Tag proteção de dados

Proteção de Dados: responsabilidade das empresas e de todo seu ecossistema de terceiros

A GDPR – General Data Protection Regulation eleva o grau de exigência sobre as empresas e todo seu ecossistema de terceiros, em relação às estruturas, políticas, procedimentos e controles que promovem a adequada proteção de dados em seus negócios. O eventual descumprimento das novas regras sujeita empresas e seus terceiros a pesadas multas e sanções.

Para mitigar riscos e promover o compliance sobre a proteção de dados nas empresas e seus terceiros, a ICTS Outsourcing incorporou em seu serviço de Due Diligence de Terceiros (3rd Party Compliance), já amplamente empregado com enfoque Anticorrupção, uma nova camada de verificação.

A condução de due diligences sobre Proteção de Dados de forma rigorosa e periódica é um importante elemento para um programa efetivo de compliance nas organizações, permitindo a identificação e o tratamento de riscos no relacionamento entre a empresa e seus diversos terceiros (parceiros de negócio, prestadores de serviços, fornecedores, representantes, etc). Adicionalmente, possui um caráter construtivo muito interessante, pois estimula a assimilação de melhores práticas de negócio em toda a cadeia de valor da empresa, promovendo uma evolução gradual do mercado.

“Esta nova camada de diligência era necessária para permitir a avaliação do grau de maturidade dos parceiros, fornecedores e outros terceiros sob a ótica da proteção de dados, verificando seu grau de preparação e aplicação prática dos elementos de segurança, seja sobre dados pessoais, inclusive sob a ótica da GDPR, ou quaisquer outras informações da empresa às quais o terceiro tenha acesso.”, explica o sócio diretor da ICTS Outsourcing, Cassiano Machado, especialista em gestão de riscos, ética e compliance.

Empregando uma abordagem progressiva de análise, cuja complexidade aumenta conforme o nível de exposição aos riscos envolvido, o processo de Due Diligence possibilita às empresas uma ação preventiva sobre atos de corrupção e, agora, também sobre o tratamentamento inadequado e o vazamento de dados. E, especialmente nestes contextos, como comenta Cassiano, prevenir é melhor do que remediar: “A GDPR, por exemplo, prevê multas que variam de 2% a 4% do faturamento anual para empresas que não cumprirem suas regras, e a Lei anticorrupção brasileira é ainda mais rigorosa, com multas de até 20% do faturamento”, destaca. Ele ainda reforça a importância da execução das diligências preferencialmente antes da contratação do novo terceiro, ou, minimamente, nos momentos prévios a renovação dos contratos.

Tags, , , , ,

Três motivos para que os CIOs considerem o GDPR enquanto o prazo se aproxima

Por Aruna Ravichandran, VP de Product Marketing da CA Technologies

Com o prazo de adaptação ao Regulamento Geral de Proteção de Dados (GDPR – General Data Protection Regulation) da União Europeia chegando ao fim, os CIOs estão correndo para mitigar riscos de multa por não cumprirem com as exigências. GDPR é uma regulamentação que exige que as empresas protegam os dados pessoais e a privacidade dos cidadão europeus para todas as transações realizadas entre membros da União Europeia.

Este é um exercício tático necessário, mas os CIOs não devem pensar sobre o GDPR apenas por este viés. Na verdade, existem três razões importantes para que todos os CIOs vejam o GDPR também de forma estratégica.

Razão nº 1: A responsabilidade futura pelo uso de dados pessoais irá além do GDPR

O prazo final para adaptação ao GDPR (25 de maio de 2018) é uma data importante. Porém, não será a última.

À medida que as organizações acumulam mais dados do cliente, exploram e monetizam esses dados das mais diversas formas, e considerando possíveis usos inadequados dessas informações que expõe os clientes a maiores riscos, é importante que as agências reguladoras e os formuladores de políticas tomem medidas apropriadas.

O GDPR pode ser a resposta atual de maior destaque às preocupações relacionadas aos dados dos clientes, mas é apenas um indicativo das mudanças que estão por vir. Uma nova evolução da economia digital global inevitavelmente levará a outras regulamentações relacionadas à gestão de dados, e não apenas na União Europeia e nos Estados Unidos, mas em todo o mundo. Na verdade, o GDPR foi amplamente discutido em vários fóruns legislativos e regulatórios em Washington DC, inclusive quando Julie Brill, da Comissão Federal de Comércio dos Estados Unidos, escreveu: “O GDPR terá efeitos abrangentes sobre todos nós… [e] parte do seu objetivo foi definir um padrão global.”

