Páginas

novembro 09, 2016

[Segurança] O Marco Civil e a Guarda de Logs - II

Dando continuidade ao meu post anterior sobre o impacto do Marco Civil nas práticas de guarda de logs das empresas, vale a pena destacar as novidades trazidas pelo Decreto nº 8.771, de 11 de Maio de 2016, que regulamentou as questões pendentes do Marco Civil da Internet (Lei nº 12.965, de 23 de Abril de 2014).

Para quem trabalha com Segurança da Informação, a guarda de logs foi um dos pontos centrais do Marco Civil, uma vez que ele, finalmente, trouxe algum tipo de regulamentação formal para esse assunto. Até então, as poucas práticas utilizadas pela indústria eram baseadas em o que cada empresa ou cada setor considerava útil. e havia muita polêmica sobre a necessidade de guarda de logs verus privacidade dos usuários e versus o custo que seria imposto as empresas para manter estes registros.

Assim, em 2014 o Marco Civil trouxe diversos artigos sobre a guarda de logs para provedores de acesso a Internet, provedores de conteúdo e de aplicações online. Já o Decreto nº 8.771 trouxe  algumas regras mais específicas, e somando as duas coisas, resumidamente ficamos com o seguinte cenário:
  • os provedores de acesso devem manter seus logs por apenas 1 ano;
    • não é permitda a terceirização da guarda dos logs;
    • não podem guardar logs dos acessos que seus clientes fazem a sites e aplicações; (uu seja, devem registrar os dados cadastrais de quem utilizou um determinado endereço IP em um determinado horário, mas não pode registrar que tipo de acesso este usuário fez)
  • os provedores de aplicação (sites, portais web) devem manter seus logs por 6 meses;
    • a não guarda dos registros de acesso a aplicações não implica em responsabilidade sobre danos por terceiros.
  • se o provedor não coletar dados cadastrais, tudo bem !!! quando questionado, ele deverá informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados!!! OMG!!!
  • a disponibilização dos registros de log deverá ser precedida de autorização judicial;
    • os provedores somente podem fornecer os logs de acesso a Justiça mediante consentimento formal do usuário final;
  • as regras de guarda de logs se aplicam a qualquer tipo de acesso em que pelo menos uma das pontas da conexão (usuário ou site) ou uma ação (algum tipo de acesso) ocorra em território nacional. Em caso de empresa sediada no exterior, também se aplica se o serviço for ofertado ao público brasileiro ou se tiver operação ou filial no Brasil.
  • Sobre os padrões de segurança para a guarda, armazenamento e tratamento de logs:
    • deve haver controle estrito de acesso aos dados, com definição de responsabilidades e de privilégios de acesso, com mecanismos de autenticação de acesso (como, por exemplo, sistemas de autenticação dupla) e log dos acessos a estes registros. Também prevê o uso de soluções para gestão dos registros que garantam a inviolabilidade dos dados e como criptografia;
    • Os provedores de conexão e aplicações devem reter a menor quantidade possível de logs (dados pessoais, comunicações privadas e registros de conexão e acesso) e deve excluí-los tão logo atingida a finalidade de seu uso (caraca, o que é isso!?) ou assim que encerrado o prazo determinado por obrigação legal (6 meses ou um ano).
Segue abaixo uma transcrição parcial do Decreto nº 8.771/2016, contendo apenas os artigos que são relacionados a guarda de logs. Os destaques em negrito foram feitos para os artigos que considerei mais relavantes.

