Imagen de artigos e publicações

ANPD lançou o Guia Orientativo de Segurança da Informação para agentes de tratamento de pequeno porte

A Autoridade Nacional de Proteção de Dados (ANPD) lançou o guia orientativo de segurança da informação direcionado aos agentes de tratamento de pequeno porte, em conformidade ao art. 55-J XVIII da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).

O mercado vem aguardando com grande expectativa a publicação dos possíveis procedimentos simplificados e diferenciados a serem aplicados aos agentes de tratamento de pequeno porte.

O guia da ANPD não tem efeito normativo vinculante e deve ser interpretado como um guia de boas práticas que devem ser complementadas com outras identificadas como necessárias para a empresa de pequeno porte.
Adiante seguem as medidas sugeridas no guia da ANPD.

Medidas administrativas:

1. A Política de segurança da informação. Apesar de não ser obrigatória, é fortemente recomendada sua implementação, mesmo que em formato simplificado, como evidência de boa-fé e diligência na segurança dos dados pessoais sob sua custódia e a formalização das diretrizes da gestão da segurança da informação.
2. Treinamento. O guia sugere aplicação de treinamento aos funcionários para conscientização sobre as obrigações e responsabilidades relacionadas ao tratamento de dados pessoais.
3. Gerenciamento. São recomendadas as ações (i) firmar termos de confidencialidade com os funcionários, (ii) gerenciar cuidadosamente os contratos e aquisições com especial atenção às responsabilidades entre as partes para o tratamento de dados pessoais e (iii) dispor cláusula de segurança das informações em contratos de terceirização de serviços do TI.

Medidas técnicas:

1. Controle de acesso. Recomendado implementar o controle de acesso para restrição às pessoas autorizadas contando com processos de autenticação, autorização e auditoria, sob o princípio do “menos privilégio” (need to know). Caso o agente de tratamento tenha uma rede interna de computadores, todos os usuários devem estar sob procedimentos com níveis adequados de permissão. O controle de acesso deve ser configurado com exigência de certo nível de complexidade, gerenciamento adequado de senhas, sem permissão de compartilhamento de senhas e, preferencialmente, utilizar a autenticação multi-fatores, que é uma camada adicional de segurança no login da conta, como exemplo o envio de códigos de segurança por serviços de SMS, e-mail ou tokens.

2. Segurança dos dados pessoais armazenados. Os agentes de tratamento de pequeno porte devem coletar e processar apenas os dados pessoais que são realmente necessários para atingir os objetivos do tratamento para a finalidade pretendida, em atendimento ao princípio do art. 6º, III, da LGPD. Esses agentes devem implementar soluções que dificultem a identificação do titular, como as técnicas de pseudonimização, como exemplo, a criptografia. Deve ser evitada a transferência de dados para dispositivos de armazenamento externo (pendrives, HDs), que caso sejam realizados sugere-se inventariá-los, cifrar os dados e armazená-los em locais seguros.
O guia ainda reproduz outras sugestões para a segurança do armazenamento de dados.

3. Segurança das comunicações. São sugeridas ações relevantes como utilização de conexões cifradas ou aplicativos de criptografia fim a fim, gerenciamento do tráfego de rede e a remoção de dados sensíveis que estejam desnecessariamente em redes públicas.

4. Manutenção de programa de gerenciamento de vulnerabilidades. O guia avalia como relevante ações de monitoramento da existência de novas versões e correções disponíveis em todos os sistemas e aplicativos.

Medidas relacionadas ao uso de dispositivos móveis
1. Sugere-se que os dispositivos móveis estejam sujeitos aos mesmos procedimentos de controle de acesso que os outros equipamentos de TI.

Medidas relacionadas ao serviço em nuvem
1. O guia descreve medidas consideradas prioritárias na contratação de serviço em nuvem:
a. Sejam observadas e implementadas as recomendações internacionais e as boas práticas de segurança da informação;
b. O contrato com a prestadora de serviços deve contemplar a segurança dos dados armazenados;
c. Avaliação, pelo agente de tratamento, se o serviço oferecido pelo provedor do serviço em nuvem atende os requisitos estabelecidos; e
d. Especificar os requisitos para o acesso do usuário a cada serviço em nuvem utilizado, além de utilização de técnicas de autenticação multi-fator.