Privacidade dos Dados

Publicado em por Thiago Leite Postado em CISSP, Direito Digital, Segurança da InformaçãoCom a tag , , , , , , , ,

Privacidade dos dados é o assunto do momento em InfoSec. Nunca se falou tanto sobre o assunto! Depois de numerosos incidentes que ocorreram, e aqueles que ainda ocorrem principalmente ainda não há legislações efetivas, a privacidade dos dados se tornou assunto inclusive da grande mídia. Para o profissional de InfoSec isso significa que não basta apenas atuar na operacionalização de ativos de segurança, mas no seu trabalho qual o impacto dos procedimentos na efetiva proteção dos dados pessoais?

O primeiro ponto relevante quando se fala em privacidade é a definição do termo e o que ele se propõe. Privacidade, de acordo com o jurista Louis Brandeis e Samuel Warren, é o direito de ser deixado em paz sobre dados de sua vida pessoal (fonte: https://en.wikipedia.org/wiki/The_Right_to_Privacy_(article)). Ou seja, é permitir com que os dados pessoais sejam utilizados apenas se as pessoas assim desejarem.

De forma a auxiliar no atendimento da privacidade das pessoas, diversas leis e padrões surgiram no mundo todo. Algumas leis e padrões possuem atuação vertical, ou seja, que possuem aplicabilidade apenas para um segmento de mercado (exemplo: instituições financeiras). Outras leis e padrões já possuem maior abrangência e podemos chamá-las de leis e padrões de aplicabilidade horizontal.

Mas o que é um dado pessoal a ser assegurado o direito de privacidade? Foi conhunado o termo PII (Personally Identifiable Information) todo dado que se utilizado unicamente poderá fornecer identificação à uma pessoa ou se utilizado com outras informações poderá remeter a um sujeito. Entre os diversos dados manipulados, os seguintes são comumente reconhecidos como PII:

  • nome completo
  • documento de identificação pessoal (RG, CPF e carteira de motorista são exemplos no Brasil)
  • endereço IP (em alguns casos)
  • placa de veículo
  • rosto, impressão digital e assinatura
  • número de cartão de crédito
  • aniversário
  • local de nascimento
  • informações genéticas

Repare que alguns atributos pessoais, como endereço IP, por si só não garantem a identificação de uma pessoa, mas associado o dado com outra informação, como data e hora, poderá identificar individualmente uma pessoa.

Com a necessidade em proteger o direito de privacidade das pessoas diversas leis foram elaboradas, como a Federal Privacy Act of 1974, Gramm-Leach-Billey Act of 1999 e a Health Insurance Portability and Accountability Act (HIPAA). Porém essas leis possuem atuação vertical, já que regulamentam aspectos específicos de privacidade. A lei canadense Personal Information Protection and Electronic Documents Act e New Zealand’s Privacy Act of 1993 já possuem abordagens horizontais.

Necessidade De Novas Leis de Privacidade

Privacidade e segurança são conceitos distintos. Como já descrito, privacidade é um direito, sendo que a segurança é utilizado para meio para mantê-la. Com o avanço dos computadores a privacidade é cada vez mais ameaçada. Os seguintes fatores potencializam quebra da privacidade dos dados:

  • grandes centros de dados são cada vez mais comuns e possuem cada vez mais informações pessoais.
  • os dados são transmitidos continuamente entre diferentes países por diversos motivos, como empresas trans-nacionais e o processo de globalização potencializa maior difusão dos dados em diferentes centros de dados em diferentes países.
  • avanço de tecnologias para mineração e tratamento dos dados (Big Data, Bussiness Information, entre outras).

Atualmente nossos dados pessoais estão distribuídos em tantas diferentes plataformas que é difícil saber a quem controlar. Até mesmo uma simples busca no Google pode ser suficiente para obter dados de muitas pessoas, facilitando crimes de personificação, crimes financeiros e extorção.

Diversas organizações, cientes da necessidade em tratar de forma responsável a questão de privacidade, criaram a posição de CPO (Chief Privacy Officer), geralmente ocupada por um advogado, que deverá lidar com a sensividade dos dados de clientes de forma responsável e legal. Empresas que não estão se adaptando a nova realidade estão passíveis a multas e outras sanções. Essa função também é desempenhada geralmente por um advogado por também envolver a compreensão das mais diferentes leis que existem sobre o assunto. Leis verticais e leis horizontais. Leis nacionais e leis internacionais para conformidade com parceiros comerciais e clientes.

E do profissional de Infosec atualmente é exigido compreensão sobre os novos aspectos legais. Naturalmente não compreenderá todos os aspectos jurídicos envolvidos, mas será consultado para saber o que a empresa deve fazer para estar em conformidade com as novas leis.

