Bem-vindo ao blog do Tiny

Segurança e privacidade de dados

Segurança e privacidade de dados

21.08.2018 por Daniela Borsoi em ERP

Manter os dados seguros é um dever das empresas. Confira como garantir a privacidade de dados e como a Tiny lida com as informações dos clientes.

No mundo da tecnologia, é preciso avaliar a vulnerabilidade das informações a fim de garantir a segurança e privacidade dos dados. A confiabilidade entre empresa e clientes exige atenção e cuidados para atender às regras da LGPD, a nova lei brasileira.

Você já imaginou chegar na empresa em que trabalha e não encontrar nenhum dado no software utilizado? E a situação não acontece apenas em tablets, celulares e notebooks. Pode envolver veículos autônomos e robôs cirúrgicos, os quais podem colocar vidas em risco, de acordo com a Allconnection.

Neste post você vai conferir como garantir a privacidade de dados a partir das normas impostas pela LGPD e saber como a Tiny lida com as informações dos clientes. Continue lendo para se inteirar do assunto, pois, manter os dados seguros é um dever das empresas.

Exposição de dados

O direito à privacidade de dados é garantido no Brasil pela Constituição Federal. Devido à quantidade de dados expostos, os riscos de violação à privacidade crescem, e, por este motivo, A LGPD — Lei Geral de Proteção de Dados entrou em vigor com legislações específicas para este fim.

Ao preenchermos formulários em sites quando compramos um item em uma loja virtual, por exemplo, fornecemos informações pessoais, como CPF, endereço, telefone e número do cartão de crédito.

Estas informações são reunidas, cruzadas e analisadas em bancos de dados de capacidade crescente e com sistemas cada vez mais complexos, inclusive com alta capacidade de processamento naquilo que passou a ser chamado de inteligência artificial.

Allconnection

Em 2018, vimos o caso do Facebook, que vazou informações de 87 milhões de pessoas, através de um aplicativo de perguntas. Os dados foram repassados para uma empresa de marketing digital. Mark Zuckerberg, presidente do Facebook, admitiu falha no cuidado com a privacidade dos usuários e anunciou medidas para mudar esta realidade.

O que é privacidade de dados?

É importante não confundir privacidade com segurança de dados, pois apesar de ambas protegerem os dados, têm objetivos diferentes. As duas questões são igualmente, importantes e devem ser tratadas de forma criteriosa.

Privacidade de dados

Gerenciar e controlar os dados de uma empresa é fundamental para a continuidade dos negócios e gerenciamento dos riscos que estão relacionados, afinal, o volume de informações diárias é imenso.

Ao pensar na estratégia de dados, as empresas enfrentam questões como privacidade e segurança. Todos os clientes precisam se sentir seguros ao informar seus dados pessoais para uma empresa.

Quando há vazamento de informações de dados sensíveis, como número de cartão de crédito e CPF, as empresas responsáveis podem enfrentar problemas jurídicos, amargar prejuízos financeiros por multa, além de perderem a confiança dos clientes e do mercado.

O desafio é manter todos os dados protegidos, mesmo com tentativas externas de extração desses dados (crackers). É crucial adequar toda a empresa para atender às exigências da legislação.

Segurança de dados

Algumas ações diárias podem ser implementadas para que as informações da empresa não sejam colocadas em risco.

  • senhas: as senhas devem ser pessoais e intransferíveis. Não escreva as senhas em locais que podem ser acessados por qualquer pessoa;
  • e-mails: ao verificar um e-mail suspeito, não clique em links que estão no conteúdo. Eles podem ser a porta de entrada para hackers;
  • dispositivos removíveis: pendrives e cartões de memória podem ameaçar a segurança de seus dados, por mais que pareçam inocentes;
  • antivírus: deve estar instalado e atualizado, pois pode detectar possíveis ameaças;
  • backup: realize backups de segurança, a fim de proteger os dados. Eles fazem a diferença;
  • invista em profissionais: a segurança dos dados de sua empresa deve ficar nas mãos de profissionais especializados para tal.

