Introdução

A segurança da informação sempre foi um tema de preocupação, e agora é uma obrigatoriedade por parte das empresas em proteger um dos ativos mais importantes: Os dados, principalmente de seus clientes.

Sancionado em 14 de Agosto de 2018, a Lei Geral de Proteção de Dados 13.709, ou LGPD é uma lei mais abrangente que o antigo Marco Civil da Internet, mas que atribui muito mais responsabildiades às pessoas juridicas quanto a coleta, tratamento e proteção dos dados pessoais.

A LGPD é baseada na lei européia GDPR (General Data Protection Regulation) de 25 de Maio de 2018. Alguns artigos da GDPR foram suprimidos da LGPD, mas a tendência é que todas as leis se converjam para uma lei muito parecida com a GDPR européia.

A adoção de leis que regulamentam a proteção de dados é necessária nos dias de hoje, visto que as empresas que coletam dados pessoais são muitas vezes multinacionais com sede em outro país, e países mais maduros (Ou civilizados digitalmente) exigem tratamento dos dados protegidos por lei. Um exemplo seria acordos bilaterais em bloco ou individuais, como Mercosul com a União Européia, Brasil com EUA, etc.

Em 28 de Dezembro de 2018 foi publicada uma medida provisória, a MP 869/2018 que clarificou algumas dúvidas do texto original do LGPD e estabeleceu a data de 14 de Agosto de 2020 a data definitiva de vigoração da LGPD.

Do que trata a LGPD?

A LGPD trata das exigência de captura, tratamento e proteção de dados considerados “pessoais”. Também são estipuladas as sanções em caso de descumprimento da lei, as definições de dados pessoais, dos “agentes” que lidam com dados pessoais, do Encarregado de Proteção de Dados e finalmente a Agência que irá fiscalizar e aplicar sanções aos infratores.

O LGPD vale para:

• Pessoas jurídicas, públicas ou privadas, só podem coletar dados pessoais sob consentimento do cidadão;
• Empresas brasileiras e internacionais que coletarem dados no Brasil;
• Subcontratantes da empresa, como ISPs, escritórios de contabilidade, empresas de marketing, etc.;

Infrações, Sanções e Indenizações

• Infração: Coleta não autorizada, divulgação a terceiros, guarda insegura dos dados, etc…
• Sanções: (Por infração) de 2% do faturamento anual da empresa (Ano anterior), limitada a R$ 50 milhões;
• Indenizações: Direito à indenização paga ao titular dos dados pessoais pelo controlador / operador que cometer danos (patrimoniais, morais, individuais ou coletivos) decorrentes à infrações de proteção de dados.

Definições dos Termos utilizados na LGPD

• Dado Pessoal: Informação de pessoa natural, identificada ou identificável;
• Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização religiosa, filosófica ou política, referente à saúde, à vida sexual, genético ou biométrico;
• Dado Anonimizado: Dado que não possa ser associado a um indivíduo, utilizando meios técnicos na ocasião de seu tratamento;
• Tratamento: Toda operação realizada com dados pessoais, como a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
• Controlador: Pessoa natural ou jurídica, público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
• Operador: Pessoa natural ou jurídica, público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

Principais artigos da LGPD

• Art 1: Escopo de aplicação;
• Art 3: Aplicação extraterritorial;
• Art 6: Princípio de Proteção de Dados;
• Art 7: Autorização para Tratamento de Dados;
• Art 11, 14 e 33: Dados sensíveis, de menores e transferência internacional;
• Art 18: Anonimização, bloqueio ou eliminação de dados ;
• Art 37: Mapeamento do tratamento de dados;
• Art 38: Relatório sobre o tratamento de dados;
• Art 41: Data Protection Officer (DPO);
• Art 48: Notificações Obrigatórias;
• Art 49: Seguir padrões de “boas práticas” de segurança e governança;
• Art 55: Criação da Agência Nacional de Proteção de Dados (ANPD) e do Conselho Nacional de Proteção de Dados (MP 869/18);