Importante notar que as leis geralmente não serão objetivas quanto aos controles necessários. Até porque as tecnologias mudam com bastante frequência, precisando então o professional de Infosec ser capaz de projetar a arquitetura de segurança necessária para atendimento dos requisitos legais.

Federal Privacy Act of 1974

No século passado iniciou-se a discussão sobre o uso e armazenamento de dados pessoais pelo governo norte-americano. Tentou-se inclusive com que os dados de todos os cidadãos americanos fossem arzemandos em uma única estrutura centralizada, o que nunca avançou devido ao receio do poder concentrado nas mãos do governo.

De acordo com o Freedom of Information Act, todos os dados do governo são tidos como públicos, a não ser que se diga o contrário. Com a elaboração da Federal Privacy Act em 1974 os dados pessoais passaram a ter tratamento diferente nas diferentes agências que compõem o governo. Ou seja, ainda não se tratava de uma regra universal de privacidade dos dados, mas uma proposta vertical para algumas agências. Não se aplica para o congresso, judiciário e subdivisões territoriais.

As agêncais federais, objeto da referida lei, poderiam armazenar e tratar apenas aqueles dados que possuem relação com o propósito da agência. Além disso as agências não poderiam compartilhar os dados dos usuários sem concentimento por escrito desses. E se uma agência assim fizer, esse terá o direito de processar o órgão.

Federal Information Security Management Act of 2002

Ou chamado apenas de FISMA é uma lei americana que requer que toda agência federal americana crie, documente e implemente um programa de segurança para prover proteção  da informação e de sistemas de informação que sportam as operações e ativos da agência, incluindo ambientes de outras agências, contratos ou outras fontes de dados. Baseado no princípio de proteção baseado em risco de forma a implantar políticas e controles com relação de custo-benefício.

Além do programa de segurança, as agências, através dos CIO e inspetores gerais precisam apresentar avaliações anuais para o Office of Management and Budget (OMB).

Requisitos do FISMA:

  • inventário de sistemas de informação
  • categorização da informação e de sistemas de informação de acordo com o nível de risco
  • controles de segurança implantados
  • avaliação de risco
  • plano de segurança de sistemas
  • certificação e creditação
  • monitoração contínua.

O NIST SP 800-53 propõe todos os controles necessários para conformidade com a lei FISMA, sendo os documentos elaborados pelo NIST utilizados como referência pelas agências. Além do NIST SP 800-53, a gestão de risco pode ser também realizada por meio da publicação NIST SP 800-37. Um apanhado geral das publicações NIST SP 800 pode ser visto nesta publicação.

Department of Veterans Affairs Information Security Protection Act

Essa lei foi elaborada após um caso de roubo de um notebook de um funcionário que continha dados de milhões de veteranos da agência. De forma a prevenir novos casos semelhantes a esse, foi elaborada a referida lei com escopo apenas ao Department of Veterans Affairs (VA).

Como o DVA já é uma agência, essa já deve conformidade com o FISMA. Porém, com a lei, essa deve implementar controles adicionais e reportar sua conformidade ao congresso.

Health INsurance Portability and Accountability Act (HIPPA)

O HIPPA é outra lei de aplicabilidade vertical para empresas que atuem no armazenamento, uso e transmissão de informações pessoais médicas e de seguros de saúde. Provê um framework e guidelines para garantir a segurança, integridade e privacidade de dados confidenciais médicos. Qualquer empresa que crie, compartilhe ou destrua informações médicas precisa estar em conformidade com a lei. O descumprimento da lei pode resultar em multas e prisões para a alta gestão da empresa displicente.

Health Inofrmation Technology for Ecnomic and Clinical Health (HITECH) Act

Lei com o propósito de promover a adoção de tecnologia da informação na área de saúde. Especialmente o subtítulo D da lei endereça preocupações relacionadas a privacidade e segurança de dados. Tipifica crimes de acordo com as regras da HIPAA.

USA PATRIOT Act

Após os atentados terroristas de 11 de setembro de 2001 foi elaborada a The Uniting and Strengthening America by Providing Appropriate Tools Required to Intercep and Obstruct Terrorism Act of 2001 (ou USA PATRIOT Act) propôs atender em uma única lei os seguintes requisitos:

  • reduzir as restrições para agências de law enforcement obter números de telefone, e-mail, dados médicos, financeiros e outros registros de outras agências.
  • facilitar restrições para inteligências estrangeiras obter dados dos Estados Unidos.
  • expandir a autoridade da secretaria de tesouro para regular transações financeiras, particularmente aquelas realizadas envolvendo indivíduos e organizações estrangeiras.
  • facilitar com que agências de law enforcement possam deportar imigrantes suspeitos de atos terroristas
  • expandir a definição de terrorismo para incluir terrorismo doméstico, permitindo com que ações mais severas sejam tomadas pelas agências de law enforcment.