Legislação mundial sobre o tema (GDPR)

No dia 25 de maio de 2018, entrou em vigor o Regulamento Geral sobre a Proteção de Dados (sigla em inglês GDPR), que se trata de regras de privacidade que são válidas para a Europa, mas que afeta outros lugares do mundo, inclusive o Brasil.

O GDPR é um projeto com foco na proteção de dados e identidade dos cidadãos na União Europeia, visto que essa segurança é tratada como direito do cidadão. Empresas e organizações seguem regras para coleta de informações, independentemente do porte da empresa.

As empresas devem seguir algumas obrigações referentes ao GDPR:

  • os serviços precisam permitir que o usuário escolha a forma como seus dados serão tratados, assim como autorização de uso; 
  • o usuário tem direito a saber os dados que estão sendo coletados e para que fim; 
  • o usuário pode interromper a coleta de dados e solicitar a exclusão dos já coletados; 
  • o usuário tem direito a solicitar uma cópia dos dados, ou migrá-los para outro serviço; 
  • comunicação clara, inclusive sobre os termos de privacidade; 
  • se houver vazamento de dados, a organização responsável deve comunicar às autoridades em até 72 horas; 
  • a proteção dos dados deve ser imprescindível, desde o início.

Legislação nacional sobre o tema (LGPD)

Seguindo os passos da Europa, o Brasil publicou em agosto de 2018, no Diário Oficial da União, a Lei 13.709, LGPD Lei Geral de Proteção de Dados. Entretanto, devido às diversas alterações somente em 18 de setembro de 2020 é que ela passou a vigorar efetivamente.

Apesar disso, as empresas terão até maio de 2021 para adequarem seus processos internos às novas regras. A validação da LGPD causa apreensão, pois as penalidades são rigorosas em caso de descumprimento das cláusulas.

Quem descumprir as regras, após o prazo de adequação, estará sujeito a duras penalidades — multa de até 5% do faturamento para as organizações, o que pode chegar até R$ 50.000.000,00.

A LGPD inclui todos aqueles que utilizam dados de clientes para concluir seus processos, sobretudo, os chamados dados sensíveis como nome, RG, CPF, endereço, profissão, e-mail, entre outros.

O prazo para adequação servirá para que as equipes de TI e de gestão alinhem a conduta nos processos de coleta, tratamento e armazenamento de dados. Um trabalho que deve incluir também os fornecedores e parceiros, pois eles serão também responsáveis.

Os princípios fundamentais da LGPD têm base em:

  • cuidados com dados sensíveis;
  • cumprimento das solicitações de esquecimento dos dados do cliente quando ele solicitar;
  • transparência em relação ao uso de dados.

A Lei assegura que nenhum dado seja armazenado sem a autorização expressa do titular. Isso quer dizer que, caso o cliente não tenha permitido o registro e armazenamento dos seus dados, deverá ser tratado como se fizesse contato pela primeira vez, sempre que precisar dos serviços da empresa.

Algumas providências são comuns às empresas, independentemente, do segmento e área em que estão inseridas. Por isso, para evitar transtornos é importante se adequar o mais rápido possível e preservar a imagem da empresa:

  • adequação dos sistemas de preenchimento de informações — formulários impressos ou digitais;
  • análise jurídica sobre o uso de dados pessoais;
  • criação do hábito de informar ao titular os motivos e finalidades do uso de dados;
  • divulgação nos principais canais de atendimento e comunicação informando que a empresa está adequada às normas e regras da LGPD;
  • elaboração e disponibilização para os usuários de informativo com as normas, regras e políticas de adequação aos requisitos da lei;
  • implementação de uma nova cultura dentro da empresa de proteção e segurança — todos devem estar cientes da conduta de somente usar e armazenar os dados com o consentimento do titular;
  • organização dos dados com tratamento específico como, por exemplo, crianças e adolescentes;
  • prevenção sobre os riscos para qualquer tipo de erro que tenha impacto no direito legal do usuário;
  • treinamentos internos de conscientização sobre as regras e normas da Lei — incluindo o risco de penalidades e valores correspondentes.