Esta é uma mudança estratégica, não apenas tática. Historicamente, os CIOs consideravam os dados armazenados na infraestrutura corporativa como propriedade corporativa. O modelo tradicional considera os dados como uma propriedade de quem os coleta.

O GDPR sinaliza uma mudança radical neste modelo. No futuro, as empresas apenas pegarão “emprestado” os dados dos seus proprietários (leia-se, dos cidadãos), que terão os direitos específicos relacionados ao ciclo de vida dos mesmos. Os CIOs devem repensar todos os aspectos da empresa digital neste contexto.

Razão nº 2: A conformidade com o GDPR é mais do que apenas a governança de dados

A visão simplista do GDPR é a de que você estará em conformidade se gastar dinheiro com ferramentas de governança de dados e encontrar um agente de dados suficientemente engajado para impor as políticas internas de governança de dados de uma organização.

Mas isso é apenas parcialmente correto. Para cumprir com o GDPR e outros regulamentos relacionados, você precisa da tecnologia certa e das pessoas certas para ficarem de olho nos dados em toda a empresa.

Mas existem muitas outras fontes de dados na empresa digital atual além dos aplicativos e bancos de dados em produção. A pressão para colocar rapidamente novos recursos digitais inovadores no mercado, por exemplo, está fazendo com que muitas equipes de DevOps acelerem e não analisem bem os dados de teste que elas usam para realizar o trabalho. Às vezes, esses dados são enviados para fora da empresa para contratar desenvolvedores e QA shops sem qualquer mascaramento.

Por outro lado, muitas empresas recebem dados de terceiros sem investigar suficientemente as práticas de limpeza dessas informações. Essas ações podem expor uma companhia a responsabilidades graves relacionadas a dados, independente de se achar segura ou em conformidade.

Os CIOs devem considerar a conformidade como uma regra empresarial estratégica. São necessárias políticas fortes, transparentes e eficazes de descoberta, de coleta, de teste, de gerenciamento e remoção de dados, não apenas para garantir o cumprimento, mas também como parte integral da construção de relações digitais confiáveis e duradouras com os clientes.

Razão nº 3: O GDPR é uma oportunidade para a marca, não apenas uma carga imposta externamente.

Quando surge um regulamento complexo e de alto impacto, como o GDPR, é comum vê-lo um fardo. Afinal, para se adaptar ao GDPR, as organizações geralmente usam recursos de outras iniciativas e a atenção do CIO é desviada de outros assuntos urgentes.

Então, por que não considerar transformar os custos que você não pode evitar em investimentos que compensam no longo prazo? Uma boa administração de dados não deve ser apenas algo que fazemos porque somos obrigados. Deve ser algo que fazemos porque é ético e de valor para nossos clientes. Além disso, o GDPR oferece um campo de atuação igual entre as empresas internacionais, incentivando o desenvolvimento de tecnologias inovadoras que podem beneficiar a todos.

Muitas empresas usam a responsabilidade corporativa a seu favor. A rede varejista Whole Foods e a fabricante de roupas e acessórios esportivos Patagonia são exemplos clássicos de empresas que elevam suas marcas e o envolvimento de clientes ao contextualizar as compras como mais do que meras transações financeiras. Quem pode dizer que a administração de dados não pode se tornar um equivalente digital da proteção ambiental ou impacto social do tipo “na compra de um produto, doamos outro para caridade”?

Além disso, a administração insuficiente pode trazer consequências estratégicas além das multas por descumprimento. Se os clientes não acham que podem confiar em você com seus dados, eles provavelmente não confiarão em você com seu dinheiro.

Mas isso sugere que os CIOs que consideram a administração de dados de forma estratégica serão superiores aos que não colocam isso em prática. Então, por que não se juntar a eles?

Tags, , , , , , , , ,

Bulgari Vault: aplicativo de grife protege dados pessoais

view.aspx

De uma forma totalmente inesperada, a Bulgari licenciou a WiSeKey, a empresa suíça que é líder mundial em segurança, para desenvolver e oferecer no mercado, o BULGARI VAULT: um aplicativo móvel para o armazenamento seguro de todos os tipos de dados pessoais. Já disponível, o aplicativo é uma versão personalizada do Wiseid, aplicativo que se encontra no topo do ranking da WiSeKey, com layout, design e cores exclusivas da Bulgari, e pode ser baixado no Google Store e na Apple App Store.

