LGPD e a Engenharia Social

Caso não esteja familiarizado(a) com o tema ‘Engenharia Social’, segue um artigo que escrevi explicando um pouco sobre o tema. https://www.pdcati.com.br/ameacas-virtuais-engenharia-social/

Qual será a relação da Lei Geral de Proteção de Dados Pessoais (LGPD), com uma técnica utilizada por cracker (criminoso virtual), para efetuar ataques virtuais e obter informações confidenciais?

A relação está nos artigos 9º e 18º da lei 13.709/2018. Seguem os principais pontos:

Art. 9º O titular tem direito ao acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características previstas em regulamentação para o atendimento do princípio do livre acesso:

I – finalidade específica do tratamento;

II – forma e duração do tratamento, observados os segredos comercial e industrial;

III – identificação do controlador;

IV – informações de contato do controlador;

V – informações acerca do uso compartilhado de dados pelo controlador e a finalidade;

VI – responsabilidades dos agentes que realizarão o tratamento; e

VII – direitos do titular, com menção explícita aos direitos contidos no art. 18 desta Lei.” Fonte: LGPD

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição:

I – confirmação da existência de tratamento;

II – acesso aos dados;

VI – eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;

IX – revogação do consentimento, nos termos do § 5º do art. 8º desta Lei…” Fonte: LGPD

Segundo a lei, as empresas terão que disponibilizar um meio, seja um e-mail, portal de acesso, sistema de chamado, dentre outros, para que qualquer pessoa (titular dos dados), solicite seus novos direitos de acesso aos dados, revogação de consentimento, etc.

Uma vez feita a solicitação pelo titular, a empresa terá que responder com base no artigo 19 da LGPD:

Art. 19. A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:

I – em formato simplificado, imediatamente; ou

II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.” Fonte: LGPD

Pergunta: Como as empresas estão se estruturando para garantir a autenticidade/fidedignidade daquele pedido do titular dos dados?

Analise o seguinte cenário:

Um cracker, se passando por um cliente da operadora de plano de saúde, solicita um relatório detalhado de quais dados pessoais a operada tem cadastrado e quais processamentos são realizados?

  • Qual seria o impacto de um envio destas informações para um criminoso?

Como mitigar este risco?

Resposta: Acredito que para as empresas que já tenham relacionamento mais próximo com os clientes, tais como, bancos, planos de saúde, universidades e empresas de telecomunicação, normalmente, já possuem um portal de relacionamento com o cliente. Então, uma possibilidade, é estruturar dentro do portal do cliente as opções previstas no artigo 18 da LGPD. Desta forma, para que o usuário (titular dos dados) solicite alguma informação, deverá acessar o portal com sua credencial de acesso.

O ponto de atenção fica para as empresas que não têm um relacionamento próximo com o cliente, ou seja, ausência de portal do assinante, portal do cliente, entre outros. Exemplo de empresas que coletam dados pessoais, mas não costumam ter um ‘portal do cliente’: Hotéis, agências de viagem/turismo, empresas de processamento de dados, dentre outros.

Nestes casos, o recomendável será criar alguns critérios para validar a autenticidade/fidedignidade do pedido, podendo ser:

  1. Confirmação de dados: Exemplo: Solicite que seja informado o nome completo, data de nascimento e CPF do titular dos dados;
  2. Confirmação em dois fatores: Após receber a solicitação por e-mail ou telefone, enviar uma chave de validação para o celular cadastrado e confirmar a chave com o titular;
  3. Confirmação via telefone/e-mail: Entrar em contato com o titular pelo telefone ou e-mail já cadastrado e confirmar a solicitação recebida.

Para finalizar, o objetivo foi apresentar uma visão de cuidados e pontos de atenção que as empresas precisam ter, para não gerarem incidentes de segurança da informação (violação de dados pessoais).

Existe um outro contexto, ainda em aberto, para muitas empresas, que está relacionado com o artigo 19 da LGPD.

  1. As empresas estão estruturadas para enviarem estas informações solicitadas pelos titulares dos dados?
  2. Como serão extraídas estas informações do ERP, CRM das empresas?
  3. Como coletar e extrair informações de locais ‘não estruturados’? (documentos, planilhas, arquivos, relatórios em servidores de arquivos, área de trabalho dos colaboradores, etc.);
  4. Como as empresas vão garantir e evidenciar que as informações foram excluídas da empresa à pedido do titular dos dados?

Este tópico acima será abordado em um próximo artigo.

Photo by Clint Patterson on Unsplash

Fonte da LGPD: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Posted in Gestão, Segurança da Informação and tagged , , , , , , , , , , .

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *