O assunto está em alta, então você com certeza já ouviu falar dela: a Lei Geral de Proteção de Dados Pessoais. Após mais de dois anos de tramitação no Congresso brasileiro, a norma foi aprovada em julho do ano passado, e deve entrar em vigor em 16 de agosto de 2020.
Como a LGPD impacta o uso de recursos de computação em nuvem? O que sua empresa deve fazer para se proteger de eventuais sanções? Continue lendo e descubra!
O que é a LGPD?
O principal intuito da Lei Geral de Proteção de Dados Pessoais é disciplinar os fluxos de coleta, tratamento e uso de dados pessoais. Parte-se do pressuposto de que as organizações – sejam elas públicas, privadas, empresariais, governamentais ou de pesquisa – precisam dos dados para executar suas funções, mas que também devem ter clareza sobre a necessidade e sobre o processo de utilização dessas informações.
O conceito de dado pessoal, nesta lei, é amplo: abrange desde os dados da pessoa identificada (nome, endereço, CPF) até os dados que permitam sua identificação, como sua geolocalização, o endereço IP de seu telefone celular, hábitos de consumo, entre outros. E uma das principais diretrizes da lei é a de que esses dados devem ser coletados – e, consequentemente, tratados e utilizados pelas organizações -, mediante consentimento de seu detentor.
Por que é preciso entender a norma?
A LGPD é hoje o principal texto regulatório sobre proteção de dados pessoais no Brasil. E, como dissemos, o conceito de dado pessoal abrangido pela lei é bastante amplo. Por isso, qualquer empresa que utiliza dados pessoais para realizar seus negócios, está sob a autoridade da lei.
Em caso de infração às regras estabelecidas pela LGPD, estão previstas diferentes modalidades de sanções, que vão desde uma advertência até a aplicação de multa, que pode chegar a até 2% do faturamento da pessoa jurídica ou grupo econômico responsável ou R$ 50 mi por cada infração.
Para que você aprenda ainda mais sobre a LGPD e seus efeitos, indicamos os seguintes materiais:
Cartilha sobre a LGPD (Câmara Brasileira de Comércio Eletrônico)
Autoridade Nacional de Dados e a nova dinâmica da LGPD (IT Fórum 365)
Vídeo: Black Mirror e LGPD: o que acontece no Brasil? – Entrevista com Zanatta (Tecmundo)
LGPD em computação em nuvem
Agora que você já entendeu em linhas gerais sobre a LGPD, os riscos de sanções, é hora de aprender como permanecer em conformidade com as suas determinações em sua nuvem.
Para te ajudar nessa missão, separamos os principais aspectos da lei e pontos específicos para ficar de olho em sua nuvem AWS. Vamos lá?
1. Segurança e prevenção
O que diz a lei
Prevenção e segurança são palavras de ordem para o tratamento de dados regulamentado pela LGPD. Nesse ponto, o artigo 6º, diz o seguinte:
Artigo 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Como se proteger
Em termos de proteção de recursos AWS contra acessos não autorizados, é imprescindível o uso do IAM – Identity & Access Management. Nesse ponto, as principais dicas são:
- Evite utilizar sua conta root. A conta “raiz” permite acesso irrestrito aos seus recursos, incluindo dados pessoais dos administradores e informações de faturamento. Para executar tarefas que exijam a política AdministratorAccess, crie usuários no IAM e atribua a eles as políticas necessárias;
- Estabeleça boas políticas de senha. Para aumentar a segurança da palavra-chave, exija o emprego de símbolos, números, letras minúsculas e maiúsculas, além de um comprimento mínimo de senha. Veja mais sobre boas práticas para políticas de senha na documentação do IAM.
- Utilize ferramentas adicionais de segurança. A AWS oferece diversas opções para ampliar a proteção de seus recursos, como a autenticação multi-fator (MFA) e questões de segurança para recuperação de acesso.
2. Sigilo dos dados pessoais
O que diz a lei
A confidencialidade dos dados sensíveis é tratada mais especificamente no artigo 46 da lei, que dispõe o seguinte:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
Como se proteger
Além das práticas mencionadas no tópico anterior, existem outras atitudes importantes que ajudam sua organização a manter o sigilo dos dados pessoais detidos em sua nuvem.
- Nunca compartilhe ou permita o compartilhamento de credenciais de acesso a terceiros. Sempre que necessário, crie um novo usuário do IAM
- Verifique recursos como buckets do S3, bancos de dados RDS, volumes EBS, security groups, entre outros, e atribua políticas de restrição de acesso, evitando exposição de dados sensíveis detidos por sua aplicação;
- Habilite a encriptação de recursos como S3, EBS, bancos RDS, filas do SNS, entre outros.
Veja mais sobre encriptação de recursos na AWS neste post.
3. Boas práticas de governança
O que diz a lei
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
Como se proteger
Para te ajudar na difícil tarefa de gestão de riscos em sua nuvem, a AWS oferece alguns serviços gerenciados muito úteis. Empregá-los em sua infraestrutura facilitará o trabalho de identificação de exposição indevida de recursos e outras ameaças à segurança de seus recursos:
- Amazon CloudTrail, responsável por monitorar qualquer chamada de API feita em sua conta, rastreando e identificando ações realizadas em seu ambiente;
- Amazon CloudWatch, produto de monitoramento de recursos da AWS. Com ele, é possível coletar e acompanhar dados como logs, eventos e métricas de diversos recursos e aplicações dentro da AWS;
- Amazon Macie, que permite descobrir, classificar e proteger automaticamente dados confidenciais na AWS;
- Amazon Guard Duty, que utiliza ferramentas de machine learning para identificar comportamentos estranhos na sua nuvem, sejam eles frutos de falhas operacionais ou de atividades maliciosas;
Conte com a gente
Adaptar os recursos de sua nuvem às exigências da LGPD não é tarefa fácil. São muitas diretrizes e, ao mesmo tempo, muitos também são os espaços de vulnerabilidade existentes nos fluxos de coleta, tratamento e utilização de dados sensíveis.
Pensando nisso criamos um novo produto, totalmente focado em segurança e conformidade na nuvem AWS: o CleanCloud Score.
São mais de 90 vulnerabilidades verificadas em 5 frameworks: além da LGPD: CIS, HIPPA, GDPR, e Resolução Bacen 4.658. Essas vulnerabilidades são classificadas em ameaças e classificadas por nível de criticidade em cada framework, para que possa priorizar suas tarefas e manter a nuvem AWS cada vez mais segura e aderente às normas atuais de proteção de dados.
Faça como as melhores empresas do mercado e mantenha sua conta AWS em conformidade com a LGPD e principais benchmarks para a nuvem AWS!
Quer saber mais? Entre em contato conosco pelo email contato@cleancloud.com.br e agende uma demonstração! 🙂