Principais implicações em relação a privacidade de dados

Foram dois anos de especulações e tentativas das empresas para flexibilização das regras para uso e tratamento de dados. Apesar disso, a lei já vigente mantém o rigor, com pendência apenas para o início das possíveis sanções previstas para o início de 2021.

As implicações que as empresas poderão sofrer em relação à privacidade dos dados envolvem uma série de medidas e esforços coletivos para ajustar a empresa de acordo com as exigências:

  • os dados de clientes só poderão ser coletados e armazenados em sistemas com a autorização deles — válido para qualquer tipo de tratamento dos dados sensíveis;
  • qualquer tipo de dado armazenado exigirá autorização, seja no registro online ou impresso;
  • para os dados que já existirem no sistema, será necessário obter o consentimento dos pacientes para que as informações sejam mantidas no registro;
  • as caixas postais, que contêm a identificação da pessoa, terão também que ser protegidas;
  • as mensagens trocadas entre empresa e clientes por canais com chat e aplicativos, por exemplo, poderão ser efetivas, desde que sejam criptografadas;
  • um responsável interno deverá ser nomeado, responsável pela proteção dos dados ou a empresa deve terceirizar a gestão de segurança de informação, seguindo as normas de contratação de parceiros — norma ISO 27.001;
  • em caso de uma gestão terceirizada, caso a empresa parceira não apresente segurança na proteção dos dados dos clientes, ao sinal de uso indevido ou quebra do protocolo, o contratante será responsabilizado;
  • os clientes terão o direito de saber quais são os dados constantes no sistema e para qual finalidade essas informações serão utilizadas;
  • para clientes menores de 18 anos — crianças ou adolescentes — os pais ou responsáveis legais devem autorizar o uso de dados;
  • o número do telefone do cliente somente poderá ser gravado caso ele autorize o registro;
  • todos os dados dos clientes e transmissão de informações dentro do sistema deverão ser criptografados, utilizados para o fim necessário e depois apagados, caso o cliente não tenha autorizado o armazenamento.

Como os sistemas devem tratar a privacidade dos dados?

De acordo com os padrões da ISO/IEC 17799:2005 sobre a segurança das informações, existem três atributos básicos:

  • confidencialidade: garantia de acesso à informação apenas às pessoas autorizadas pelo proprietário da informação;
  • integridade: garantia de que a informação mantenha todas as características;
  • disponibilidade: garantia de que a informação esteja sempre disponível para o uso de usuários autorizados.

Os dados que uma empresa insere em um ERP, por exemplo, como dados de clientes e finanças, são sigilosas. A empresa que fornece esse serviço não pode ter acesso aos dados privados, salvas exceções, quando houver problemas e o proprietário das informações autorize esse acesso.

A segurança é um dos quesitos que deve ser analisado na hora de adquirir um ERP, a fim de garantir que os dados estarão seguros. Com o rigor da lei e aplicação de multa para quem desrespeitar as normas é fundamental escolher quem já está preparado.

Vantagens de manter os dados na nuvem

computação em nuvem oferece inúmeros benefícios para a empresa, como custo x benefício e acesso facilitado em qualquer lugar. O número de empresas que optam por esta tecnologia é cada vez maior, e é necessária uma boa gestão da segurança dessas informações.

As redes de dados devem ser seguras, além de criptografar o tráfego entre o computador do usuário final até o serviço que está na nuvem.

Entre tantas vantagens que a nuvem traz, podemos destacar a mobilidade, que permite o acesso e compartilhamento de dados mesmo por um smartphone, o baixo custo (ou muitas vezes inexistente), uma vez que não é necessário manter um servidor de dados ligado na própria empresa, a independência e a facilidade de uso — sendo dispensável contratar um técnico de informática, além de permitir oferta de novos serviços aos seus clientes. 

Rogério Tessari, CEO do Tiny ERP

Os dados na nuvem são tão sensíveis quantos os offline, em caso de tentativas de ataques. Por esse motivo, recomenda-se que as empresas alertem a todos os envolvidos sobre os riscos e mantenha-se um programa de segurança dos dados.

Como prevenir vazamento de dados?

