O conhecimento para proteger as informações de identificação pessoal

As informações de identificação pessoal ou personally identifiable information (PII) representam quaisquer informações que podem ser utilizadas para identificar o titular de PII a quem estas informações se relacionam ou estão ou podem estar direta ou indiretamente vinculadas a um titular de PII. Isso precisa ser protegido por violação de dados ou o comprometimento da segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilícito a dados protegidos transmitidos, armazenados ou, de outra forma, processados.

pessoal2Hayrton Rodrigues do Prado Filho –

A Lei Geral de Proteção de Dados (nº 13.709) traz regras sobre a coleta e o tratamento de informações de pessoas por empresas e órgãos do poder público. Ela ainda terá um período de transição de 18 meses antes de entrar em vigor, terá impactos nas atividades cotidianas de usuários, empresas e órgãos da administração pública.

A lei trará consequências especialmente no mundo digital, uma vez que os usuários têm registros e atividades coletados e tratados diariamente não somente por plataformas (como facebook ou google) mas por uma série de outras empresas sem que eles saibam. Mas também valerá no mundo offline, como no pedido de CPF para compras em farmácias ou na hora de entrar em um prédio residencial ou comercial.

Assim, os dados pessoais são informações que podem identificar alguém. Não se trata, portanto, apenas do nome. Mas um endereço ou até mesmo emprego podem ser considerados como tal se permitirem identificar alguém quando cruzados com outros registros. Dentro do conceito, foi criada uma categoria chamada de dado sensível, informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação. Esse tipo de característica não poderá ser considerado, por exemplo, para direcionamento de anúncios publicitários sem que haja um consentimento específico e destacado do titular. Já registros médicos não poderão ser comercializados.

Uma empresa não poderá coletar dados para fazer o que quiser com eles, mas deverá informar a finalidade. Um site que solicite dados de idade em um cadastro sem que isso tenha a ver com o serviço prestado pode ser questionado. A coleta só poderá ocorrer em situações específicas, sendo a principal delas mediante a obtenção de autorização do titular (o chamado consentimento). A tendência, portanto, é que os usuários passem a ser perguntados mais frequentemente se dão sua permissão. Neste momento, será importante ler o motivo da coleta para identificar se os dados solicitados têm relação com a finalidade da atividade.

De outro lado, o titular ganhou uma série de direitos. Ele poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por “legítimo interesse”) e para qual finalidade. Caso os registros estejam incorretos, poderá cobrar a correção. Em determinados casos, o titular terá o direito de se opor a um tratamento. A lei também permitirá a revisão de decisões automatizadas tomadas com base no tratamento de dados (como as notas de crédito ou perfis de consumo).

O usuário de mídias sociais poderá solicitar a qualquer momento o acesso aos dados pessoais mantidos pelas plataformas. Além disso, terá o direito de solicitar a uma empresa que elaborou o seu perfil financeiro o acesso aos dados pessoais que justificaram a determinação do seu perfil (ainda que automatizada), inclusive para solicitar a correção de qualquer dado incorreto ou inexato”, exemplifica a advogada especializada em direito digital Vanessa Lerner.

O titular terá ainda direito à portabilidade de suas informações, assim como ocorre com número de telefone. A autoridade regulatória, se criada, deve definir no futuro como isso será feito. Mas a possibilidade de levar os dados consigo é importante para que uma pessoa possa trocar de aplicativo sem perder seus contatos, fotos ou publicações.

As crianças de até 12 anos ganharam garantias específicas na lei. A coleta fica sujeita a uma série de restrições, deve ser informada de maneira acessível para esse público e será condicionada à autorização de pelo menos um dos pais.

Na verdade, quando se fala sobre PII no contexto das violações de dados e roubo de identidade pode-se estar relacionado com uma empresa ou organização que teve seus dados corrompidos, o que é uma preocupação significativa de que o PII pode ter ficado exposto – os dados pessoais dos clientes que fazem negócios ou interagem de alguma outra forma com a empresa. As PII expostas podem ser vendidas na deep web e usadas para cometer o roubo de identidade, colocando as vítimas em risco.

Atualmente, nem todas as PII são iguais em termos de importância ou sensibilidade. Por exemplo, o seu número da seguro social ou do INSS é apenas seu. Isso faz com que ele seja extremamente importante para a sua identidade.

Por outro lado, é possível – mesmo em alguns casos – que outras pessoas tenham o mesmo nome que você. Considere quantos josés, manuéis, garcias devem ter. Então, enquanto o seu nome é uma peça importante de PII, sendo secundário para o seu número da do seguro social ou INSS.

Muitas vezes, os ladrões de identidade juntam as PII de uma vítima em potencial. Combine um nome com o endereço de e-mail de uma pessoa – e o bandido está chegando a algum lugar. Acrescente a data de nascimento e a cidade natal e o ladrão está bem encaminhado para identificar uma vítima.

Com essas informações e o número do seguro social ou do INSS que o acompanha, um ladrão pode ter tudo o que precisa para cometer um roubo de identidade. É por isso que não se deve carregar seu cartão do seguro social ou INSS em sua carteira – com todos os seus dados secundários. Sua carteira perdida pode ser o sonho de um ladrão de identidade se tornando realidade.

Não pense que isso é um problema menor. O roubo de identidade é uma grande preocupação do consumidor. Uma pesquisa de 2017 revelou algumas atitudes surpreendentes em relação ao roubo de identidade em comparação com outras preocupações:

– 44% dos consumidores norte-americanos dizem que o roubo de identidade e a fraude bancária, combinados, são a principal preocupação deles.

– 22 % disseram que sua própria morte – ou a de um ente querido – era a principal preocupação deles.

– 18 % disseram que sua maior preocupação era ser vítima de um ataque terrorista.

Com mais consumidores preocupados com o roubo de identidade do que com sua mortalidade, faz sentido lembrar o valor das PII. As pessoas não podem ter roubo de identidade sem PII. Por isso, é importante fazer tudo o que puder para proteger suas informações pessoalmente identificáveis.

E o que se pode fazer?

– Limite o que se compartilha nas mídias sociais. Se for a resposta para uma das suas perguntas de segurança online, o nome do seu cão é PII.

– Destrua os documentos importantes antes de descartá-los.

– Evite entregar o seu número do seguro social ou do INSS só porque alguém pede por isso. Certifique-se de que eles precisam. Pergunte como eles vão protegê-lo e deixe isso gravado.

– E, novamente, guarde seu cartão da Previdência Social em um lugar seguro, não em sua carteira.

Há muito mais que se pode fazer, mas o ponto principal é pensar duas vezes antes de compartilhar seus PII – e com mais frequência ainda, sobre protegê-las.