Gramm-Leach-Bliley Act (GLBA)

A lei GLBA, também conhecida como Financial Services Modernization Act of 1999, requer com que instituições financeiras desenvolvam mecanismos para que os clientes escolham em permitir ou negar o compartilhamento de dados entre diferentes instituições financeiras. Também confere ao grupo diretor da empresa a responsabilidade sobre os riscos de segurança e sua gestão, garantindo com que os controles de segurança e medidas foram devidamente validadas.

Também governa sobre o tratamento de PII:

  • Regra de privacidade financeira: provê a cada cliente os esclarecimentos necessários de como os dados são compartilhados, como são usados e como são processados pela instituição financeira.
  • Regra de salvaguarda: as instituições financeiras devem desenvolver um plano de como a companhia está preparada para proteger os dados de clientes.
  • Proteção de pretexto: quais proteções e medidas existem contra ataques de engenharia social.

Considerando que a GLBA tem aplicabilidade apenas em instituições financeiras, essa é outra lei que aplicabilidade vertical apenas.

Personal Information Protection and Electronic Documents Act

PIPEDA é uma lei canadense que lida com a proteção de dados pessoais. Seu principal objetivo é definir como o setor privado coleta, utiliza e descarta dados pessoais em empresas de atividades em geral.

O propósito da lei foi trazer maior confiabilidade para consumidores em comércio eletrônico.

  • obter consentimento dos usuários da coleta, uso e descarte de dados pessoais
  • coletar informação de forma justa e legal
  • ter políticas de informações pessoais claras, compreensíveis e facilmente de serem lidas.

Essa lei é relevante principalmente se sua organização se relaciona com empresas e órgãos canadenses.

Payment Card Industry Data Security Standard (PCI DSS)

A indústria de empresas de cartão de crédito teve a iniciativa de criar medidas para trazer confiança dos consumidores no uso dessa forma de pagamentos. Inicialmente as bandeiras desenvolveram seus próprios programas de segurança aos consumidores, porém, eventualmente, as companhia resolveram se unir em torno da causa e criaram o padrão Payment Card Industry Data Security Standard (PCI DSS). O conselho de padrão PCI foi criado como uma entidade separada para manutenção e promoção do padrão.

O PCI DSS em sua versão 3.2.1 é constituído de 12 principais requisitos divididos em 6 grandes categorias. As categorias são: Criar e sustentar uma rede e sistemas seguros, proteger dados dos portadores de cartões, manutenção do programa de gestão de vulnerabilidades, implementar fortes medidas de controles de acesso, regularmente monitorar e testar as redes, e manter uma polícia de segurança da informação.

Os controles são implementados através de 12 requisitos:

  • instalar e manter uma configuração de Firewall para proteção dos portadores de cartões.
  • não utilizar de senhas padrão de fornecedores e outros parâmetros padrão de segurança.
  • proteger os dados armazenados de cartões.
  • criptografar os dados para a transmissão por meio de redes abertas e públicas.
  • uso e regularmente atualização de softwares e programas anti-vírus.
  • desenvolver e manter sistemas e aplicações seguras.
  • restringir acesso aos dados dos portadores de cartões pelo negócio, permitindo apenas o need-to-know.
  • designar um ID único para cada pessoa com acesso aos computadores.
  • restringir acesso físico aos dados dos cartões.
  • rastrear e monitoar todos os acesso a recursos de rede e aos dados de cartões.
  • regularmente testar a segurança de sistemas e processos.
  • manter uma polícia que endereça informações de segurança para empregados e contratados.

O PCI DSS é uma iniciativa da indústria. Não é uma lei. Não conformidade ou violação dos termos do PCI DSS podem resultar em penalidades financeiras ou até mesmo revogação de uso dos serviços, mas não cadeia para os envolvidos. No entanto, o estado de Minnesota, por exemplo, já possui lei estadual que determina a conformidade ao PCI DSS com peso de lei.

Por fim…

Obviamente a lista de leis apresentadas não é exaustiva. Pelo contrário! Um dos principais problemas é justamente a necessidade cada vez maior de atendimento de diversas diferentes leis: leis federais, estaduais e municipais, leis de indústrias específicas, etc. Justamente por isso que o trabalho do profissional de Infosec é na “tradução” das necessidades legais em controles e medidas nas organizações. O advogado continua com papel fundamental para o correto direcionamento das organizações em atendimento as legislações. Espero em breve acrescentar na lista as leis brasileiras que possuem relação com o tema Privacidade de Dados.

 

 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *