LGPD – Sua nuvem está preparada?

Sua nuvem está preparada para a LGPD?

O assunto está em alta, então você com certeza já ouviu falar dela: a Lei Geral de Proteção de Dados Pessoais. Após mais de dois anos de tramitação no Congresso brasileiro, a norma foi aprovada em julho do ano passado, e deve entrar em vigor em 16 de agosto de 2020.

Como a LGPD impacta o uso de recursos de computação em nuvem? O que sua empresa deve fazer para se proteger de eventuais sanções? Continue lendo e descubra!

 

O que é a LGPD?

O principal intuito da Lei Geral de Proteção de Dados Pessoais é disciplinar os fluxos de coleta, tratamento e uso de dados pessoais. Parte-se do pressuposto de que as organizações – sejam elas públicas, privadas, empresariais, governamentais ou de pesquisa – precisam dos dados para executar suas funções, mas que também devem ter clareza sobre a necessidade e sobre o processo de utilização dessas informações.

O conceito de dado pessoal, nesta lei, é amplo: abrange desde os dados da pessoa identificada (nome, endereço, CPF) até os dados que permitam sua identificação, como sua geolocalização, o endereço IP de seu telefone celular, hábitos de consumo, entre outros. E uma das principais diretrizes da lei é a de que esses dados devem ser coletados – e, consequentemente, tratados e utilizados pelas organizações -, mediante consentimento de seu detentor.

 

Por que é preciso entender a norma?

A LGPD é hoje o principal texto regulatório sobre proteção de dados pessoais no Brasil. E, como dissemos, o conceito de dado pessoal abrangido pela lei é bastante amplo. Por isso, qualquer empresa que utiliza dados pessoais para realizar seus negócios, está sob a autoridade da lei.

Em caso de infração às regras estabelecidas pela LGPD, estão previstas diferentes modalidades de sanções, que vão desde uma advertência até a aplicação de multa, que pode chegar a até 2% do faturamento da pessoa jurídica ou grupo econômico responsável ou R$ 50 mi por cada infração.

Para que você aprenda ainda mais sobre a LGPD e seus efeitos, indicamos os seguintes materiais:

Cartilha sobre a LGPD (Câmara Brasileira de Comércio Eletrônico)

Autoridade Nacional de Dados e a nova dinâmica da LGPD (IT Fórum 365)

Vídeo: Black Mirror e LGPD: o que acontece no Brasil? – Entrevista com Zanatta (Tecmundo)

 

LGPD em computação em nuvem

Agora que você já entendeu em linhas gerais sobre a LGPD, os riscos de sanções, é hora de aprender como permanecer em conformidade com as suas determinações em sua nuvem.

Para te ajudar nessa missão, separamos os principais aspectos da lei e pontos específicos para ficar de olho em sua nuvem AWS. Vamos lá?

 

1. Segurança e prevenção

 

O que diz a lei

Prevenção e segurança são palavras de ordem para o tratamento de dados regulamentado pela LGPD. Nesse ponto, o artigo 6º, diz o seguinte:

Artigo 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

 

 

Como se proteger

Em termos de proteção de recursos AWS contra acessos não autorizados, é imprescindível o uso do IAM – Identity & Access Management. Nesse ponto, as principais dicas são:

  • Evite utilizar sua conta root. A conta “raiz” permite acesso irrestrito aos seus recursos, incluindo dados pessoais dos administradores e informações de faturamento. Para executar tarefas que exijam a política AdministratorAccess, crie usuários no IAM e atribua a eles as políticas necessárias;

  • Estabeleça boas políticas de senha. Para aumentar a segurança da palavra-chave, exija o emprego de símbolos, números, letras minúsculas e maiúsculas, além de um comprimento mínimo de senha. Veja mais sobre boas práticas para políticas de senha na documentação do IAM.

  • Utilize ferramentas adicionais de segurança. A AWS oferece diversas opções para ampliar a proteção de seus recursos, como a autenticação multi-fator (MFA) e questões de segurança para recuperação de acesso.

2. Sigilo dos dados pessoais

 

O que diz a lei

A confidencialidade dos dados sensíveis é tratada mais especificamente no artigo 46 da lei, que dispõe o seguinte:

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o disposto no caput deste artigo, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.

§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

 

Como se proteger

Além das práticas mencionadas no tópico anterior, existem outras atitudes importantes que ajudam sua organização a manter o sigilo dos dados pessoais detidos em sua nuvem. 

  • Nunca compartilhe ou permita o compartilhamento de credenciais de acesso a terceiros. Sempre que necessário, crie um novo usuário do IAM

  • Verifique recursos como buckets do S3, bancos de dados RDS, volumes EBS, security groups, entre outros, e atribua políticas de restrição de acesso, evitando exposição de dados sensíveis detidos por sua aplicação;

  • Habilite a encriptação de recursos como S3, EBS, bancos RDS, filas do SNS, entre outros. 

Veja mais sobre encriptação de recursos na AWS neste post.

 

3. Boas práticas de governança

 

O que diz a lei

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

 

Como se proteger

Para te ajudar na difícil tarefa de gestão de riscos em sua nuvem, a AWS oferece alguns serviços gerenciados muito úteis. Empregá-los em sua infraestrutura facilitará o trabalho de identificação de exposição indevida de recursos e outras ameaças à segurança de seus recursos:

  • Amazon CloudTrail, responsável por monitorar qualquer chamada de API feita em sua conta, rastreando e identificando ações realizadas em seu ambiente;

  • Amazon CloudWatch, produto de monitoramento de recursos da AWS. Com ele, é possível coletar e acompanhar dados como logs, eventos e métricas de diversos recursos e aplicações dentro da AWS;

  • Amazon Macie, que permite descobrir, classificar e proteger automaticamente dados confidenciais na AWS;

  • Amazon Guard Duty, que utiliza ferramentas de machine learning para identificar comportamentos estranhos na sua nuvem, sejam eles frutos de falhas operacionais ou de atividades maliciosas;

 

Conte com a gente

Adaptar os recursos de sua nuvem às exigências da LGPD não é tarefa fácil. São muitas diretrizes e, ao mesmo tempo, muitos também são os espaços de vulnerabilidade existentes nos fluxos de coleta, tratamento e utilização de dados sensíveis.

Pensando nisso criamos um novo produto, totalmente focado em segurança e conformidade na nuvem AWS: o CleanCloud Score.

São mais de 90 vulnerabilidades verificadas em 5 frameworks: além da LGPD: CIS, HIPPA, GDPR, e Resolução Bacen 4.658. Essas vulnerabilidades são classificadas em ameaças e classificadas por nível de criticidade em cada framework, para que possa priorizar suas tarefas e manter a nuvem AWS cada vez mais segura e aderente às normas atuais de proteção de dados.

Faça como as melhores empresas do mercado e mantenha sua conta AWS em conformidade com a LGPD e principais benchmarks para a nuvem AWS!

Quer saber mais? Entre em contato conosco pelo email contato@cleancloud.com.br e agende uma demonstração! 🙂

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.