A NBR ISO/IEC 27018 de 10/2018 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de informações de identificação pessoal (PII) em nuvens públicas que atuam como processadores de PII estabelece objetivos de controle, controles e diretrizes comumente aceitos para implementação de medidas para proteger as Informações de Identificação Pessoal (personally identifiable information – PII) de acordo com os princípios de privacidade descritos na ISO/IEC 29100, para o ambiente de computação em nuvem pública. Em particular, esta norma especifica diretrizes com base na NBR ISO/IEC 27002, levando em consideração os requisitos regulatórios para a proteção de PII que podem ser aplicáveis dentro do contexto do (s) ambiente (s) de risco de segurança da informação de um provedor de serviços em nuvem pública.

Esta norma é aplicável a todos os tipos e tamanhos de organizações, incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos, que fornecem serviços de processamento de informações, como processadores de PII, por meio da computação em nuvem sob contrato para outras organizações. As diretrizes desta norma também podem ser relevantes para organizações que atuam como controladores de PII, entretanto, os controladores de PII podem estar sujeitos à legislação, regulamentos e obrigações adicionais de proteção de PII, não se aplicando aos processadores de PII. Esta norma não se destina a abranger estas obrigações adicionais.

Os provedores de serviços em nuvem que processam PII sob contrato com seus clientes têm que operar seus serviços de forma a permitir que ambas as partes atendam aos requisitos da legislação e regulamentos aplicáveis que abrangem a proteção de PII. Os requisitos e a forma como os requisitos são divididos entre o provedor de serviços em nuvem e seus clientes variam de acordo com a jurisdição legal, e de acordo com os termos do contrato entre o provedor de serviços em nuvem e o cliente.

A legislação que regula como a PII é permitida para ser processada (ou seja, coletada, utilizada, transferida e descartada) é algumas vezes referida como legislação de proteção de dados; a PII é algumas vezes referida como dados pessoais ou informações pessoais. As obrigações que incidem sobre um processador de PII variam de jurisdição para jurisdição, sendo um desafio para empresas que fornecem serviços de computação em nuvem os operarem multinacionalmente.

Um provedor de serviços em nuvem pública é um “processador de PII” quando ele processa PII de acordo com as instruções de um cliente que utiliza serviços em nuvem. O cliente que utiliza serviços em nuvem, que tem o relacionamento contratual com o processador de PII em nuvem pública, pode variar de uma pessoa física, um “titular de PII”, processando sua própria PII na nuvem, até uma organização, um “controlador de PII”, que processa a PII relativa a muitos titulares de PII.

O cliente que utiliza serviços em nuvem pode autorizar um ou mais usuários para serviço em nuvem associados a ele para utilizar os serviços disponibilizados sob seu contrato com o processador de PII em nuvem pública. Observar que o cliente que utiliza serviços em nuvem tem autoridade sobre o processamento e uso dos dados. Um cliente que utiliza serviços em nuvem, que também é um controlador de PII, pode estar sujeito a um conjunto mais amplo de obrigações que regulam a proteção de PII do que o processador de PII em nuvem pública.

A manutenção da distinção entre o controlador de PII e o processador de PII depende do processador de PII em nuvem pública que não tenha objetivos de processamento de dados diferentes dos estabelecidos pelo cliente que utiliza serviços em nuvem em relação à PII que ele processa e às operações necessárias para atingir os objetivos do cliente que utiliza serviços em nuvem. Quando o processador de PII em nuvem pública estiver processando dados da conta do cliente que utiliza serviços em nuvem, ele pode estar atuando como um controlador de PII para esta finalidade. Esta norma não abrange esta atividade.

A intenção desta norma, quando utilizada em conjunto com os objetivos e controles de segurança da informação descritos na NBR ISO/IEC 27002, é criar um conjunto comum de categorias e controles de segurança que possam ser implementados por um provedor de serviços de computação em nuvem pública que atua como um processador de PII. Esta norma tem alguns o objetivos. Por exemplo, auxiliar o provedor de serviços em nuvem pública a atender às obrigações aplicáveis ao atuar como um processador de PII, se estas obrigações incidirem sobre o processador de PII diretamente ou por contrato.

Permitir que o processador de PII em nuvem pública seja transparente em assuntos relevantes, de modo que os clientes que utilizam serviços em nuvem possam selecionar serviços de processamento de PII bem controlados com base na nuvem. Auxiliar o cliente que utiliza serviços em nuvem e o processador de PII em nuvem pública a realizarem um acordo contratual. Prover aos clientes que utilizam serviços em nuvem um mecanismo para o exercício de direitos e responsabilidades de auditoria e conformidade nos casos onde auditorias individuais do cliente que utiliza serviços em nuvem de dados hospedados em um ambiente de servidor virtualizado (nuvem) com várias partes possam ser impraticáveis tecnicamente e possam aumentar os riscos a estes controles de segurança de rede física e lógica no local.

Esta norma não substitui a legislação e os regulamentos aplicáveis, porém pode auxiliar provendo uma estrutura de conformidade comum para provedores de serviços em nuvem pública, especialmente aqueles que operam em um mercado multinacional. É projetada para que as organizações a utilizem como uma referência para selecionar controles de proteção de PII dentro do processo de implementação de um sistema de gestão de segurança da informação de computação em nuvem com base na NBR ISO/IEC 27001, ou como documento de orientação para implementação de controles de proteção de PII comumente aceitos para organizações que atuam como processadores de PII em nuvem pública.

Em particular, esta norma foi baseada na NBR ISO/IEC 27002, levando em consideração o (s) ambiente (s) de risco específico decorrente (s) dos requisitos de proteção de PII que podem ser aplicados aos provedores de serviços de computação em nuvem pública que atuam como processadores de PII. Normalmente, uma organização que implementa a NBR ISO/IEC 27001 está protegendo seus próprios ativos de informação.

Entretanto, no contexto dos requisitos de proteção de PII para um provedor de serviços em nuvem pública que atua como um processador de PII, a organização está protegendo os ativos de informação que são confiados a ela pelos seus clientes. A implementação dos controles da NBR ISO/IEC 27002 pelo processador de PII em nuvem pública é adequada para esta finalidade e necessária.

Esta norma incrementa os controles da NBR ISO/IEC 27002 para acomodar a natureza distribuída do risco e a existência de uma relação contratual entre o cliente que utiliza serviços em nuvem e o processador de PII em nuvem pública. Incrementa os controles da NBR ISO/IEC 27002 de duas maneiras: as diretrizes para implementação aplicáveis à proteção de PII em nuvem pública são providas para determinados controles existentes da NBR ISO/IEC 27002, e o Anexo A provê um conjunto de controles adicionais e diretrizes associadas destinados a tratar dos requisitos de proteção de PII em nuvem pública não abordados pelo conjunto de controle existente da NBR ISO/IEC 27002.

A maioria dos controles e diretrizes nesta norma também se aplicará a um controlador de PII. Entretanto, o controlador de PII, na maioria dos casos, estará sujeito às obrigações adicionais não especificadas nesta norma. É essencial que uma organização identifique seus requisitos para a proteção de PII.