Artigos da LGPD com questões em aberto

No Art 41 – Parágrafo §3º, ainda não foi definido claramente as atribuições extras do “Encarregado de Proteção de Dados” (Ou DPO), e nem dos casos de dispensa do Encarregado pelo porte da empresa (MEI, ME, EIRELI, por exemplo);

O GDPR europeu no Brasil

O GDPR europeu vale também para todas empresas brasileiras que:

• Ofereça bens ou serviços na União Européia;
• Monitorem comportamento de titulares de dados na UE;
• Tenha filial ou sucursal ou outro tipo de estabelecimento na UE;
• Necessário para acordos bilaterais com União Européia.

Infrações e Sanções pelo GDPR

• Infração: Não cumprimento dos artigos e vazamento de dados;
• Sanções: (Por infração) de 2% do faturamento anual GLOBAL da empresa, limitada a €10 milhões, podendo chegar a 4% e €20 milhões;

PCI DSS

O PCI DSS é um velho conhecido de quem lida com dados de cartão de crédito. As práticas utilizadas no PCI DSS podem realmente de fato serem consideradas “boas práticas:

• O PCI (Payment Card Industry) é um conselho global formado pelas empresas American Express, Discover Financial Services, JCB International, MasterCard e Visa que estabeleceu em 2006 as regras e normas que garantem a segurança durante o manuseio dos dados em transações eletrônicas.
• DSS (Data Security Standards ou Padrão de Segurança de Dados), é um padrão que prevê a proteção da privacidade e da confidencialidade dos dados de cartões de pagamento;
• Estas regras visam proteger estabelecimentos e consumidores de fraudes relacionadas ao compartilhamento de dados com terceiros;

Os 12 requerimentos do PCI DSS

1. Instalar e manter uma configuração de firewall;
2. Não usar padrões de senhas do sistema e outros parâmetros de segurança;
3. Proteger os dados armazenados com criptografia e mascaramento;
4. Criptografe a transmissão em redes abertas e públicas;
5. Utilize e atualize regularmente software antivírus;
6. Desenvolver e manter sistemas e aplicativos seguros;
7. Restrinja o acesso aos dados, de acordo com a necessidade de negócio;
8. Identifique e autentique o acesso aos sistemas;
9. Restrinja o acesso físico aos dados;
10. Monitore todos os acessos aos recursos da rede e aos dados;
11. Testar regularmente os sistemas e processos de segurança;
12. Mantenha uma política de segurança da informação;

Conceitos Tecnológicos Básicos

Proteção de Dados é instalar Antivirus e um Firewall?

Boa parte das empresas acham que Proteção de Dados se resume em colocar um Antivirus e um Firewall.

• Uma cerca e um cachorro no quintal são seus dispositivos de segurança?
• E se o furto é feito por alguém que frequenta sua casa?
• Seu dinheiro fica no pote de doce?
• O ladrão é sempre alguém que não suspeitamos!

Onde ocorrem os roubos de dados

Os roubos de dados podem ser ocorrer em camadas nos sistemas das empresas, e está diretamente relacionado com a quantidade dos dados expostos ou roubados:

• No perímetro: Alguns dados pessoais, obtidos através de força bruta para transpor os sistemas de segurança;
• No core (Dados): Dados de muitos usuários, através de inteligência e frequentemente com envolvimento de funcionários da empresa;

Famework de Proteção de Dados

Conceitualmente dividimos em 4 grupos a disciplina de proteção de dados:

Nesse artigo vamos primeiro cobrir o aspecto tecnológico da Proteção de Dados com produtos da Oracle.

Framework de Produtos de Segurança da Oracle

A Oracle é uma empresa muito focada em tecnologias de tratamento de dados, notadamente no banco de dados. Para isso podemos classificar os principais produtos para proteção de dados, voltados para seu banco de dados:

Produtos Oracle para Proteção de Dados

A tabela abaixo mostra todos os produtos Oracle que servem para Proteção de Dados, classificados de acordo com o Framework Oracle e uma breve descrição.

