Autoras: Daniela M. Monte-Serrat Cabella – Head of Privacy & Data Compliance e DPO Raíssa Moura Ferreira – Head of Data Privacy e DPO
Introdução
Neste artigo da série, vamos focar no princípio de segurança de ponta-a-ponta do framework de Privacy by Design. Começaremos pelos três principais pilares da segurança da informação, seguidos dos conceitos de ameaça, vulnerabilidade e risco, linhas gerais sobre a aplicação da estratégia de defesa em profundidade e finalizaremos com informações sobre a segurança de dados por meio de técnicas de pseudonimização e anonimização.
Os três principais pilares de Segurança da Informação
O princípio de segurança de ponta-a-ponta visa garantir que medidas técnicas e administrativas de segurança da informação sejam implementadas em todo o ciclo de vida do dado pessoal para protegê-lo contra o acesso, compartilhamento, cópia, eliminação ou qualquer outra operação não autorizada.
Essa proteção será mais efetiva se cumprir os três principais pilares de segurança da informação, quais sejam: (i) confidencialidade, ou seja, a garantia de que as informações (no caso, os dados pessoais) somente serão acessados pelas pessoas devidamente autorizadas para tanto; (ii) integridade, o que significa a garantia de que os dados não serão modificados sem autorização, e (iii) disponibilidade, ou a garantia de que os dados poderão ser acessados pelas pessoas autorizadas sempre que houver necessidade.
Ameaça, vulnerabilidade e risco
Por meio da segurança de ponta-a-ponta, é possível mitigar os riscos de uma ameaça explorar uma vulnerabilidade. Vamos verificar esses três conceitos mais de perto.
A ameaça é um evento ou atitude, interna ou externa à organização, que, em geral, foge do controle da organização e tem o potencial de ferir pelo menos um dos pilares de segurança da informação. Por exemplo, um incêndio que torna indisponíveis os dados registrados nos papéis queimados (e que não estivessem registrados em nenhum outro lugar) ou a atuação de um hacker que copia dados e os compartilha com terceiros sem autorização.
Já a vulnerabilidade é uma “fraqueza” ou “falha” que tem o potencial de comprometer pelo menos um dos pilares de segurança da informação, devendo ser mapeada e minimizada ou eliminada o quanto antes possível.
O risco, por sua vez, é o resultado da probabilidade de um evento acontecer (no caso, de uma ameaça explorar uma vulnerabilidade) conjugado com o nível de impacto ou dano que pode causar se de fato vier a ocorrer.
Estratégia de Defesa em Profundidade
Uma forma eficiente de mitigar os riscos à segurança dos dados pessoais é: (i) estudar as diversas camadas de vulnerabilidade em todo o ciclo do tratamento, adotando a estratégia de Defesa em Profundidade, (ii) identificar aquelas que precisam de reforço por meio de medidas técnicas ou administrativas, e (iii) fazer a implementação das medidas necessárias.
A estratégia de Defesa em Profundidade tem origem militar e consiste em estabelecer diversas camadas simultâneas de defesa física para conter qualquer ofensiva inimiga, e pode ser adequada ao universo de segurança da informação. Existem algumas formas de dividir essas camadas, e uma delas pode ser do seguinte modo:
- Políticas, Procedimentos e Conscientização (camada mais externa da estratégia)
- Segurança Física
- Segurança de Perímetro
- Segurança da Rede Interna
- Segurança de Host/Dispositivos
- Segurança da Aplicação
- Segurança dos Dados (camada mais interna da estratégia)
Existem diversas medidas que podem contribuir com a segurança em cada nível. Por exemplo, a metodologia de desenvolvimento de software seguro (“DevSecOps”) contribui com a segurança da aplicação (camada 6), zonas desmilitarizadas (DMZs) e roteadores configurados com listas de controle de acesso (ACLs) fortalecem a segurança de perímetro (camada 3), cadeados e muros auxiliam na segurança física (camada 2) e a pseudonimização é uma das medidas técnicas de segurança que podem ser aplicadas aos dados (camada 7). Sobre esta última medida, veremos maiores detalhes a seguir.
Pseudonimização
Esta técnica de mascarar os dados pessoais retira a possibilidade de associação direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente seguro. É importante destacar que a pseudonimização não é um método de anonimização “que falhou” – ambas são processos distintos e intencionais.
