A Lei Geral de Proteção de Dados (LGPD) fala de maneira explícita sobre a obrigatoriedade das empresas adotarem medidas técnicas para proteger os dados pessoais dos cidadãos de acessos não autorizados, mas ela não especifica quais ações.
Isso traz um desafio enorme para os profissionais de tecnologia, especialmente quando o assunto é o cumprimento dessa exigência nas configurações dos ambientes de Cloud. Isso porque ambientes em Nuvem são altamente complexos e apresentam uma infinidade de possibilidades de configurações que podem impactar diretamente o nível de segurança desses dados.
Abaixo, listamos 6 configurações de Cloud para ajudar no caminho para aumentar o nível de conformidade da Cloud da sua empresa com a LGPD, baseado em alguns artigos da Legislação vigente:
O QUE DIZ O ARTIGO 46º Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
BOAS PRÁTICAS PARA ESTAR EM CONFORMIDADE
O artigo 46º fala, entre outras coisas, sobre a manutenção da sigilosidade dos dados. Portanto, as práticas recomendadas são:
1. Habilite as configurações de criptografia dos dados em trânsito e em repouso para evitar o acesso aos dados por entes maliciosos ou pessoas não autorizadas.
2. Estabeleça e mantenha uma arquitetura de rede segura utilizando VPCs. Uma arquitetura de rede segura deve abordar ao menos: segmentação e privilégio mínimo.
Ou seja, crie e use Virtual Private Clouds (VPCs) para propósitos específicos, por exemplo: uma VPC para o ambiente de produção e outra para o ambiente de homologação. Assim você impede que sistemas em uma parte da rede acessem outro segmento de rede.
O QUE DIZ O ARTIGO 47º Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término.
BOAS PRÁTICAS PARA ESTAR EM CONFORMIDADE O artigo 47º fala que todas as pessoas que tenham acesso a dados pessoais também são obrigadas a garantir a segurança dos mesmos. Um bom começo para garantir isso é ter cuidado com a Gestão de Identidades e Acessos (ou IAM – Identity & Access Management, como é comumente chamado). Os principais provedores de Cloud apresentam diferentes configurações relacionadas a este tema, mas 2 dicas importantes que servem para todos são:
1. Evite utilizar a conta root. Ela tem o maior nível de privilégio e, portanto, permite acesso a todos os recursos da Cloud, incluindo dados pessoais, tanto dos administradores, quanto dos clientes da sua empresa - caso você guarde-os na Cloud. Para diminuir o risco de acesso não autorizado, determine políticas para usuários específicos, de acordo com a necessidade de cada um utilizando o IAM.
2. Muito cuidado com a gestão de senhas para a Cloud. Exija a utilização de senhas fortes compostas de letras maiúsculas, caracteres especiais e números, bem como a adoção do Múltiplo Fator de Autenticação (MFA) para acesso a Cloud, principalmente para usuários administradores.
O QUE DIZ O ARTIGO 48º O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares § 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo: (...) VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
BOAS PRÁTICAS PARA ESTAR EM CONFORMIDADE
Aqui é preciso prestar atenção às configurações que permitam à empresa colocar em ação um plano claro de recuperação dos dados.
1. Certifique-se que todos os recursos de Cloud estão com as configurações de backup ativadas para que seja possível a recuperação dos dados em caso de um incidente.
2. Colete os logs de auditoria e certifique-se que eles estão guardados de maneira segura para poder comprovar medidas de segurança adotadas.
O QUE DIZ O ARTIGO 50º EM SEU PARÁGRAFO 2º (...) § 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá: (...) I - implementar programa de governança em privacidade que, no mínimo: (...)f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos; (...) h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
BOAS PRÁTICAS PARA ESTAR EM CONFORMIDADE Ao indicar que o plano de governança e privacidade das empresas estejam em constante avaliação, a Lei impacta na forma como as empresas monitoram se os dados que guarda e processa na Cloud estão seguros. O monitoramento contínuo, se feito de forma manual pode engessar o time e criar gargalos desnecessários para a operação. Portanto:
Automatize o monitoramento contínuo de seus recursos de Cloud. Dessa forma, a cada novo deploy o time ficará ciente se está seguindo as configurações mais seguras. A solução da Unxpose permite fazer isso de forma automatizada e você pode experimentá-la de forma gratuita.
Comments