aproape întotdeauna este un eșec de configurare sau de proces care ar fi putut fi detectat mai devreme în ciclul de dezvoltare.

