GDPR: sua nuvem está em conformidade?

A importância dos dados para empresas e a sociedade tem aumentado muito nos últimos anos. 

No entanto, o usuário, dono do dado, muitas vezes não tinha qualquer informação sobre como esse dado estava sendo usado pelas empresas que detinham essa informação.

Além disso, com tanta informação valiosa online, ataques de cibercriminosos se tornaram cada vez mais comuns, e muitas vezes proteções mínimas não eram prestadas pelas empresas que detinham os dados.

Nesse contexto foi criada a GDPR. 

 

O que é GDPR? 

O General Data Protection Regulation – GDPR (Regulamento Geral de Proteção de Dados em tradução livre) é uma lei europeia de privacidade que entrou em vigor em 25 de maio de 2018. Tem como objetivo proteger a privacidade dos dados pessoais de cidadãos europeus. 

O GDPR se aplica a todo o processamento de dados pessoais feito pelas organizações estabelecidas na União Europeia ou para as organizações que processam dados pessoais de residentes da União Europeia. 

 

Como afeta o Brasil? 

Embora o GDPR tenha sido criada pela União Europeia, qualquer empresa que colete, armazene e processe dados de cidadãos europeus, independentemente de onde ela esteja sediada, precisa estar de acordo com a legislação vigente. 

Em função disso, muitas empresas brasileiras precisam atender as exigências da lei europeia.

 

GDPR em computação em nuvem

O GDPR também adicionou estratégias de proteção de dados no contexto de computação em nuvem. 

Separamos abaixo alguns dos aspectos principais da lei junto com pontos específicos para ficar de olho em sua nuvem AWS. 

 

Controle de acesso a dados 

O artigo 25 do GDPR declara que o controlador dos dados “deve aplicar medidas técnicas e organizacionais para assegurar que, por padrão, só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do processamento”. 

Os seguintes mecanismos de controle de acesso da AWS ajudam os clientes a cumprir esse requisito, permitindo que somente administradores ou usuários autorizados acessem os recursos AWS:

  • O Identity and Access Management (IAM) – permite o gerenciamento de usuários e credenciais para controlar o acesso seguro aos recursos da AWS;
  • Autenticação multifator (MFA) – permite adicionar uma segurança extra à partir de mais um fator. Os usuários fornecem além do usuário e senha, uma senha única que é gerada aleatoriamente em um aplicativo;
  • Restrição do acesso aos recursos AWS baseado no princípio de privilégio mínimo –  permite conceder acesso aos usuários somente para acessar informações ou recursos de acordo com a necessidade;

 

Monitoramento e registro em log

O artigo 30 do GDPR dispõe que “cada controlador e, onde aplicável, seu representante deve manter um registro de todas as atividades de tratamento sob a sua responsabilidade”. 

O artigo também especifica quais informações devem ser gravadas quando se monitora o processamento de todos os dados pessoais. Para cumprir com essas obrigações, a AWS oferece os serviços de monitoramento e auditoria a seguir: 

  • Amazon CloudTrail – responsável por monitorar qualquer chamada de API feita em sua conta, rastreando e identificando ações realizadas em seu ambiente;
  • Amazon CloudWatch – produto de monitoramento de recursos da AWS. Com ele, é possível coletar e acompanhar dados como logs, eventos e métricas de diversos recursos e aplicações dentro da AWS;
  • AWS Config – serviço que permite acessar, auditar e avaliar as configurações de todos os recursos da nuvem AWS. Com ele, é possível monitorar continuamente registros e alterações das configurações desses recursos, visualizando a conformidade geral em relação às especificações de diretrizes internas da empresa; 

 

Proteção de dados

O artigo 32 do GDPR exige que as organizações “implementem medidas técnicas e organizacionais adequadas para garantir um nível de segurança apropriado para o risco, incluindo (…) o uso de pseudo-anonimização e a criptografia de dados pessoais (…)”. 

Além disso, as organizações devem se proteger da divulgação ou acesso não autorizado a dados pessoais. A criptografia nesse caso reduz consideravelmente os riscos associados ao armazenamento de dados pessoais. Algumas estratégias de criptografia que ajudam a mitigar o impacto de problemas de segurança são: 

  • Criptografia com chaves gerenciadas pelo S3 (SSE) – protege informações importantes, como dados sensíveis. O S3 criptografa cada objeto com uma chave exclusiva. Como proteção adicional, ele criptografa a própria chave com uma chave mestra que é atualizada regularmente;
  • AWS Key Management Service (KMS) – serviço gerenciado que permite o controle das chaves de criptografia usadas na proteção dos dados. Também está integrado ao AWS CloudTrail para fornecer logs contendo toda a utilização das suas chaves e ajudar a cumprir requisitos regulatórios e de conformidade;
  • AWS Certificate Manager (ACM) – serviço que permite criar e gerenciar certificados SSL/TLS que podem ser utilizados para a implementação de uma camada a mais de segurança no protocolo HTTP;

 

GDPR na União Europeia e LGPD no Brasil

A criação da GDPR não só inspirou, como também acelerou a formulação da lei brasileira que rege a forma como as organizações coletam, usam e compartilham os dados pessoais – a Lei Geral de Proteção de Dados ou LGPD que começa a viger em 1º de janeiro de 2021. 

Apesar da inspiração as duas regulações tem algumas diferenças, e nesse post trazemos dicas para que a nuvem AWS fique em conformidade com a LGPD

 

Conte com o CleanCloud Score

Assegurar a conformidade da nuvem com as leis atuais de proteção de dados não é uma tarefa fácil. São muitas vulnerabilidades que podem existir nos fluxos de coleta, tratamento e utilização de dados sensíveis.

Por isso, conte com o CleanCloud Score produto de compliance que oferece mais de 100 verificações de vulnerabilidades para manter a nuvem AWS em conformidade com GDPR.