Apesar de serem eficientes, os antivírus e os controles de acesso não são suficientes quando se trata de segurança de dados. Os dados que são armazenados em datacenters têm sua segurança reforçada, tanto física, por câmeras e sistema anti-incêndio e lógica (firewall), com criptografia e acesso autorizado.

Para que a comunicação de dados seja segura, é importante que a empresa use algoritmos de criptografia (SSL), assim como é utilizada por bancos. Para saber se a empresa utiliza SSL, basta verificar se a URL da página contém https:// (Exemplo: https://tiny.com.br/).

Como ter uma estratégia de privacidade de dados?

Nenhuma empresa deve negligenciar as normas da LGPD, pois as penalidades podem causar um impacto financeiro expressivo. Por isso, o prazo de adequação é ideal para empresa traçar estratégias de privacidade de dados. Veja o que fazer para não correr riscos.

Criar políticas e procedimentos de dados

Como os dados serão tratados a partir de agora? Criar um padrão de registro, tratamento e armazenamento vai facilitar as atividades internas, considerando o trabalho rotineiro e repetição dessas ações de coleta de dados sensíveis — o que muda é que o cliente terá que autorizar o registro sempre que fornecer seus dados.

Usar a tecnologia a seu favor

A parametrização de um sistema pode criar regras automáticas sobre o registro de dados, como apagar os dados não autorizados, por exemplo. Assim, a empresa não correrá o risco de as informações se manterem salvas sem o consentimento do cliente.

Definir regras e níveis de proteção

A criação de permissões para acesso de pastas e arquivos vai ajudar a preservar o nível de proteção. É possível controlar o uso da internet e da rede, com gerenciamento completo por departamentos, tipos de atividades e clientes.

Educar e conscientize a equipe

O treinamento e a campanha de conscientização para colaboradores são também medidas necessárias para fortalecer as novas regras na mente, no comportamento e nas práticas do dia a dia.

A empresa pode elaborar cartilhas, criar infográficos, reunir as equipes em palestras e webinars, sempre com o apontamento para a criticidade e implicações do uso indevido de dados dos clientes.

Os departamentos de marketing e RH são fortes aliados na missão de facilitar a comunicação entre a empresa e os colaboradores para ratificar a importância dos cuidados no registro, tratamento e armazenamento de dados.

Política da Tiny para lidar com os dados

Manter os dados na nuvem pode ser uma ótima forma de manter a segurança, sendo inclusive mais seguro que no próprio computador. Apenas é necessário tomar as devidas medidas de segurança de informação.

NaTiny as práticas mais modernas de segurança de dados são adotadas. A segurança física é garantida com a contratação de um dos datacenters mais modernos do mundo, a Amazon Web Services (AWS), apontada pela Gartner como líder em fornecimento de infraestrutura como serviço (IaaS).

Firewalls, Listas de Controle Acesso (ACLs) e Sistemas de Detecção de Intrusão (IDs) apoiados por Inteligência Artificial (IA), garantem a segurança lógica.

A confidencialidade e integridade dos dados é provida pelo uso de um sistema de autenticação, que armazena senhas criptografadas em bancos de dados e pela comunicação feita 100% através de protocolo seguro (https), com certificados de Validação Estendida (EV).

Réplicas em tempo real dos bancos de dados, em regiões de disponibilidade distintas, garantem a disponibilidade das informações armazenadas. Sistemas de balanceamento de carga tornam elástica nossa capacidade computacional, evitando gargalos de processamento em dias e horários de pico.

Concluindo

O respeito ao desejo dos clientes sobre a autorização de uso e tratamento de dados deve ser o foco principal de todas as empresas, intensificado pelas determinações legais — a experiência precisa ser positiva para que ele continue confiando em fornecer suas informações pessoais.

Se a privacidade de dados já era um direito previsto pela Constituição federal, agora ganha um reforço da nova lei brasileira. As empresas que se adaptarem mais rápido às regras impostas pela LGPD sairão também à frente em termos de confiabilidade na visão dos clientes.

Gostou do post? Para continuar sempre atualizado, siga o Tiny nas redes sociais – FacebookYouTubeInstagram.

Fontes:
Allconnection
E-commerce Brasil