Existem três fontes principais de requisitos, conforme descrito abaixo. Requisitos Legais, Estatutários, Regulamentares e Contratuais: uma fonte é representada pelos requisitos e obrigações legais, estatutários, regulamentares e contratuais que uma organização, seus parceiros comerciais, contratados e provedores de serviços têm que atender, e suas responsabilidades socioculturais e seu ambiente operacional. Convém que seja observado se a legislação, regulamentos e cláusulas contratuais realizados pelo processador de PII podem requerer a seleção de controles específicos e também podem necessitar de critérios específicos para a implementação destes controles. Estes requisitos podem variar de uma jurisdição para outra.

Riscos: outra fonte é derivada da avaliação de riscos à organização associada à PII, levando em consideração a estratégia e os objetivos globais de negócio da organização. Por meio de uma avaliação de riscos, as ameaças são identificadas, a vulnerabilidade e a probabilidade de ocorrência são avaliadas e o impacto potencial é estimado. A NBR ISO/IEC 27005 provê diretrizes sobre a gestão de riscos na segurança da informação, incluindo recomendações sobre a avaliação do risco, aceitação do risco, comunicação do risco, monitoramento do risco e análise crítica do risco. A ISO/IEC 29134 provê diretrizes sobre a avaliação do impacto à privacidade.

Políticas corporativas: enquanto muitos aspectos abrangidos por uma política corporativa são derivados de obrigações legais e socioculturais, uma organização também pode escolher voluntariamente para ir além dos critérios que são derivados dos requisitos já descritos. Os controles podem ser selecionados desta norma (que inclui, por referência, os controles da NBR ISO/IEC 27002, criando um conjunto combinado de controle de referência para o setor ou aplicação especificado pelo escopo).

Se requeridos, os controles também podem ser selecionados de outros conjuntos de controle, ou novos controles podem ser projetados para atender às necessidades específicas, conforme apropriado. Um serviço de processamento de PII fornecido por um processador de PII em nuvem pública pode ser considerado uma aplicação de computação em nuvem em vez de um setor por si só.

Entretanto, o termo “específicos do setor” é utilizado nesta norma, uma vez que este é o termo convencional utilizado em outras normas da série ISO/IEC 27000. A seleção de controles depende das decisões organizacionais com base nos critérios para aceitação do risco, opções para tratamento do risco e abordagem geral da gestão do risco aplicada à organização e, por meio de acordos contratuais, seus clientes e fornecedores, e também estará sujeita a todos os regulamentos e legislações nacionais e internacionais relevantes.

Quando os controles nesta norma não forem selecionados, isto precisa ser documentado com justificativa pela omissão. Além disso, a seleção e a implementação de controles dependem da função real do provedor de nuvem pública no contexto de toda a arquitetura de referência de computação em nuvem (ver ISO/IEC 17789). Muitas organizações diferentes podem ser envolvidas em fornecer serviços de infraestrutura e de aplicação em um ambiente de computação em nuvem.

Em algumas circunstâncias, controles selecionados podem ser exclusivos a uma categoria de serviço específica da arquitetura de referência de computação em nuvem. Em outros casos, pode haver funções compartilhadas na implementação de controles de segurança. Os acordos contratuais precisam especificar claramente as responsabilidades de proteção de PII de todas as organizações envolvidas em prover ou utilizar os serviços em nuvem, incluindo o processador de PII em nuvem pública, seus subcontratados e o cliente que utiliza serviços em nuvem.

Os controles nesta norma podem ser considerados princípios de diretrizes e aplicáveis à maioria das organizações. Eles são explicados com mais detalhes a seguir, juntamente com as diretrizes para implementação. A implementação pode ser simplificada se os requisitos para a proteção de PII tiverem sido considerados no projeto do sistema de informações, serviços e operações do processador de PII em nuvem pública. Esta consideração é um elemento do conceito que é muitas vezes denominada de “Privacidade por Projeto”. A bibliografia lista documentos relevantes, como a ISO/IEC 29101.

Esta norma possui uma estrutura similar à da NBR ISO/IEC 27002. Nos casos onde os objetivos e controles especificados na NBR ISO/IEC 27002 são aplicáveis sem a necessidade de quaisquer informações adicionais, somente uma referência à ABNT NBR ISO/IEC 27002 é fornecida. Controles adicionais e diretrizes para implementação associadas, aplicáveis à proteção de PII para provedores de serviços de computação em nuvem, são descritos no Anexo A (normativo).

Nos casos onde os controles necessitam de diretrizes adicionais aplicáveis à proteção de PII para provedores de serviços de computação em nuvem, isto é provido sob o título Diretrizes para implementação da proteção de PII em nuvem pública. Em alguns casos, outras informações relevantes que realçam as diretrizes adicionais são providas sob o título denominado Outras informações para proteção de PII em nuvem pública.

Conforme mostrado na tabela, estas diretrizes e informações específicas do setor estão incluídas nas categorias especificadas na NBR ISO/IEC 27002. Os números da Seção, que foram alinhados com os números das Seções correspondentes na NBR ISO/IEC 27002, estão indicados na tabela.

identificação3

Convém que os contratos entre o processador de PII em nuvem pública e quaisquer subcontratados que processam PII especifiquem as medidas técnicas e organizacionais mínimas que atendam à segurança da informação e às obrigações de proteção de PII do processador de PII em nuvem pública. Convém que estas medidas não sejam sujeitas à redução unilateral pelo subcontratado. O uso de subcontratados para armazenar cópias de segurança (backup) é abrangido por este controle (ver A.7.1).

Convém que o processador de PII em nuvem pública assegure que, sempre que o espaço de armazenamento de dados for atribuído a um cliente que utiliza serviços em nuvem, quaisquer dados que residem previamente nesse espaço de armazenamento não sejam visíveis a este cliente que utiliza serviços em nuvem. Mediante a exclusão por um usuário que utiliza serviços em nuvem de dados mantidos em um sistema de informações, questões de desempenho podem significar que o apagamento explícito destes dados é impraticável.

Isto cria o risco de que outro usuário pode ser capaz de ler os dados. Convém que este risco seja evitado por medidas técnicas específicas. Nenhuma diretriz específica é especialmente apropriada para tratar de todos os casos na implementação deste controle. Entretanto, como exemplo, algumas infraestruturas, plataformas ou aplicações em nuvem retornarão zeros se um usuário que utiliza serviços em nuvem tentar ler o espaço de armazenamento que não tenha sido sobregravado pelos próprios dados deste usuário.

Quanto aos serviços em nuvem, deve-se levar em conta que o ambiente de nuvem utiliza segurança compartilhada. Todos os sistemas, assim, têm que trabalhar para garantir o processo de segurança e privacidade de dados, desde a criação até o uso no dia a dia.

A movimentação de dados do ambiente físico, dentro do cliente, para a nuvem pública, traz a necessidade de garantir o isolamento, desde o processo da movimentação dos dados para o ambiente compartilhado até para o uso no dia a dia. A mudança de ambiente físico para ambiente virtualizado deve contemplar o isolamento dos ambientes e assegurar a segurança das informações.

