O conjunto de regras estabelecidas pela Lei Geral de Proteção de Dados (LGPD) transformou o sistema de proteção de dados no Brasil. Para cumprir a lei, as empresas precisam, dentre outros, implementar melhorias no processo de tratamento de dados na camada de tecnologia. E um exemplo disso é entender se a sua nuvem está em conformidade com a LGPD.
Com isso, surgem dúvidas como: “Qual o impacto da lei no uso de recursos de computação em nuvem?” “O que fazer para prevenir eventuais sanções?”. Continue lendo e descubra.
O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD) é a primeira regulamentação do Brasil voltada para a proteção de dados pessoais e está amplamente alinhada com a General Data Protection Regulation (GDPR) adotada na Europa em 2018.
A lei é aplicável a todas as organizações, estabelecidas ou não no Brasil, que coletam ou processam dados pessoais para oferecer ou prestar serviços a pessoas no Brasil.
O conceito de dado pessoal na lei é amplo pois abrange qualquer dado que permite a identificação da pessoa como nome, endereço, CPF, geolocalização, endereço IP, celular, hábitos de consumo, entre outros.
Quais as penalidades?
Em caso de infração às regras estabelecidas pela LGPD, estão previstas diferentes modalidades de sanções, que vão desde uma advertência até a aplicação de multa, que pode chegar a 2% do faturamento da pessoa jurídica ou grupo econômico responsável ou R$50 milhões por cada infração.
Para conhecer mais sobre os efeitos da LGPD, indicamos os seguintes materiais:
Cartilha sobre a LGPD (Câmara Brasileira de Comércio Eletrônico)
Autoridade Nacional de Dados e a nova dinâmica da LGPD (IT Fórum 365)
Vídeo: Black Mirror e LGPD: o que acontece no Brasil? – Entrevista com Zanatta (Tecmundo)
LGPD em computação em nuvem
Tanto a LGPD quanto a GDPR influenciam a forma de tratamento de dados no contexto de computação em nuvem.
Como é um tema muito novo, separamos abaixo os principais aspectos da lei junto com algumas das melhores práticas para manter a nuvem aderente aos requisitos da LGPD.
1. Segurança e prevenção
O que diz a lei
Prevenção e segurança são palavras de ordem para o tratamento de dados regulamentado pela LGPD.
Nesse ponto, o artigo 6º, diz o seguinte:
Artigo 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Práticas recomendadas de conformidade
Em termos de proteção de recursos de nuvem contra acessos não autorizados, é imprescindível o uso do IAM – Identity & Access Management. Nesse ponto, as melhores práticas são:
- Evite utilizar a conta root. A conta root permite acesso total aos recursos da nuvem, incluindo dados pessoais dos administradores e informações de faturamento. Para mitigar o risco de acesso indevido e não autorizado à informações confidenciais, crie usuários no IAM e atribua as políticas necessárias de acordo com o princípio do privilégio mínimo.
- Estabeleça boas políticas de senha. Para aumentar a segurança das senhas, exija o emprego de símbolos, números, letras minúsculas e maiúsculas, comprimento mínimo de senha e rotacionamento de chaves.
- Utilize ferramentas adicionais de segurança. Existem diversas opções para ampliar a proteção dos recursos, como a autenticação multi-fator (MFA) e questões de segurança para recuperação de acesso.
2. Sigilo dos dados pessoais
O que diz a lei
A confidencialidade dos dados sensíveis é tratada mais especificamente no artigo 46 da lei, que dispõe o seguinte:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Práticas recomendadas de conformidade
Além das práticas mencionadas no tópico anterior, existem outras tarefas importantes que ajudam a manter o sigilo dos dados pessoais detidos na nuvem.
- Nunca compartilhe de credenciais de acesso a terceiros. Sempre que necessário, crie um novo usuário do IAM;
- Atribua políticas de restrição de acesso aos recursos de nuvem para evitar a exposição e acesso de dados sensíveis;
- Habilite a criptografia nos recursos como de armazenamento e processamento de dados para evitar o risco de acesso a dados sensíveis por terceiros não autorizados ou agentes maliciosos.
3. Boas práticas de governança
O que diz a lei
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Práticas recomendadas de conformidade
Os provedores oferecem serviços de monitoramento e logs para ajudar e facilitar a identificação de exposição indevida de recursos e análises de auditoria:
- Ative controles de detecção a partir de registro de logs para identificar configurações incorretas de segurança, ameaças ou comportamentos inesperados. Alguns dos serviços disponíveis são: Amazon CloudTrail, Azure Audit Logs e Cloud Audit Logs.
- Monitore e seja alertado quando houver mudanças nas configurações dos recursos para prevenir acesso a dados sensíveis desprotegidos ou outras violações de segurança. Alguns dos serviços disponíveis são: Amazon CloudWatch, Azure Monitor e Cloud Monitoring.
Conte com o único produto de conformidade para LGPD
Adaptar os recursos da nuvem às exigências da LGPD de forma contínua não é tarefa fácil, e um produto CSPM pode ajudar com isso. São muitas regras, potenciais vulnerabilidades e recursos onde podem haver dados sensíveis, e como a nuvem está sempre em mudança fazer isso manualmente é quase impossível.
O CleanCloud Score, pode ajudar! Este faz mais de 300 verificações periódicas de conformidade para a nuvem AWS, Azure e Google Cloud de acordo com os principais frameworks e regulações do mercado, inclusive GDPR e LGPD.
E para saber mais sobre, veja como o CleanCloud Score pode ajudar na jornada de conformidade no blog da AWS.