Produto	Categoria	Descrição
Advanced Security	Proteção de Dados	Encripta banco de dados Oracle e remove dados sensíveis
Key Vault	Proteção de Dados	Gerencia chaves de encriptação, senhas e certificados
Data Masking and Subsetting	Proteção de Dados	Mascara dados de produção para teste e desenvolvimento
Database Vault	Controle de Acesso	Controla acessos privilegiados usando regras de privilégio e cargos
Identity Cloud Service	Controle de Acesso	Gerencia identidades de cloud para acessos híbridos, autorizações, autenticações e Single Sign On
Identity Governance	Controle de Acesso	Gerencia o ciclo de vida das identidades
Access Management	Controle de Acesso	Proteção de ativos de TI
Directory Services	Controle de Acesso	Gerencia diretorios R/W
Label Security	Controle de Acesso	Cria metadados em registros de banco e autoriza acesso baseado nesses metadados
Audit Vault and Database Firewall	Monitoramento, bloqueio e auditoria	Auditoria, monitoramento, relatórios e alertas centralizados de atividades anômalas em bancos de dados
Secure Monitoring and Analytics Cloud Service	Monitoramento, bloqueio e auditoria	Monitora incidentes de segurança entre ambientes de cloud heterogêneos e híbridos
CASB Cloud Service	Monitoramento, bloqueio e auditoria	Descobre serviços de cloud não aprovados e implementa políticas de segurança em serviços de SaaS, PaaS e IaaS aprovados
Configuration and Compliance Cloud Service	Compliance	Implementa e mantém regras de compliance para configuração de ativos de TI
Enterprise Manager Configuration Management	Compliance	Verifica se os ativos de TI estão instalados adequadamente e configurados seguramente

Mapeamento de Leis com Produtos Oracle

Mapeamento LGPD e Oracle Database

Artigo	Mecanismo de Proteção	Produto Oracle
18 – IV	Anonimização, bloqueio ou eliminação de dados	Advanced Security – Data Redaction: Anonimização Data Masking and Subsetting: Anonimização Advanced Security – TDE: Bloqueio Audit Vault and Database Firewall: Bloqueio
37	Registro das operações de tratamento de dados	Audit Vault and Database Firewall
38	Relatório de Impacto à proteção de dados pessoais	Database Security Assessment Tool (DBSAT) Database Vault
48	Notificação de vazamento de dados	Audit Vault and Database Firewall Security Monitoring and Analytics Cloud Service
49	Adoção de boas práticas	Todas acima mais: Data Masking and Subsetting (Ex: PCI DSS) Label Security

Referências

LGPD

• Lei Geral de Proteção de Dados
• Medida Provisória 869/18

GDPR

• GDPR – EU General Data Protection Regulation
• White Paper Oracle de GDPR

PCI DSS

• Norma PCI DSS (v3.0 – Português)
• Norma PCI DSS (v3.2.1 – Inglês)
• White Paper Oracle com PCI DSS
• Atestado de Compliance (AoC) PCI DSS para Oracle Cloud Infrastructure

CIS e STIG

• Center for Internet Security – CIS
• Security Technical Implementation Guides – STIG

Segurança Oracle

• Oracle Database Security (1)
• Oracle Database Security (2)
• Oracle Database Security Guide
• Security Best Practices Guide
• Oracle Database Security Assesment Tool – DBSAT

Segurança do ODA

• ODA Security Guide
• Implementing CIS with a Single Command on ODA
• STIG for Oracle Database Appliance

Segurança no MySQL e Oracle Linux

• MySQL Security Guide
• MySQL Enterprise Edition e GDPR
• MySQL and GDPR’s Privacy and Security Requirements
• MySAT (Assessment de MySQL)
• CIS para MySQL
• Oracle Linux e FIPS