CAPÍTULO III
DA PROTEÇÃO AOS REGISTROS, AOS DADOS PESSOAIS E ÀS COMUNICAÇÕES PRIVADAS

Seção I
Da requisição de dados cadastrais

Art. 11. As autoridades administrativas a que se refere o art. 10, § 3º da Lei nº 12.965, de 2014, indicarão o fundamento legal de competência expressa para o acesso e a motivação para o pedido de acesso aos dados cadastrais.
§ 1º O provedor que não coletar dados cadastrais deverá informar tal fato à autoridade solicitante, ficando desobrigado de fornecer tais dados.
§ 2º São considerados dados cadastrais:
I - a filiação;
II - o endereço; e
III - a qualificação pessoal, entendida como nome, prenome, estado civil e profissão do usuário.
Art. 12. A autoridade máxima de cada órgão da administração pública federal publicará anualmente em seu sítio na internet relatórios estatísticos de requisição de dados cadastrais, contendo:
I - o número de pedidos realizados;
II - a listagem dos provedores de conexão ou de acesso a aplicações aos quais os dados foram requeridos;
III - o número de pedidos deferidos e indeferidos pelos provedores de conexão e de acesso a aplicações; e
IV - o número de usuários afetados por tais solicitações.

Seção II
Padrões de segurança e sigilo dos registros, dados pessoais e comunicações privadas

Art. 13. Os provedores de conexão e de aplicações devem, na guarda, armazenamento e tratamento de dados pessoais e comunicações privadas, observar as seguintes diretrizes sobre padrões de segurança:
I - o estabelecimento de controle estrito sobre o acesso aos dados mediante a definição de responsabilidades das pessoas que terão possibilidade de acesso e de privilégios de acesso exclusivo para determinados usuários;
II - a previsão de mecanismos de autenticação de acesso aos registros, usando, por exemplo, sistemas de autenticação dupla para assegurar a individualização do responsável pelo tratamento dos registros;
III - a criação de inventário detalhado dos acessos aos registros de conexão e de acesso a aplicações, contendo o momento, a duração, a identidade do funcionário ou do responsável pelo acesso designado pela empresa e o arquivo acessado, inclusive para cumprimento do disposto no art. 11, § 3º, da Lei nº 12.965, de 2014; e
IV - o uso de soluções de gestão dos registros por meio de técnicas que garantam a inviolabilidade dos dados, como encriptação ou medidas de proteção equivalentes.

§ 1º Cabe ao CGIbr promover estudos e recomendar procedimentos, normas e padrões técnicos e operacionais para o disposto nesse artigo, de acordo com as especificidades e o porte dos provedores de conexão e de aplicação.
§ 2º Tendo em vista o disposto nos incisos VII a X do caput do art. 7º da Lei nº 12.965, de 2014, os provedores de conexão e aplicações devem reter a menor quantidade possível de dados pessoais, comunicações privadas e registros de conexão e acesso a aplicações, os quais deverão ser excluídos:
I - tão logo atingida a finalidade de seu uso; ou
II - se encerrado o prazo determinado por obrigação legal.

Art. 14. Para os fins do disposto neste Decreto, considera-se:
I - dado pessoal - dado relacionado à pessoa natural identificada ou identificável, inclusive números identificativos, dados locacionais ou identificadores eletrônicos, quando estes estiverem relacionados a uma pessoa; e
II - tratamento de dados pessoais - toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
Art. 15. Os dados de que trata o art. 11 da Lei nº 12.965, de 2014, deverão ser mantidos em formato interoperável e estruturado, para facilitar o acesso decorrente de decisão judicial ou determinação legal, respeitadas as diretrizes elencadas no art. 13 deste Decreto.
Art. 16. As informações sobre os padrões de segurança adotados pelos provedores de aplicação e provedores de conexão devem ser divulgadas de forma clara e acessível a qualquer interessado, preferencialmente por meio de seus sítios na internet, respeitado o direito de confidencialidade quanto aos segredos empresariais.
Assim, juntando o Marco Civil com o decreto da sua regulamentação, temos um conjunto de leis que define alguns padrões mandatórios para a guarda de logs por empresas. Em minha opinião, alguns artigos tem caráter muito mais político de proteção exarcebada da privacidade do que utilizade técnica, como os casos que excluem os provedores de obrigação de guarda de logs ou o período de tempo muito curto em que esta guarda é obrigatória. Mas a principal aberração mesmo é obrigar a exclusão desses registros.

Nenhum comentário:

Postar um comentário