O RGPD (Regulamento Geral sobre a Proteção de Dados) não é um tema novo, mas a sua importância torna-o ainda num grande desafio para muitas organizações. Por isso, falamos dele no blog homeostase.
Foi em 2018 que o RGPD entrou em vigor, estabelecendo as regras relativas à proteção de dados e à sua livre circulação, em toda a União Europeia.
Do ponto de vista tecnológico, também ofereceu aos cidadãos maiores direitos de proteção de dados.
Requisitos do RGPD
Os principais requisitos incluíram:
- Aumento dos direitos dos titulares dos dados, ou seja, o direito de “ser esquecido” e a portabilidade dos dados;
- Software desenvolvido a pensar na segurança (privacidade por conceção e por defeito);
- Pseudonimização ou encriptação de dados pessoais (privacidade por conceção e por defeito);
- Tratamento seguro de dados;
- Notificação de 72 horas para violação de dados pessoais;
- Multas até 20 milhões de euros ou 4% do volume de negócios anual, consoante o que for maior.
Os dados de máquina podem ajudar no cumprimento do RGPD
Os dados de máquina fornecem um registo útil das atividades dos seus clientes, utilizadores, transações processadas, aplicações, servidores, redes e dispositivos móveis.
Abaixo seguem 3 exemplos de utilização para ajudar a apoiar o seu programa de cumprimento do RGPD, independentemente da natureza do seu setor ou implantação: no local, na cloud ou híbrido.
Caso 1 – Gestão de Segurança e Notificação de Violação
Artigo 32 – Segurança do Processamento
Cenário: Um funcionário do departamento de recursos humanos recebeu um e-mail de phishing a solicitar a redefinição da palavra-passe no seu sistema. Clicou no link e as suas credenciais de acesso ficaram nas mãos de um atacante, colocando em risco os dados pessoais de todos os funcionários.
O GDPR exige segurança de processamento (Artigo 32).
As organizações que processam informações pessoais devem implementar “medidas técnicas e organizacionais adequadas para assegurar um nível de segurança adequado ao risco”.
As informações dos dados de máquina fornecem um aviso prévio de ameaças à sua infraestrutura digital. Por exemplo, os dados de máquina podem dizer-lhe se existe atividade de registo associada a um funcionário que está fora do escritório, levantando uma possível bandeira vermelha.
Também podem identificar quando um novo dispositivo móvel é registado no seu sistema ou faz o login numa VPN (Virtual Private Network). Isto é feito rapidamente e em tempo real.
O RGPD exige também uma notificação e comunicação da violação.
Se ocorrer uma violação de dados pessoais – que possa prejudicar os direitos e liberdades dos cidadãos da UE (Artigo 33), as organizações devem notificar as autoridades de supervisão no prazo de 72 horas. Os indivíduos afetados também devem ser informados. (Artigo 34).
A notificação deve conter, entre outras coisas, informações sobre a natureza da violação, incluindo o número de pessoas afetadas e as suas medidas de remediação.
As informações dos dados de máquina permitem às organizações detetar, investigar e delimitar rapidamente as violações.
Pode ser realizada uma análise detalhada para investigar como e quando o agressor entrou no ambiente, que sistemas e dados foram acedidos e quando, quantas pessoas/registos foram afetados e que medidas corretivas precisam de ser tomadas – tudo isto ajuda a cumprir os seus requisitos de notificação.
Caso 2 – Auditorias de proteção de dados
Artigo 58 – Poderes de investigação de supervisão
Cenário: Ocorreu uma violação que foi causada por uma vulnerabilidade não divulgada: o ataque foi analisado e descobriu-se dados pessoais expostos, identificou-se indivíduos afetados, comunicou-se a violação e tomou-se as medidas corretivas para minimizar o risco.
Os indivíduos afetados querem uma compensação e a autoridade supervisora quer realizar uma auditoria de proteção de dados para verificar se a sua segurança “levou em consideração as tecnologias mais avançadas” para proteger as suas atividades de processamento.
O RGPD concede a cada autoridade supervisora o poder de realizar investigações sob a forma de auditorias de proteção de dados e de emitir avisos, reprimendas ou proibições de processamento de dados (Artigo 58) .
Além disso, o Artigo 82 confere a qualquer pessoa que tenha sofrido danos materiais ou imateriais o direito de receber uma indemnização. Para que as multas sejam evitadas, as organizações terão de documentar as suas ações e demonstrar o seu cumprimento à autoridade supervisora.
Os dados de máquinas fornecem as informações históricas que as organizações precisam para demonstrar às autoridades supervisoras que dispõem de controlos de segurança adequados e trabalharam proativamente para reduzir o risco.
Os dados de máquina podem ser utilizados para documentar configurações técnicas e respetivas alterações, histórico de redefinição de palavra-passe ou histórico de atualização.
Caso 3 – Pesquisa e Relatório sobre Processamento de Dados Pessoais
Artigo 15, 17, 18 e 28 (Direitos do titular dos dados)
Cenário: A sua organização fornece serviços de salários em toda a Europa para pequenas empresas. Como resultado, está a processar grandes quantidades de dados pessoais todos os meses.
Um dos seus antigos clientes sofreu recentemente uma violação de dados e chega até si como parte de uma auditoria de privacidade de dados. É-lhe solicitado que forneça um relatório sobre quem acedeu aos dados pessoais do cliente no seu local de trabalho nos últimos 12 meses. Também querem provas de que foram removidos os dados pessoais do seu cliente do seu sistema (incluindo quaisquer cópias de segurança), após o término do seu contrato.
O RGPD concede aos cidadãos da UE o direito de saber que dados pessoais estão a ser tratados sobre eles, com quem são partilhados e onde são processados (Artigo 15).
Os titulares dos dados também podem pedir que os seus dados pessoais sejam corrigidos (artigo 16) ou apagados (artigo 17).
Os dados de máquina dão às organizações visibilidade de ponta a ponta nas suas atividades de processamento – informações críticas para o cumprimento do RGPD. Portanto, podem ajudar a demonstrar quais os dados pessoais que foram acessados, por quem, como foram usados e quando foram excluídos.
Ainda têm dúvidas sobre o RGPD ou gostavam de saber mais sobre este tema? Estamos disponíveis para ajudar.
Fonte: Splunk – How Machine Data Supports GDPR Compliance