A NBR ISO/IEC 27002 de 11/2013 – Tecnologia da informação – Técnicas de segurança – Código de Prática para controles de segurança da informação fornece diretrizes para práticas de gestão de segurança da informação e normas de segurança da informação para as organizações, incluindo a seleção, a implementação e o gerenciamento de controles, levando em consideração os ambientes de risco da segurança da informação da organização. É projetada para ser usada por organizações que pretendam: selecionar controles dentro do processo de implementação de um sistema de gestão da segurança da informação baseado na NBR ISO/IEC 27001; implementar controles de segurança da informação comumente aceitos; desenvolver seus próprios princípios de gestão da segurança da informação.

Importante dizer que a norma foi projetada para as organizações usarem como uma referência na seleção de controles dentro do processo de implementação de um sistema de gestão da segurança da informação (SGSI), baseado na NBR ISO/IEC 27001 ou como um documento de orientação para as organizações implementarem controles de segurança da informação comumente aceitos. É também usada no desenvolvimento de organizações e indústrias específicas de gerenciamento de segurança da informação, levando em consideração os seus ambientes de risco de segurança da informação específicos.

Organizações de todos os tipos e tamanhos (incluindo o setor privado e público, organizações comerciais e sem fins lucrativos), coletam, processam, armazenam e transmitem informações em diferentes formatos, incluindo o eletrônico, físico e verbal (por exemplo, conversações e apresentações). O valor da informação vai além das palavras escritas, números e imagens: conhecimento, conceitos, ideias e marcas são exemplos de formas intangíveis da informação. Em um mundo interconectado, a informação e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operações são informações que, como outros ativos importantes, têm valor para o negócio da organização e, consequentemente, requerem proteção contra vários riscos.

Ativos são objeto de ameaças, tanto acidentais como deliberadas, enquanto que os processos, sistemas, redes e pessoas têm vulnerabilidades inerentes. Mudanças nos processos e sistemas do negócio ou outras mudanças externas (como novas leis e regulamentações) podem criar novos riscos de segurança da informação.

Desta forma, em função das várias maneiras nas quais as ameaças podem se aproveitar das vulnerabilidades para causar dano à organização, os riscos de segurança da informação estão sempre presentes. Uma segurança da informação eficaz reduz estes riscos, protegendo a organização das ameaças e vulnerabilidades e, assim, reduzindo o impacto aos seus ativos.

A segurança da informação é alcançada pela implementação de um conjunto adequado de controles, incluindo políticas, processos, procedimentos, estrutura organizacional e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, quando necessário, para assegurar que os objetivos do negócio e a segurança da informação da organização sejam atendidos. Um sistema de gestão da segurança da informação (SGSI), a exemplo do especificado na NBR ISO/IEC 27001, considera uma visão holística e coordenada dos riscos de segurança da informação da organização, para implementar um conjunto de controles de segurança da informação detalhado, com base na estrutura global de um sistema de gestão coerente.

Muitos sistemas de informação não têm sido projetados para serem seguros, na ótica da NBR ISO/IEC 27001 e desta norma. A segurança que pode ser alcançada através de meios técnicos é limitada e está apoiada por procedimentos e gerenciamentos apropriados.

A identificação de quais controles devem ser implementados requer planejamento e atenção cuidadosa em nível de detalhes. Um sistema de gestão da segurança da informação bem-sucedido requer apoio de todos os funcionários da organização. Isto pode também exigir a participação de acionistas, fornecedores ou outras partes externas. Orientações de especialistas externos podem também ser necessárias.

De um modo geral, uma segurança da informação eficaz também garante à direção e a outras partes interessadas que os ativos da organização estão razoavelmente seguros e protegidos contra danos, agindo como um facilitador dos negócios. Assim, é essencial que uma organização identifique os seus requisitos de segurança da informação. Existem três fontes principais de requisitos de segurança da informação.

A avaliação de riscos para a organização, levando-se em conta os objetivos e as estratégias globais de negócio da organização. Por meio da avaliação de riscos, são identificadas as ameaças aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.

A legislação vigente, os estatutos, a regulamentação e as cláusulas contratuais que a organização, seus parceiros comerciais, contratados e provedores de serviço têm que atender, além do seu ambiente sociocultural. Os conjuntos particulares de princípios, objetivos e os requisitos do negócio para o manuseio, processamento, armazenamento, comunicação e arquivo da informação, que uma organização tem que desenvolver para apoiar suas operações.

Os recursos empregados na implementação dos controles precisam ser balanceados com base na probabilidade de danos ao negócio, resultado dos problemas de segurança pela ausência desses controles. Os resultados de uma avaliação de risco ajudarão a orientar e determinar as ações de gestão apropriadas e as prioridades para gerenciar os riscos de segurança da informação e a implementação dos controles selecionados para proteger contra estes riscos.

A NBR ISO/IEC 27005 fornece as diretrizes sobre gestão de riscos de segurança da informação, incluindo orientações sobre avaliação de riscos, tratamentos de riscos, aceitação de riscos, comunicação de riscos, monitoramento e análise crítica dos riscos. Os controles podem ser selecionados desta norma ou de outros conjuntos de controles, ou novos controles podem ser projetados para atender às necessidades específicas, conforme apropriado.

A seleção de controles de segurança da informação depende das decisões da organização, baseadas nos critérios para aceitação de risco, nas opções para tratamento do risco e no enfoque geral da gestão de risco aplicado à organização, e convém que a seleção destes controles também esteja sujeita a todas as legislações e regulamentações nacionais e internacionais relevantes. A seleção de controles também depende da maneira pela qual os controles interagem para prover uma proteção segura.

Alguns dos controles nesta norma podem ser considerados princípios básicos para a gestão da segurança da informação e podem ser aplicados à maioria das organizações. Os controles são explicados em mais detalhes logo a seguir, no campo diretrizes para implementação. Mais informações sobre seleção de controles e outras opções para tratamento de riscos podem ser encontradas na NBR ISO/IEC 27005.

A informação tem um ciclo de vida natural, desde a sua criação e origem, armazenamento, processamento, uso e transmissão, até a sua eventual destruição ou obsolescência. O valor e os riscos aos ativos podem variar durante o tempo de vida da informação (por exemplo, revelação não autorizada ou roubo de balanços financeiros de uma companhia é muito menos importante depois que eles são formalmente publicados), porém a segurança da informação permanece importante em algumas etapas de todos os estágios.

Sistemas de informação têm ciclos de vida nos quais eles são concebidos, especificados, projetados, desenvolvidos, testados, implementados, usados, mantidos e, eventualmente, retirados do serviço e descartados. Convém que a segurança da informação seja considerada em cada estágio. Desenvolvimentos de sistemas novos e mudanças nos sistemas existentes são oportunidades para as organizações atualizarem e melhorarem os controles de segurança, levando em conta os incidentes reais e os riscos de segurança da informação, projetados e atuais.