A Bulgari é a única marca de luxo que conecta o mundo dos produtos de luxo de alto valor agregado com a realidade digital de hoje. Mais do que o debate em torno do chamado “objetos de pulso”, conectados, a verdadeira questão principal que a evolução tecnológica aplicada a relógios terão de enfrentar no futuro é o da proteção de dados digitais e sua total segurança. Na sua própria maneira inimitável, normas existentes externas e conformismo vigente, a Bulgari, com o BVLGARI Vault, deu o primeiro passo para preencher a lacuna entre o mundo do artesanato da BVLGARI e o mundo digital de seus clientes e amantes da marca.

O funcionamento intuitivo do aplicativo permite aos usuários proteger seus dados com facilidade. Assim que a informação é enviada para o aplicativo, ela é criptografada instantaneamente, graças a uma tecnologia altamente avançada, desenvolvida pela WISeKey, sem dúvida, líder da indústria nesta área. O usuário também pode arquivar e sincronizar os dados em uma “nuvem”, que depois são armazenados fisicamente em um depósito enterrado nos Alpes suíços. Durante a transferência de dados na internet, quando o risco de hackers é mais elevado, a tecnologia de criptografia da WISeKey alcança um nível “assimétrico” inigualável, normalmente utilizado por agências governamentais.

Este aplicativo é destinado a uma ampla gama de usuários, já que é completamente público e, consequentemente, aberto a todos. No entanto, o BULGARI VAULT também tem como alvo um círculo mais restrito de consumidores: clientes e fãs da Maison que, no futuro, descobrirão serviços personalizados diretamente relacionados com a marca, seus serviços e produtos, que podem incluir serviços relacionados a pós-venda, certificado de autenticidade, ativação da garantia, etc.

A WISeKey tem levado o desenvolvimento do seu conceito a um altíssimo nível ao expandir as chaves de acesso ao Vault através de vários campos que podem ser combinados para segurança adicional: o uso de uma senha, e também através do reconhecimento de impressões digitais, reconhecimento facial, assim como o modo de desbloqueio em que é preciso deslizar o dedo na tela do telefone celular para interligar os 4 pontos.

“Na Bulgari, nos esforçamos para estar à beira de compreender e antecipar experiências de luxo. A 4ª revolução industrial irá modificar a nossa relação com o luxo. É por isso que oferecer aos nossos clientes exigentes uma solução inteligente para proteger seu patrimônio virtual, graças à tecnologia de ponta dos nossos parceiros da WISeKey, é um momento de orgulho e uma experiência inovadora e enriquecedora para nós “, comentou Jean-Christophe Babin, CEO do Grupo Bulgari.

“Este é um novo marco na nossa colaboração com a Bulgari, para oferecer aos clientes comunicações móveis e transações mais seguras e confiáveis, com uma edição de cyber-resiliência do aplicativo BVLGARI Vault, que bloqueia os dados pessoais, tais como contas de usuários e senhas, números de cartões de crédito e PINs em um organizador seguro de dados pessoais, criando identidades responsáveis para as atividades on-line, enquanto os dados continuam protegidos em um cofre seguro na nuvem. Ameaças à segurança móvel estão aumentando em número e sofisticação, com hackers procurando formas de sequestrar celulares para a mineração de Bitcoins, ou para enganar os usuários móveis para que entreguem suas informações de identidade pessoal e contas bancárias. Apesar de sistemas operacionais móveis oferecerem desenvolvedores de aplicativos com recursos de segurança importantes, os hackers ainda têm sido capazes de explorar a enorme base instalada dos dispositivos Android e iOS, usando vários vetores de infecção diferentes para colocar malware “, disse Carlos Moreira, fundador e CEO da WISeKey.

As funções de armazenamento fornecidos pelo aplicativo são potencialmente tão vastas quanto o universo digital pode ser em relação aos dados: diversos códigos, bem como cartões de crédito, documentos (incluindo documentos de viagem), mensagens seguras de envio, assinatura digitalizada, etc. A inserção de dados é fácil e intuitiva, pode ser feita com a utilização de arquivos ligados às plataformas de internet mais utilizadas atualmente, um navegador de internet seguro, e um scanner para cartão de crédito integrado.

Além das plataformas nas quais o aplicativo pode ser baixado, ele também está acessível no site dedicado especificamente a ele: https://www.bulgarivault.com.

Baixe o aplicativo móvel BULGARI Vault diretamente na Apple Store e no GooglePlay.

Tags, , , , , ,

Dados: a quem pertencem?