Para deixar mais claro, lembramos aqui que, no processo de anonimização, o dado deixa de ser pessoal, pois a técnica busca eliminarqualquer elemento que possa identificar um indivíduo diretamente e excluir a possibilidade de individualização do titular do dado, evitando a sua identificação até mesmo indireta. A Lei Geral de Proteção de Dados (LGPD) não se aplica a dados anonimizados, mas se o processo puder ser revertido, utilizando exclusivamente meios próprios ou esforços razoáveis, não há que se falar em anonimização. Da mesma forma, em determinado período pode não ser possível fazer o processo de reidentificação dos dados usando o critério de razoabilidade, mas, no futuro, com o avanço da tecnologia, o dado pode voltar a ser pessoal, atraindo a aplicação da LGPD.
Já a pseudonimização reduz os riscos de expor os titulares de dados, retirando a possibilidade de associação ao indivíduo no momento de determinado tratamento, mantendo-se o identificador (informação adicional) para casos estritamente necessários. Por exemplo, para o cumprimento de obrigações legais e garantia dos direitos dos titulares, ou para manter a utilidade e relevância do dado, desde que empregadas as medidas de segurança adequadas, como o armazenamento separado em ambiente seguro, com controle de acesso robusto. Os dados pseudonimizados são considerados dados pessoais e a eles se aplicam as disposições da LGPD.
A técnica de pseudonimização é extremamente relevante para a implementação do framework de Privacy by Design, pois, em caso de vazamento ou acesso indevido aos dados pseudonimizados, o risco de o titular dos dados ser identificado e afetado é bastante reduzido, uma vez que os dados estarão incompreensíveis para terceiros não autorizados. São exemplos de técnicas de pseudonimização:
- Criptografia – Função matemática que torna os dados ilegíveis, processo quepode ser revertido por meio de uma chave. Somente pessoas autorizadas devem ter acesso à chave que descriptografa os dados e os reverte ao seu formato original. Caso a chave seja descartada, o dado poderá ser considerado anônimo, e, em muitos casos, potencialmente sem utilidade real alguma.
A criptografia pode ou não evitar a individualização (capacidade de distinguir dados e associá-los a uma única pessoa natural). A técnica dificulta a “linkability” (capacidade de associar pelo menos dois registros relativos ao mesmo titular de dados ou um grupo de titulares de dados, na mesma base de dados ou em bases de dados diferentes) e a inferência (capacidade de deduzir informações protegidas sobre algum usuário com alto grau de certeza) para quem não tem a chave criptográfica.
- Hash – Função matemática que transforma valores de forma irreversível e determinística. Em outras palavras, ao aplicar o hash, não é possível realizar o processamento inverso para se obter a informação original. Qualquer alteração na informação original produzirá um novo hash completamente distinto. Não evita a individualização, mas dificulta a “linkability”.
- Randomização – Altera a veracidade dos dados para remover a forte ligação entre os dados e o indivíduo. Não evita a individualização, pois o dado ainda terá derivado de um único titular, mas protege contra ataques ou riscos de inferência.
- Supressão – A técnica consiste em suprimir atributos removendo uma seção inteira dos dados. Diminui a “linkability”, mas também não evita a individualização.
- Generalização – A técnica consiste em generalizar os atributos (características) dos titulares dos dados, modificando a respectiva escala ou ordem de magnitude (ou seja, uma região em vez de uma cidade, um ano em lugar de um mês). Previne a individualização, mas requer uma abordagem sofisticada para prevenir “linkability” e inferência.
Essas técnicas de pseudonimização podem ser combinadas entre si para um resultado mais robusto na segurança dos dados, e ainda podem ser conjugadas com medidas técnicas e administrativas das outras camadas para a garantia de efetividade da segurança de ponta-a-ponta e cumprimento do princípio de Privacy by Design.
Esperamos ter contribuído com insights úteis sobre segurança, e, no próximo artigo da série, falaremos sobre Privacy by Design e gestão de riscos. Até o próximo artigo 🙂
Série: Dicas práticas para implementação de Privacy by Design – Parte I de IV
Série: Dicas práticas para implementação de Privacy by Design – Parte II de IV
Série: Dicas práticas para implementação de Privacy by Design – Parte III de IV
LGPD: O que muda com a entrada em vigor da lei
Aconteceu a segunda reunião do Comitê de Segurança da ANPPD
No que usuários e empresas devem se atentar nos dias de descontos em plataformas digitais