Enfim, a segurança da informação diz respeito à proteção de determinados dados, com a intenção de preservar seus respectivos valores para uma organização (empresa) ou um indivíduo. Pode-se entender como informação todo o conteúdo ou dado valioso para um indivíduo/organização, que consiste em qualquer conteúdo com capacidade de armazenamento ou transferência, que serve a determinado propósito e que é de utilidade do ser humano.

Atualmente, a informação digital é um dos principais produtos de nossa era e necessita ser convenientemente protegida. A segurança de determinadas informações pode ser afetada por vários fatores, como os comportamentais e do usuário, pelo ambiente/infraestrutura em que ela se encontra e por pessoas que têm o objetivo de roubar, destruir ou modificar essas informações.

Três características são básicas para segurança da informação em nuvem: confidencialidade, disponibilidade e integridade e podem ser consideradas até mesmo atributos. A confidencialidade diz respeito à inacessibilidade da informação, que não pode ser divulgada para um usuário, entidade ou processo não autorizado; quanto à integridade, a informação não deve ser alterada ou excluída sem autorização; e a disponibilidade é o acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas.

Com o aumento das restrições ou contenções financeiras, é possível considerar o armazenamento em nuvem para reduzir custos e melhorar a eficiência. Para isso, os gestores têm que alinhar cuidadosamente as necessidades da empresa com o que a nuvem tem a oferecer antes de tomar uma decisão. É muito importante que o cliente que opta por esse tipo de serviço tenha confiança e segurança no provedor de serviço. É preciso perguntar-se: a infraestrutura do provedor é adequada; tem processos que garantem a visibilidade e controle sobre todos os eventos desde o momento em que os dados são migrados na nuvem até mesmo sob operações do dia a dia; tem verificação e controle de acesso; tem aplicação da virtualização do controle de acesso suficiente para se adequar ao controle da sua empresa; tem gerenciamento e monitoramento contínuos; tem criptografia; e será que se poderá acessar os dados daqui a alguns anos?

Também é necessário levar em conta que o ambiente de nuvem utiliza segurança compartilhada. Todos os sistemas, assim, têm que trabalhar para garantir o processo de segurança e privacidade de dados, desde a criação até o uso no dia a dia.

A movimentação de dados do ambiente físico, dentro do cliente, para a nuvem pública, traz a necessidade de garantir o isolamento, desde o processo da movimentação dos dados para o ambiente compartilhado até para o uso no dia a dia. A mudança de ambiente físico para ambiente virtualizado deve contemplar o isolamento dos ambientes e assegurar a segurança das informações.

Três características são básicas para segurança da informação em nuvem: confidencialidade, disponibilidade e integridade e podem ser consideradas até mesmo atributos. A confidencialidade diz respeito à inacessibilidade da informação, que não pode ser divulgada para um usuário, entidade ou processo não autorizado; quanto à integridade, a informação não deve ser alterada ou excluída sem autorização; e a disponibilidade é o acesso aos serviços do sistema/máquina para usuários ou entidades autorizadas. Toda vulnerabilidade de um sistema ou computador pode representar possibilidades de ponto de ataque de terceiros.

A NBR ISO/IEC 27017 de 07/2016 – Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação com base NBR ISO/IEC 27002 para serviços em nuvem fornece diretrizes para os controles de segurança da informação aplicáveis à prestação e utilização de serviços em nuvem, fornecendo o seguinte: diretrizes adicionais para implementação de controles relevantes especificados na NBR ISO/IEC 27002; controles adicionais com diretrizes de implementação que são relacionadas especificamente a serviços em nuvem. Esta recomendação/norma fornece controles e diretrizes de implementação para provedores de serviços em nuvem e clientes de serviços em nuvem.

As diretrizes contidas nesta recomendação/norma adicionam e complementam as diretrizes oferecidas na NBR ISO/IEC 27002. Especificamente, esta recomendação/norma fornece diretrizes que apoiam a implementação de controles de segurança da informação para os clientes de serviços em nuvem e provedores de serviços em nuvem.

Algumas diretrizes são para clientes de serviços em nuvem que implementam os controles e outras são para provedores de serviços em nuvem para apoiar a implementação desses controles. A seleção dos controles apropriados de segurança da informação e a aplicação da diretriz de implementação fornecida dependerão de uma avaliação de risco e de quaisquer requisitos legais, contratuais, regulatórios ou outros requisitos de segurança da informação específicos para o setor e computação em nuvem.

O uso de computação em nuvem mudou a forma como é recomendado que as organizações avaliem e mitiguem riscos de segurança da informação, devido às mudanças significativas em como os recursos computacionais são tecnicamente concebidos, utilizados e governados. Esta recomendação/norma fornece diretrizes adicionais para implementações específicas para a nuvem, com base na NBR ISO/IEC 27002, e fornece controles adicionais para lidar com considerações sobre ameaças de segurança da informação e riscos, específicas para ambientes em nuvem.

Convém que os usuários desta recomendação/norma consultem a NBR ISO/IEC 27002, Seções 5 a 18, para controles, orientação de implementação e outras informações. Devido à aplicabilidade geral da ISO/IEC 27002, muitos dos controles, da diretriz de implementação e outras informações se aplicam a ambos os contextos de computação geral ou em nuvem da organização.

Por exemplo, a NBR ISO/IEC 27002 “6.1.2 Segregação de funções” fornece um controle que pode ser aplicado se a organização está agindo como um provedor de serviço em nuvem ou não. Além disso, um cliente de serviços em nuvem pode derivar requisitos para segregação de funções ao ambiente de nuvem do mesmo controle, por exemplo, segregando os administradores de serviços em nuvem, clientes de serviço e usuários de serviços em nuvem.

Como uma extensão da NBR ISO/IEC 27002, esta recomendação/norma fornece mais controles específicos de serviços em nuvem, diretrizes de implementação e outras informações (ver 4.5), que se destinam a mitigar os riscos que acompanham as características técnicas e operacionais dos serviços em nuvem (ver Anexo B). Os clientes de serviços em nuvem e os prestadores de serviços em nuvem podem se referir à NBR ISO/IEC 27002 e a esta recomendação/norma para selecionar os controles com a diretriz de implementação e adicionar outros controles, se necessário.

Este processo pode ser feito pela realização de avaliação de riscos de segurança e tratamento de riscos no contexto organizacional e de negócios, onde os serviços em nuvem são utilizados ou fornecidos (ver 4.4). Clientes do serviço em nuvem e provedores do serviço em nuvem também podem formar uma cadeia de suprimento.

Supor que um prestador de serviços em nuvem forneça um serviço de recursos de infraestrutura. Em cima dela, outro prestador de serviços em nuvem pode fornecer um serviço de recursos de aplicação.

