anonym.legal
กลับไปที่บล็อกความปลอดภัยของ AI

ปัญหา PII จากภาพหน้าจอ: ข้อมูลลูกค้ารั่วไหลเข้าสู่เครื...

Slack, Teams, Jira และอีเมลรับภาพหน้าจอที่มี PII ของลูกค้าเป็นประจำ การละเมิดการควบคุมการเข้าถึงนี้หลีกเลี่ยงเครื่องมือ DLP ทุกชนิด...

April 21, 20266 อ่านประมาณ
screenshot PIIinternal toolsGDPR compliancedata leakageJira Slack security

จุดอ่อน DLP ที่คุณยังไม่ได้ตรวจสอบ

เครื่องมือ Data Loss Prevention ตรวจสอบ network traffic, email attachments และการถ่ายโอนไฟล์เพื่อหา PII พวกเขาจับ spreadsheets ที่มีคอลัมน์ SSN อีเมลที่มีรายชื่อลูกค้าแนบ และการอัปโหลดไฟล์ที่มีบันทึกทางการแพทย์

สิ่งที่ DLP ไม่เห็น: ภาพหน้าจอ

เส้นทางการรั่วไหล PII จากภาพหน้าจอ

เส้นทาง 1: การรายงานบั๊ก (Support → Slack) ตัวแทน support screen-shot หน้า customer management ที่แสดงข้อมูลลูกค้าเพื่อรายงานบั๊ก ภาพหน้าจอถูกโพสต์ใน Slack #bugs ซึ่งเข้าถึงได้โดยผู้ใช้ Slack ทุกคน ขณะที่บันทึกลูกค้าในระบบ CRM มีการควบคุมการเข้าถึง ภาพหน้าจอไม่มี

เส้นทาง 2: การพัฒนา (Production DB → Jira) นักพัฒนาทำ query ฐานข้อมูลการผลิตเพื่อดีบักปัญหา screen-shot ผลลัพธ์ที่มีบันทึกลูกค้า โพสต์ใน Jira issue เพื่อบริบท ทีมวิศวกรรมทั้งหมดสามารถเข้าถึง Jira issue ได้

เส้นทาง 3: การยืนยัน (Customer Data → Email) บัญชีส่งภาพหน้าจอจากระบบ billing ให้ลูกค้าเพื่อยืนยันข้อมูล ภาพหน้าจอมีชื่อ/อีเมล/ข้อมูลการชำระเงินของลูกค้ารายอื่นในพื้นหลัง

ความหมาย GDPR ของการรั่วไหล PII จากภาพหน้าจอ

GDPR มาตรา 5(1)(f): "ความสมบูรณ์และความลับ" — ข้อมูลส่วนตัวต้องได้รับการประมวลผลในลักษณะที่รับรองความปลอดภัยที่เหมาะสม

GDPR มาตรา 32: ต้องใช้มาตรการทางเทคนิคที่เหมาะสมเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

ภาพหน้าจอที่มี PII ของลูกค้าใน Slack หรือ Jira ที่ผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงได้ถือเป็นการละเมิดมาตรา 32

มาตรการป้องกัน

การป้องกันทางเทคนิค:

  • ปิดใช้งาน screenshot บน screens ที่มีข้อมูลลูกค้า (มีประสิทธิภาพจำกัด)
  • ใช้ watermarking ดิจิทัลบนข้อมูลลูกค้า (ช่วยในการสืบสวนหลังเกิดเหตุ)
  • ติดตั้ง DLP ที่สามารถตรวจวิเคราะห์เนื้อหารูปภาพ (OCR-based DLP)

กระบวนการและนโยบาย:

  • นโยบายที่ชัดเจนว่าภาพหน้าจอของข้อมูลลูกค้าต้องได้รับการทำให้ไม่ระบุตัวตนก่อนการแชร์
  • การฝึกอบรมเฉพาะเกี่ยวกับการรั่วไหล PII จากภาพหน้าจอ
  • กระบวนการรายงานบั๊กที่ไม่ต้องการ screen-capturing ข้อมูลลูกค้าจริง

OCR-based PII Detection สำหรับภาพหน้าจอ: เครื่องมือ PII บางตัวรองรับ image input — ประมวลผล OCR บนภาพหน้าจอก่อนการแชร์:

  1. แนบภาพหน้าจอ
  2. เครื่องมือดำเนิน OCR และตรวจจับ PII
  3. ค่าประมาณ: PII ใน 23% ของภาพหน้าจอที่ส่งผ่านช่องทางสื่อสารภายใน (Internal Audit Survey 2024)

แหล่งที่มา:

บทความที่เกี่ยวข้อง

ความปลอดภัยของ AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

ความปลอดภัยของ AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

ความปลอดภัยของ AI

PII Highlighting vs Compliance Training

62% of employees who use AI tools for customer data work 'sometimes' forget to remove PII first. Here's why automatic highlighting removes the compliance.

พร้อมที่จะปกป้องข้อมูลของคุณหรือยัง?

เริ่มทำให้ PII เป็นนิรนามด้วยประเภทเอนทิตีมากกว่า 285 ประเภทใน 48 ภาษา.

เริ่มทดลองใช้ฟรีดูฟีเจอร์