Segurança digital. A adoção de medidas de segurança técnicas para a proteção dos dados pessoais tratados por controladores e operadores deverão observar aquelas indicadas no guia orientativo da Autoridade Nacional de Proteção de Dados (ANPD) previstas para agentes de tratamento de pequeno porte.
O controle de acesso à sistema serve para garantir que os dados sejam acessados somente por pessoas autorizadas, através dos seguintes processos:
- Autenticação: identifica quem acessa o sistema ou os dados.
- Autorização: determina o que o usuário identificado pode fazer.
- Auditoria: registra o que foi feito pelo usuário.
A ANPD sugere que, caso o agente de pequeno porte possua rede interna de computadores, seja implementado um sistema de controle de acesso aplicável a todos os usuários, com níveis de permissão na proporção da necessidade de trabalhar com o sistema e de acessar dados pessoais. Outras medidas de segurança digital merecem destaque:
- Configuração com funcionalidades que possam detectar e não permitir o uso de senhas que não respeitem um certo nível de complexidade, como, por exemplo, definir número de caracteres para se criar uma senha, o uso de caractere especial ou outros fatores que o agente de tratamento considere necessário.
- Evitar o uso de senhas padrão disponibilizadas pelos fornecedores de software ou hardware, devendo ser alteradas por outras com requisitos mais seguros.
- Aplicação do princípio do menor privilégio (need to know), ou seja, os usuários de um sistema terão o menor nível de acesso necessário para a realização de suas atividades.
- Funções de alto nível, tais como as de administrador de sistema, devem ser restringidas apenas àqueles funcionários que necessitem exercer esse papel e sejam capazes de assumir essa responsabilidade.
- Utilização de autenticação multi-fatores (MFA) para acessar sistemas ou base de dados, estabelecendo uma camada adicional de segurança para o processo de login da conta, exigindo que o usuário forneça duas formas de autenticação, como, por exemplo, o envio de códigos de segurança por short message service (SMS) ou por e-mail e o uso de aplicativos autenticadores ou tokens de segurança.
Segundo o estudo “Segurança Digital: uma análise de gestão de risco em empresas brasileiras”, os processos de identificação, autenticação e a não reutilização de senhas em serviços e sistemas estão entre as três medidas de segurança de maior impacto na segurança da informação das organizações
As medidas de segurança técnicas deverão ser estabelecidas em Política de Segurança da Informação simplificada, estabelecendo de forma clara e transparente todas as medidas técnicas e administrativas adotadas pela empresa como item de conformidade previsto no Artigo 50 e 51 da Lei n.13.709/2018 e resoluções publicadas pela ANPD.
Para dúvidas e esclarecimentos, entre em contato através do e-mail juridico@mmcorporatelaw.com.br ou nossos canais disponíveis no site www.mmcorporatelaw.com.br.
Referências
ANPD - Autoridade Nacional de Proteção de Dados. Guia Orientativo Sobre Segurança da Informação para Agentes de Tratamento de Pequeno Porte. Versão 1.0, 2021. 20 p. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e- publicacoes/guia_seguranca_da_informacao_para_atpps defes o_eleitoral.pdf. Acesso em: 06 nov 2023.
Segurança Digital: uma análise da gestão de riscos em empresas brasileiras, Núcleo de Informação e Coordenação do Ponto BR, 1ª ed.,São Paulo: Comitê Gestor da Internet no Brasil, 2020.
#segurançadigital#lgpd#proteção#dadospessoais#compliance
Comments