Neste caso, o segundo fornecedor de serviços em nuvem é um cliente do serviço em nuvem no que diz respeito à primeira, e um fornecedor de serviço em nuvem do ponto de vista do cliente do serviço em nuvem utilizando o seu serviço. Este exemplo ilustra o caso em que esta recomendação/norma se aplica a uma organização, tanto como um cliente do serviço em nuvem quanto como um provedor do serviço em nuvem.

Como os clientes de serviços em nuvem e provedores do serviço em nuvem formam uma cadeia de fornecedores através da concepção e implementação do(s) serviço(s) em nuvem, a seção 15.1.3 da NBR ISO/IEC 27002 é aplicável. A multipartes ISO/IEC 27036 “Information security for supplier relationship” fornece orientações detalhadas sobre a segurança da informação no relacionamento com os fornecedores para o adquirente e para o fornecedor de produtos e serviços.

A ISO/IEC 27036 Parte 4 lida diretamente com a segurança dos serviços em nuvem no relacionamento com os fornecedores. Esta norma é também aplicável aos clientes do serviço em nuvem como adquirentes e aos prestadores de serviços em nuvem como fornecedores.

No ambiente de computação em nuvem, os dados dos clientes do serviço em nuvem são armazenados, transmitidos e processados por um serviço em nuvem. Portanto, os processos de negócios do cliente do serviço em nuvem podem depender da segurança da informação do serviço em nuvem.

Sem controle suficiente sobre o serviço em nuvem, o cliente de serviços em nuvem pode precisar tomar precauções extras com suas práticas de segurança da informação. Antes de contratar o fornecedor do serviço em nuvem, o cliente do serviço em nuvem precisa selecionar um serviço em nuvem, levando em conta as possíveis lacunas entre os requisitos de segurança da informação do cliente do serviço em nuvem e os recursos em segurança de informações oferecidas pelo serviço em nuvem.

Uma vez que um serviço em nuvem é selecionado, recomenda-se que o cliente do serviço em nuvem gerencie o uso do serviço em nuvem de forma a satisfazer os seus requisitos de segurança da informação. Nesta relação, recomenda-se que o provedor do serviço em nuvem forneça as informações e o suporte técnico que são necessários para atender aos requisitos de segurança da informação do cliente do serviço em nuvem.

Quando os controles de segurança da informação fornecidos pelo provedor do serviço em nuvem são predefinidos e não há possibilidade de serem alterados pelo cliente do serviço em nuvem, o cliente do serviço em nuvem pode precisar implementar seus próprios controles extras para mitigar os riscos em seus processos de gestão de riscos de segurança da informação estabelecidos. É aconselhável consultar a NBR ISO/IEC 27001 para os requisitos da gestão de segurança da informação para realizar a gestão de riscos em seus sistemas de gestão de segurança da informação, e se referir à NBR ISO/IEC 27005 para obter diretrizes adicionais sobre a própria gestão de riscos de segurança da informação. A NBR ISO 31000, para a qual as NBR ISO/IEC 27001 e NBR ISO/IEC 27005 se aplicam, também pode ajudar na compreensão geral da gestão de riscos.

Em contraste com a aplicabilidade genérica dos processos de gestão de riscos de segurança da informação, a computação em nuvem tem seus próprios tipos de fontes de riscos, incluindo ameaças e vulnerabilidades, que são derivadas de suas características, por exemplo, rede, escalabilidade e elasticidade do sistema, compartilhamento de recursos, provisionamento por autosserviço, administração sob demanda, provisionamento de serviços através de diversas jurisdições e visibilidade limitada sobre a implementação de controles. O Anexo B fornece referências que dão informações sobre estas fontes de riscos e os riscos associados na prestação e utilização de serviços em nuvem.

Os controles e diretrizes de implementação apresentadas nas Seções 5 a 18 e no Anexo A abordam as fontes de riscos e os riscos específicos à computação em nuvem. A política de segurança da informação para a computação em nuvem do cliente de serviços em nuvem é uma das políticas específicas descritas na NBR ISO/IEC 27002, 5.1.1.

A política de segurança da informação de uma organização lida com os seus processos de informação e de negócios. Quando uma organização usa os serviços em nuvem, ela pode ter uma política para a computação em nuvem como um cliente de serviços em nuvem.

Informações de uma organização podem ser armazenadas e mantidas no ambiente de computação em nuvem, e os processos de negócio podem ser operados no ambiente de computação em nuvem. Requisitos gerais de segurança da informação definidos na política de segurança da informação no nível superior são seguidos pela política para a computação em nuvem.

Em contraste com isso, a política de segurança da informação para a prestação serviços em nuvem lida com a informação e processos de negócio dos clientes de serviços em nuvem, não com a informação e processos de negócios do provedor do serviço em nuvem. Recomenda-se que requisitos de segurança da informação para a oferta do serviço em nuvem atenda aqueles dos potenciais clientes do serviço em nuvem.

Como resultado, eles podem não ser consistentes com as exigências de segurança da informação dos processos de negócios do provedor do serviço em nuvem. O escopo da política é muitas vezes adequadamente definido em termos do serviço, mas não só pela estrutura organizacional ou pelas localizações físicas.

A segurança de virtualização na computação em nuvem tem vários aspectos, incluindo gerenciamento de ciclo de vida de instâncias virtuais, controles de acesso e armazenamento de imagens virtuais, manipulação de instâncias virtuais inativas ou desligadas, retratos do estado, proteção de hipervisores e controles de segurança que regem o uso de portais de autoatendimento. Mesmo quando as responsabilidades são determinadas pelas partes, o cliente de serviços em nuvem é responsável pela decisão de usar o serviço.

Convém que essa decisão seja feita de acordo com as funções e responsabilidades determinadas dentro da organização do cliente de serviços em nuvem. O provedor do serviço em nuvem é responsável pela segurança da informação indicada em alguma parte do acordo de serviço em nuvem.

Convém que a implementação e o provisionamento da segurança da informação sejam feitos de acordo com os papéis e responsabilidades determinadas dentro da organização do provedor do serviço em nuvem. A ambiguidade nos papéis e na definição e atribuição de responsabilidades relativas a questões como a propriedade de dados, controle de acesso e manutenção da infraestrutura pode dar origem a disputas comerciais ou legais, especialmente ao lidar com terceiros.

Os dados e arquivos nos sistemas do provedor do serviço em nuvem que são criados ou modificados durante a utilização do serviço em nuvem podem ser críticos para a operação, recuperação e continuidade segura do serviço. Convém que a propriedade de todos os ativos e as partes que têm responsabilidade pela operação associada a esses ativos, como operações de backup e recuperação, sejam definidas e documentadas. Caso contrário, existe o risco de que o provedor do serviço em nuvem assuma que o cliente do serviço em nuvem execute essas tarefas vitais (ou vice-versa), e uma perda de dados pode ocorrer.

A NBR ISO/IEC 17788 de 12/2015 – Tecnologia da informação – Computação em nuvem – Visão geral e vocabulário fornece uma visão geral de computação em nuvem, juntamente com um conjunto de termos e definições. É uma fundação de terminologia para normas de computação em nuvem.

