CMS: almacenar datos de información de identificación personal (PII)
4 min de lectura
PII significa "Información de identificación personal". La PII incluye elementos como el nombre completo, la dirección, la dirección de email, los números de la seguridad social, el número de teléfono, etc. Leer más
La PII es considerada información personal por diferentes legisladores y reguladores, y debido a esto, Wix la maneja de manera diferente a otros contenidos o datos.
Si bien todos los registros de Wix se almacenan encriptados en el disco de nuestras máquinas de base de datos, para datos confidenciales como PII, nuestra política es agregar otra capa de protección a los datos al nivel de la aplicación.
Nota:
El cifrado de PII no cambia los permisos de acceso a los datos. Se deben establecer los permisos adecuados para mantener la confidencialidad de los datos. Lee más sobre los permisos de la colección aquí.
En este artículo, aprende sobre lo siguiente:
Mejores prácticas en el manejo de datos de PII
Como parte de los esfuerzos para proteger los datos y en específico, datos confidenciales, como los registros de PII, las pautas de Wix requieren que todos los datos de PII sean almacenados encriptados por la app que maneja los datos.
Primero, debes asegurarte de que los permisos de la colección están configurados correctamente, sin permitir que nadie que no tenga el permiso correspondiente pueda leer, actualizar o eliminar datos. Puedes obtener más información sobre las mejores prácticas de seguridad aquí.
Para los sitios de Wix, esto significa que cualquier campo de colección que incluya datos PII (por ejemplo, sitios de marketing que recopilan y almacenan datos confidenciales de los visitantes del sitio, etc.) debe estar encriptado. Para permitir que un campo se encripte, debes habilitar la palanca de PII en el CMS:
Observa el indicador verde de PII junto al nombre del campo cuando la palanca de PII está habilitada.
Después de marcar todos los campos relevantes como PII, publica el sitio para asegurarte de que los nuevos cambios surtan efecto.
Cifrado y almacenamiento de PII
Esta sección incluye más detalles sobre cómo se cifran los datos de PII, cómo se almacenan de manera diferente a otros datos y cuáles son sus limitaciones.
Cómo se aplica el cifrado a los datos:
- Todos los campos marcados como PII se migran automáticamente para almacenarse encriptados en la colección con una clave de encriptación única.
- Los datos en el campo se almacenan encriptados mediante AES con una clave de encriptación del sitio de 256 bits.
- El cifrado se aplica inmediatamente (y afecta tanto a Live como a Sandbox).
Nota: Si bien el proceso de encriptación comienza inmediatamente, puede tardar algún tiempo en completarse, esto dependerá del tamaño de los datos que se están encriptando. Sin embargo, mientras el cifrado se realiza en segundo plano, puedes seguir trabajando con los datos del sitio de forma normal. - El acceso a los datos devuelve automáticamente los datos descifrados de la misma manera que para otros campos.
- La función Exportar datos se puede utilizar para trabajar con los datos de la colección localmente o importarlos a un sistema designado. Independientemente del método, no se recomienda que conserves grandes listas de PII localmente en la estación de trabajo.
- Todas las copias de seguridad de datos se cifran en su totalidad con la misma clave del sitio, independientemente de los datos de PII.
Limitaciones de los datos encriptados de PII:
- El cifrado de PII no protege los datos de una colección si esos datos se exponen a través de una configuración incorrecta de permisos. Asegúrate de establecer los permisos de la colección correctamente. Más información
- Los campos encriptados de PII tienen capacidades limitadas para buscar mediante código o CMS.
- Una vez que un campo se marca como un campo encriptado de PII, deshabilita algunas funcionalidades de ese campo, como las operaciones de clasificación y las de consulta que no sean "eq", es decir, la consulta por coincidencia exacta solamente, para ese campo.
PII que puede considerarse pública
Los datos de PII no son necesariamente información privada. Por ejemplo, el propietario de un sitio puede mostrar los números de teléfono privados de sus empleados, que están disponibles en la guía telefónica; sin embargo, esos números deben considerarse como PII.
Para un ejemplo como este, no es necesario usar el cifrado de PII, ya que se consideran datos públicos.
PII en relación con el RGPD
Entre otros derechos, los clientes tienen derecho a acceder o eliminar sus datos en cualquier momento según el RGPD (y leyes de privacidad similares, como la LGPD y CCPA). Con Wix, puedes proporcionar a los visitantes del sitio acceso a sus datos o el derecho a eliminar sus datos de la base de datos por completo.
Es responsabilidad del propietario del sitio responder y permitir que los visitantes del sitio ejerzan su derecho de acceso y eliminación de sus datos. Del mismo modo, si recibes una solicitud de eliminación, debes asegurarte de que se eliminen todos sus datos. Más información
Es importante tener en cuenta que cuando un visitante del sitio solicita acceso a sus datos (cuando se le proporciona un archivo de datos), o para que se eliminen sus datos, hay ciertos datos que no se incluyen ni en el archivo de datos al que se accede ni en los datos eliminados. Esto incluye datos sobre los visitantes del sitio y los miembros recopilados por flujos personalizados como Wix Forms, o datos almacenados en un flujo personalizado en una colección.
Importante:
Marcar los datos como PII y usar la herramienta de cifrado puede no garantizar el cumplimiento de otras leyes, como la Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU. (HIPAA).
¿Te ha sido útil?
|