Por Paulo Milliet Roque, Vice-Presidente e Diretor de Inovação da ABES –

Associação Brasileira das Empresas de Software

Os casos de bloqueio do serviço de mensagens instantâneas WhatsApp e a prisão do executivo do Facebook no Brasil neste ano trouxeram, mais uma vez, à tona uma questão pertinente à sociedade atual que parece estar longe de se chegar a um consenso: segurança x privacidade. Por um lado, temos as empresas de tecnologia que têm como parte fundamental do seu serviço garantir a privacidade de seus usuários e do outro as leis que regem o país destes mesmos cidadãos. E ainda entre estas duas forças, a sociedade que precisa se sentir segura ao utilizar as ferramentas digitais e ao mesmo tempo não quer que crimes deixem de ser solucionados ou que criminosos fiquem impunes por conta da falta de acesso à informação das autoridades policiais.

O legislador brasileiro precisa ficar atento, porém, para que as regras a respeito da proteção de dados, sigilo e privacidade do usuário não se traduza em obstáculo intransponível para que empresas possam oferecer uma série de serviços – de interesse desses mesmos usuários – cuja realização envolve tratamento e transferência de dados.

No Brasil, existem leis que tratam do assunto, dentre as quais o principal instrumento legal, o Marco Civil da Internet, amplamente debatido e considerado um grande avanço no mundo todo sobre este tema. No caso atual, em seu artigo 15, exige que um provedor de aplicações mantenha os respectivos registros de acesso (não o conteúdo) em aplicações de internet por seis meses.

As dúvidas, no entanto, se acirraram nos últimos meses. A punição empregada ao executivo do Facebook pode ser considerada justa? Até onde pode-se dizer que a empresa não respondeu à Justiça adequadamente? Os players de tecnologia internacionais ou não estão corretos em disponibilizar ao mercado serviços que implicam na transferência ou tratamento de dados, negando-se, porém, a revelar esses dados às autoridades dos países em que atuam?

Dentre os principais motivos que as empresas alegam para não mudar seus sistemas (e isso é realmente preocupante) destacam-se o dever de proteger os dados, o sigilo e privacidade dos usuários desses aplicativos e a garantia de que as informações privadas não sejam usadas por governos com regimes extremistas, que muitas vezes não respeitam os direitos humanos, por exemplo. Se a cessão das informações ocorrer em algum país, a empresa pode abrir precedentes para outras regiões exigirem o mesmo.

Essas são perguntas que a maioria dos especialistas do setor vem debatendo. A prisão de Diego Dzodan e o bloqueio do Whatsapp podem ser bons motivos para o Brasil avaliar se as leis existentes e suas regulamentações ainda pendentes são suficientes e se atendem às atuais necessidades que a internet vem apresentando à sociedade.

Engajada em abrir um fórum para discussões sobre uso, compartilhamento e proteção de dados, a ABES lançou o portal Brasil, País Digital http://brasilpaisdigital.com.br, focado em informações sobre as leis de proteção de dados, com notícias e casos ligados ao assunto no Brasil e mundo. A entidade ainda atua com um Comitê sobre o Marco Regulatório, que se ocupa de temas relacionados com a internet e reúne vários executivos do setor para debater situações como essas.

Essa foi uma forma encontrada pela entidade para manter tanto as empresas quanto a sociedade atualizada quanto ao desenrolar de casos como os que as empresas Facebook, Whatsapp e Google, entre outras, vêm enfrentando.

O momento agora requer um debate com a participação de especialistas em direito penal, empresas do setor, especialistas em TI e sociedade civil para que se chegue a um consenso onde a internet seja um agregador para a evolução da comunicação e não um instrumento de litígios e espaço seguro para o crime.

Tags, , ,

Google reúne especialistas para falar sobre proteção de dados

O Google apresentará no dia 26 de julho o Atmosphere Digital, com o tema “Repensando a segurança na nuvem”. Evento online reunirá especialistas em segurança, parceiros e clientes do Google Apps for Work para falar como a tecnologia ajuda superar os desafios de segurança e proteção de dados – uma das principais preocupações para quem quer trabalhar e crescer na nuvem. Para participar, é só se inscrever aqui e acompanhar a transmissão, que começará às 10h do dia 26 de julho.

Durante o evento, serão apresentadas as soluções tecnológicas do Google para a segurança da informação e as diferentes formas para manter as empresas mais seguras. Com moderação de Eran Feigenbaum, diretor de segurança do Google Apps, especialistas como Tim Willis, da equipe de segurança do Google Chrome, vão falar de suas experiências sobre armazenamento de dados online.

Dentro dos diversos tópicos, apresentados será compartilhado o resultado da pesquisa realizada com 500 líderes de negócios de 10 países sobre a confiança da tecnologia da nuvem e seu impacto no sucesso das organizações. O Atmosphere Digital será transmitido ao vivo a partir das 10AM do dia 26 de julho, terça-feira, pelo YouTube.

Tags, , , , ,