É aplicável a todos os tipos de organização (por exemplo, empresas comerciais, agências governamentais e organizações sem fins lucrativos). A computação em nuvem é um paradigma para habilitar o acesso via rede a um grupo escalável e elástico de recursos, físicos ou virtuais, compartilháveis, com provisionamento via autoatendimento e administração sob demanda

No contexto da computação em nuvem, é necessário, normalmente, diferenciar os requisitos e problemas a determinadas partes. Essas partes são entidades que incorporam papéis (e subpapéis).

Papéis, por sua vez, são conjuntos de atividades, e as atividades em si, são implantadas por componentes. Todas as atividades relacionadas à computação em nuvem podem ser categorizadas em três grupos principais: atividades que usam serviços, atividades que provêm serviços e atividades que suportam serviços.

É importante notar que uma parte pode, a qualquer momento, incorporar um ou mais papéis e pode estar engajada em um subconjunto específico de atividades de um papel. Os papéis principais na computação em nuvem são vários. O cliente do serviço de nuvem: uma parte, pertencente a uma relação de negócios, cujo objetivo é a utilização de serviços de nuvem. A relação de negócios é estabelecida com um provedor do serviço de nuvem ou um parceiro de serviço de nuvem. As atividades-chave de um cliente do serviço de nuvem incluem, mas não estão limitadas a, usar serviços de nuvem, realizar a administração de negócios e administrar a utilização dos serviços de nuvem.

Um parceiro de serviço de nuvem: uma parte engajada no suporte a, ou auxílio a, atividades exercidas tanto pelo provedor do serviço de nuvem quanto pelo cliente do serviço de nuvem, ou ambos. As atividades de um parceiro de serviços de nuvem são variadas, dependendo do tipo de parceiro e de sua relação com o provedor do serviço de nuvem e o cliente do serviço de nuvem. Exemplos de parceiros de serviço de nuvem incluem o auditor de nuvem e o agente de serviço de nuvem.

Um provedor do serviço de nuvem: uma parte que disponibiliza os serviços de nuvem. O provedor do serviço de nuvem foca nas atividades necessárias à provisão de serviços de nuvem e nas atividades necessárias para garantir sua entrega ao cliente do serviço de nuvem, assim como a manutenção dos serviços de nuvem. O provedor do serviço de nuvem executa um conjunto extenso de atividades (por exemplo, provisão de serviços, implantação e monitoração dos serviços, gestão do plano de negócios, fornecimento de dados para auditoria, etc.), assim como incorpora inúmeros subpapéis (por exemplo: gerente de negócios, gerente de serviços, provedor de rede, gerente de segurança e risco etc.).

Já os aspectos transversais do serviço são os comportamentos ou as capacidades que precisam ser coordenados entre papéis e implantados consistentemente em um sistema de computação em nuvem. Esses aspectos podem ter impacto em múltiplos papéis, atividades e componentes, de forma que não seja possível atribuí-los a papéis ou componentes individuais e, portanto, se tornam questões compartilhadas pelos papéis, atividades e componentes. Os aspectos-transversais incluem vários aspectos.

A auditabilidade: capacidade de coletar e tornar disponíveis informações necessárias e evidenciais relacionadas à operação e uso de serviços de nuvem, com o objetivo de conduzir uma auditoria. A disponibilidade: propriedade de ser acessível e utilizável, sob demanda, por uma entidade autorizada. A “entidade autorizada” é, tipicamente, um cliente do serviço de nuvem.

A governança: sistema pelo qual o provisionamento e o uso de serviço de nuvem são dirigidos e controlados. A governança de nuvem é citada como um aspecto transversal por causa dos requisitos de transparência e a necessidade de racionalizar as práticas de governança com os SLA e outros elementos contratuais necessários à relação entre o cliente do serviço de nuvem e o provedor do serviço de nuvem.

O termo governança de nuvem interna é usado para a aplicação de políticas, no momento do design e no momento de execução, que garantam que as soluções baseadas em computação em nuvem estejam projetadas e implantadas, e os serviços baseados em computação em nuvem sejam entregues, de acordo com expectativas definidas. O termo governança de nuvem externa é usado para uma forma de acordo entre o cliente do serviço de nuvem e o provedor do serviço de nuvem referente ao uso dos serviços de nuvem pelo cliente do serviço de nuvem.

A interoperabilidade: habilidade de um cliente do serviço de nuvem de interagir com um serviço de nuvem e trocar informações de acordo com um método preestabelecido e obter resultados previsíveis. A manutenção e o versionamento: manutenção refere-se às mudanças de um serviço de nuvem, ou a recursos por ele utilizados, de forma a consertar falhas, atualizar ou estender suas capacidades, por motivos de negócio. Versionamento implica na rotulagem adequada de um serviço, de forma a tornar claro ao cliente do serviço de nuvem que uma determinada versão está sendo usada.

O desempenho: conjunto de comportamentos relacionados à operação de serviço de nuvem que contenham métricas definidas em um SLA. A portabilidade: habilidade do clientes do serviço de nuvem de mover dados e aplicativos entre múltiplos provedores do serviço de nuvem, com baixo custo e mínima interrupção. O custo e a interrupção aceitáveis podem variar de acordo com o tipo de serviço de nuvem a ser utilizado.

A proteção de PII: proteger e assegurar a coleta adequada, processamento, comunicação, uso e descarte de informações pessoais identificáveis (PII) que se relacionam aos serviços de nuvem. O regulatório: existe um número de regulamentos diferentes que podem influenciar o uso e entrega de serviços de nuvem.

Os requisitos estatutários, regulatórios e legais variam em cada setor de mercado e jurisdição e podem alterar as responsabilidades tanto do cliente do serviço de nuvem quanto do provedor do serviço de nuvem. A conformidade com tais requisitos está, normalmente, relacionada às atividades de governança e gestão de riscos.

A resiliência: habilidade de um sistema em prover e manter um nível aceitável de serviço, face a falhas (não intencionais, intencionais ou por causas naturais) que afetam sua operação normal. A reversibilidade: processo usado pelo cliente do serviço de nuvem para recuperar seus dados de cliente do serviço de nuvem e artefatos de aplicativo, e para o provedor do serviço de nuvem poder excluir todos os dados do cliente do serviço de nuvem, assim como dados derivados do serviço de nuvem, especificados em contrato, após um período de concordância.

A segurança: varia de segurança física à segurança de aplicativos e inclui requisitos como autenticação, autorização, disponibilidade, confidencialidade, gerenciamento de identidades, integridade, não repudiação, auditoria, monitoração da segurança, respostas a incidentes e gestão das políticas de segurança. Os níveis de serviço e acordo de níveis de serviço: o acordo de níveis de serviço de nuvem (SLA de nuvem) é um acordo de serviços entre um provedor do serviço de nuvem e um cliente do serviço de nuvem, com base na taxonomia de termos específicos de computação em nuvem, que definam a qualidade dos serviços de nuvem sendo entregues.

Ele caracteriza a qualidade da entrega dos serviços de nuvem em termos de: um conjunto de propriedades mensuráveis específicas à computação em nuvem (técnica e de negócios); e um conjunto de papéis de computação em nuvem (cliente do serviço de nuvem e provedor do serviço de nuvem e seus subpapéis relacionados).

Muitos desses aspectos transversais, quando combinados com as características-chave da computação em nuvem, representam boas razões para usar a computação em nuvem. Os aspectos transversais de segurança, proteção de PII e governança são identificados, porém, como as preocupações principais e, em muitos casos, um empecilho para a adoção de computação em nuvem.

De maneira geral, as Informações Pessoais Identificáveis (dados de um PII) são as que podem ser usadas para distinguir ou rastrear a identidade de um indivíduo, como nome, número de segurança social, registros biométricos, etc. sozinho ou quando combinadas com outras informações pessoais ou identificadoras ou vinculável a um indivíduo específico, como data e local de nascimento, nome de solteira da mãe etc.

Coletar PII é necessário para muitas empresas, pois elas precisam identificar com precisão um indivíduo e distingui-lo de outras pessoas para reduzir o risco de fraude, lavagem de dinheiro e outros atos criminosos. No entanto, como o PII é tão valioso, a divulgação injustificada ou a violação direta é uma preocupação importante para a conformidade e reputação das organizações, bem como para o indivíduo envolvido.

As empresas encarregadas de dados de PII são responsáveis por proteger as informações e os consumidores confiam que seguirão os procedimentos necessários para fazê-lo. Não o fazer pode corroer a reputação conquistada por uma empresa e ter repercussões na linha de fundo.

As proteções de PII são consagradas em muitas jurisdições em todo o mundo e, em muitos casos, estão aumentando em seu escopo, poderes e penalidades. Com um mundo em que a coleta, o processamento e o compartilhamento de informações estão aumentando, essas leis de PII são o baluarte que protege os direitos de privacidade e garante que nossos dados pessoais sejam tratados com segurança, segurança e de forma adequada.

Na União Europeia, o General Data Protection Regulation (GDPR) entrou em vigor em 25 de maio de 2018. Contendo implicações amplas, o RGPD fez com que empresas em todo o mundo realizassem auditorias de dados, atualizassem políticas e, em muitos casos, realmente mudassem natureza de como eles coletam e processam os dados do usuário.

Na Califórnia, há uma a Lei de Privacidade do Consumidor que foi aprovada no final de junho. Nesse ato, a PII refere-se a dados muito além dos identificadores usuais, como nome, data de nascimento, endereço e número da previdência social. Inclui: informações comerciais, incluindo registros de bens pessoais, produtos ou serviços adquiridos, obtidos ou considerados, ou outros históricos ou tendências de compra ou consumo; informação biométrica; internet ou outra informação de atividade de rede eletrônica, incluindo, mas não limitado a, histórico de navegação, histórico de pesquisa e informações sobre a interação de um consumidor com um site da Internet, aplicativo ou anúncio; dados de geolocalização; informações de áudio, eletrônicas, visuais, térmicas, olfativas ou similares;; e informações profissionais ou relacionadas ao emprego.

Para as empresas que operam além das fronteiras, a variedade e o conflito de diferentes leis que abrangem o PII tornam o cumprimento difícil, oneroso e uma fonte de risco. Por exemplo, muitos países exigem que os dados de seus cidadãos permaneçam dentro do país, limitando os fluxos de dados entre fronteiras. Isso aumenta os custos, limita as oportunidades para os participantes maiores e adiciona um aspecto do protecionismo à venda de produtos e serviços digitais.

Exigir que uma empresa que opera em outra jurisdição cumpra os padrões de prática de dados necessários e a aplicabilidade é uma coisa. No entanto, a criação de regras que forcem a localização de dados muitas vezes não atende às necessidades dos cidadãos, dificulta o crescimento e prejudica a competitividade e a produtividade.

A Information Technology and Innovation Foundation afirma em seu relatório sobre fluxos de dados transnacionais: os dados precisam fluir para maximizar o valor, o que significa que as políticas que limitam esses fluxos através das fronteiras reduzirão o crescimento econômico e o valor social. Assim, as empresas precisam operar de acordo com as regras da jurisdição na qual desejam fazer negócios.

Além disso, a melhor prática é atender aos mais altos padrões de PII. Com um conjunto de políticas, procedimentos e processos de dados robustos, as empresas que atendem aos mais altos padrões regulamentados podem proteger melhor os dados de seus clientes e criar confiança valiosa que é crucial para as operações e o crescimento. Muitos especialistas apontam para os padrões exigidos pelo GDPR como referência quando se trata de estruturas regulatórias de privacidade.

Em relação a esse assunto, criar uma política de PII eficaz é o primeiro passo para garantir que se está tratando as informações de maneira correta e legal. Cada estágio da informação desde a coleta e armazenamento até a exclusão requer consideração sobre quem/o que/onde e como explicitamente declarado. Embora, nesta era de big data, possa parecer uma vantagem coletar o máximo de informações possível, quanto mais se coletar, maior será o risco e maiores serão os custos de proteção. Uma sugestão seria minimizar o risco dos dados, coletando menos informação e limpando o mais rápido que puder.

Outra consideração importante é como individualmente se está protegendo os dados? Como se pode maximizar a segurança dos dados? Com a tecnologia em constante mudança, as ameaças e as defesas contra essas ameaças são um alvo em movimento. As ameaças precisam ser avaliadas, os sistemas precisam ser atualizados e o trabalho de operações de segurança deve ser sempre feito.

Segurança não é apenas sobre tecnologia, pois as pessoas são frequentemente o elo mais fraco em qualquer esquema de segurança. O treinamento adequado para todos os funcionários e a preservação constante da cultura da empresa é um imperativo.

Enfim, equilibrar as necessidades de coletar PII para efetivamente administrar e ampliar os negócios contra o direito dos indivíduos de controlar e privacidade de suas informações sempre será uma questão de mercado ou de confiança? Talvez seja possível desenvolver um novo modelo que forneça a todas as partes o que elas desejam das PII sem abrir mão de nada? Oferecer aos consumidores mais controle sobre seus dados, de uma maneira que seja fácil de controlar, é um modelo para as PII.

Oferecer transparência e controle preciso permite que os consumidores determinem o nível exato de confiança que funciona para eles. Embora ainda deva ser visto se os consumidores quiserem monitorar ativamente suas PII, deve-se dar aos consumidores uma escolha sobre o assunto será sempre uma boa ideia. Melhores ferramentas para a criação de confiança, que ajudarão na interface de manipulação de dados de PII, exigem mais exploração, já que oferecem um roteiro potencial para fornecer a privacidade e o controle que todas as partes desejam.



Categorias:Normalização, Qualidade

Tags:, , , , , , , , , , ,

Deixe uma resposta

%d blogueiros gostam disto: