julho 13, 2018

[Segurança] Dicas de segurança para usuários finais

Resolvi compilar uma rápida lista de dicas de segurança para os usuários finais ao acessarem a Internet e realizarem transações online.
  • Cuidados Básicos
    • Nunca use Wi-Fi público para acessar o Internet Banking nem ao fazer compras online;
    • Sempre mantenha atualizados o sistema operacional e softwares do seu computador e do celular;
    • Garanta o download de aplicativos legítimos de fontes conhecidas e confiáveis em seus dispositivos;
    • Use antivírus e mantenha ele sempre atualizado;
    • Use senhas fortes, ou seja, difíceis de serem adivinhadas, e não use a mesma senha em sites diferentes;
    • Nunca compartilhe seus nomes de usuário, senhas ou outras informações pessoais com outras pessoas, e muito menos online;
    • Não deixe senhas, dados bancários e dados de cartão de crédito armazenados no celular;
    • Use um app ou ferramenta gerenciadora de senhas que permita armazenar e gerenciar com segurança todas as credenciais de um único local;
    • Troque todas as suas senhas em caso de suspeita de que elas vazaram ou você sobre alguma invasão;
  • Cuidados com mensagens e promoções falsas
    • Nunca abra e-mails, clique em links ou abra anexos de fontes desconhecidas;
    • Sempre desconfie de mensagens com descontos mirabolantes. Se quiser arriscar, vá direto no site da loja em vez de clicar no link que veio na mensagem da promoção;
  • Cuidados com transações online
    • Fique atento ao histórico de transações do seu cartão de crédito usando notificações por SMS. Se notar gastos suspeitos, ligue para o banco o mais rápido possível e bloqueie o cartão;
    • Cheque seus extratos bancários com frequência e imediatamente relate cobranças não autorizadas ou suspeitas ao seu banco;
    • Cuidado se a senha do cartão de crédito for solicitada no momento de uma compra online. Este pode ser um sinal de fraude, uma vez que normalmente basta informar o número do cartão, data de validade e código de segurança;
    • Informe ao banco todos os seus dados de contato e viagens programadas. Isso facilita que ele identifique o uso indevido por clonagem;
    • Mantenha o número da central de atendimento do seu banco e seu cartão na agenda do seu celular. Em caso de emergência, você precisa ter esse número em mãos!
    • O AndroidPay e o ApplePay são métodos de pagamento mais seguros, pois não revelam os dados do seu cartão para o POS;
    • Use um cartão de crédito separado apenas para compras pela Internet, com um limite de gastos pequeno.
Para saber mais:



julho 12, 2018

[Segurança] Perfil da senha do brasileiro

O pessoal da Axur publicou um infográfico bem legal com o Perfil da senha do brasileiro, que mostra as características das senhas mais usadas por usuários brasileiros.

É muito comum encontrarmos na Internet diversas listas de senhas mais usadas, que facilitam a vida dos atacantes ao realizar brute force ou password guessing.  Mas a grande maioria das listas que encontramos são baseadas em palavras em Inglês. E é aí que entra a parte legal da pesquisa da Axur!!!

Para fazer este estudo, eles pegaram dados de vários vazamentos recentes e separaram todas credenciais de e-mail com final “.br”, ficando com aproximadamente 5,8 milhões de credenciais brasileiras para análise. O infográfico que eles criaram dá um raio X nas senhas mais usadas e traz algumas informações interessantes, tais como:
  • 60% do total das credenciais mais usadas são compostas apenas números, enquanto as senhas que têm apenas nomes próprios representam 20% do total;
  • Apenas 9,5% das 100 senhas mais usadas são alfanuméricas;
  • A maioria das senhas tem entre 6 e 8 caracteres;
  • Encontraram também várias senhas atreladas a nomes de times de futebol, tais como flamengo, tricolor, palmeiras e grêmio. 


O estudo mostra que as senhas com complexidade super baixa são muito populares, infelizmente, o que acaba diminuindo o seu de segurança dos usuários. São senhas facilmente adivinháveis com uso de técnicas básicas de engenharia social ou com dicionários simples em ataques de força bruta (tentativa e erro).

E é muito fácil achar listas de palavras para testar senhas, basta uma busca rápida no google. Se você estiver com preguiça de usar o Google, este site tem várias listas de senhas ;)

julho 06, 2018

[Segurança] Ciber crime Brasileiro

Recentemente surgiu a notícia de que a polícia civil prendeu uma quadrilha de ciber criminosos que conseguiram roubar cerca de R$ 3 milhões apenas neste ano! Outra quadrilha, presa em Maio deste ano, faturou cerca de R$ 1 milhão e usava ferramentas desenvolvidas no Leste Europeu.


Aproveitando o embalo, que tal dar uma olhada nas principais características e algumas estatísticas do ciber crime brasileiro?

O relatório "CYBER THREAT SCAPE REPORT" da iDefense/Accenture possui um capítulo dedicado a dar um overview do ciber crime brasileiro, e ele aponta algumas características locais:
  • Os principais fóruns de hackers brasileiros são facilmente acessíveis e abertos ao público, aonde são usados frequentemente para disseminar conhecimento, ferramentas e produtos relacionados a ciber ataques e fraudes. Em alguns fóruns os administradores se esforçam para eliminar o comércio de dados criminosos;
    • Nota: É muito fácil encontrar diversos grupos públicos de carding no Facebook, dedicados ao ciber crime, aonde o pessoal troca abertamente informações sobre dados roubados, compra e venda de serviços criminosos, etc.
  • Há um amplo uso de plataformas de mensagens móveis, como o Telegram e o WhatsApp, para facilitar a comunicação entre os ciber criminosos no Brasil, com troca de informações sobre fraudes ligadas a informações pessoais e fraudes financeiras mais simples. Os ciber criminosos brasileiros estão se afastando dos fóruns e mercados online, optando pela comunicação e comércio através de plataformas de mensagens instantâneas e canais de bate-papo;
  • Há uma tendência de que os Malwares brasileiros sejam versões modificadas de malwares anunciados anteriormente em mercados internacionais. Embora os malwares nacionais tenham sido, historicamente, pouco sofisticados, eles estão amadurecendo à medida que o crime cibernético se torna mais próximo do crime organizado;
  • A comunidade brasileira de ciber criminosos tem um perfil comportamental único em comparação com as comunidades de língua inglesa e russa: nosss criminosos cibernéticos usam abertamente redes sociais como Facebook, Twitter e YouTube para anunciar suas ferramentas e produtos;
  • Diversos fatores fazem com que o ciber crime brasileiro concentre-se fortemente no mercado doméstico (local), tais como as barreiras de língua portuguesa, amplas oportunidades de fraude no mercado local, a ideologia de “Robin Hood” (acreditam que estão roubando do bancos, e não da população) e a alta impunidade e ineficiência da repressão legal.
A Kaspersky, nesse artigo de 2016, já tinha mostrado vários detalhes técnicos sobre os malwares bancários no Brasil. Entre as principais características que eles apontaram, eu destaquei os seguintes trechos:
  • Há algum tempo atrás, os malwares brasileiros tinham pouca sofisticação, como a falta de ofuscação do código, nenhuma técnica de anti-depuração, nenhuma criptografia, comunicação em texto puro, etc. O código costumava ser escrito em Delphi e Visual Básico 6, com muitas imagens embutidas, fazendo com que o arquivo do malware fosse enorme. Hoje em dia os ciber criminosos estão investindo tempo e dinheiro para desenvolver soluções melhores, ocultando o código sob muita ofuscação e técnicas de proteção de código, uso de outras linguagens como .NET e melhora na a qualidade do código;
  • Como a maioria dos bancos brasileiros usa a identificação de máquinas para evitar tentativas não autorizadas de transações, os ciber criminosos realizam suas operações mal-intencionadas a partir da máquina infectada, usando os mecanismos de automação nativos do Internet Explorer para manipular e injetar transações (como automação OLE e o Browser Helper Objects - BHOs). Outra técnica comum é acessar o computador da vítima remotamente para tomar controle do computador enquanto a vítima está logada no Internet Banking, e realizar transações maliciosas (ataque conhecido como "RAT", sigla de "Remote Access Tool");
  • Há evidências de que os criminosos brasileiros estão cooperando com as gangues do leste europeu envolvidas com os malwares ZeuS e SpyEye, entre outros. Essa colaboração melhora a qualidade e o nível do malware brasileiro, pois seus autores estão adicionando novas técnicas e melhorando a qualidade de seu código, e também usando a infraestrutura de ciber crime no exterior.
No relatório "Phishing Activity Trends Report, 4th Quarter 2018" do APWG publicado em 15 de maio deste ano, há uma seção que destaca os ataques de phishing no Brasil, baseado em dados da Axur. Embora estas estatísticas me pareçam meio "pobres" (por ex, eles apontaram "apenas" 526 ataques de phishing em dez/2017), mesmo assim eles indicam um constante crescimento dos ciber ataques no Brasil nos últimos três meses:
  • Um aumento de 379% nos casos de phishing detectados (430 em Q3 versus 1.631 em Q4/2017);
  • Aumento de 245% nos Web sites falsos (2.562 em Q3 e 6.293 em Q4);
  • Aumento de 247% em phishing baseados em redes sociais (1.909 em Q3 versus 4.724 em Q4);
  • No 4o trimestre de 2017, foram detectados 410 malwares e 320 rogue DNS severs;
  • Em média, cada malware é direcionado a 10 empress e cada servidor DNS falso (rogue DNS) é direcionado a 3 empresas;
  • Os ataques de phishing são direcionados principalmente a empresas do setor financeiro, como bancos e empresas de cartões de crédito.
Quando se trata de acompanhar as notícias sérias sobre o ciber crime brasileiro, eu gosto muito de acompanhar os pesquisadores da Kaspersky (o Assolini, o Thiago e o Dmitry), o Mercês da Trend Micro e o Altieres Rohr, da Linha Defensiva.

Para saber mais:

julho 03, 2018

[Cyber Cultura] Vídeo sobre os Hackerspaces Brasileiros

O pessoal da FAPESP fez uma reportagem e um vídeo muito bons sobre os hackerspaces brasileiros, os locais que reúnem presencialmente diversos aficionados por tecnologia. Eles visitaram o Garoa Hacker Clube e o Hackerspace do Instituto de Física da USP, ambos em São Paulo.

O vídeo, de aproximadamente 10 minutos, explica o que são os hackerspaces e apresenta o espaço do Garoa.


junho 29, 2018

[Cyber Cultura] Gestão baseada em tretas

O pessoal do Calango Hacker Clube, o hackerspace localizado em Brasília, tem um modelo de gestão inovador e interessante, que eles chamam de "gestão baseada em tretas".

Os princípios básicos são os seguintes:
  1. Quem dá a ideia é quem faz: Quando alguém propõe uma demanda ou uma proposta ("uma Treta"), ele é eternamente responsável por ela. ou seja, "Cada um só pode arranjar demanda para si mesmo"; 
  2. Treta é a resolução do Universo: Toda treta tem um fundo didático e um processo de aprendizagem multitarefa e interdisciplinar;
  3. Não sei como fazer, mas estou aqui: Todo membro é livre para propor as mais absurdas Tretas, mesmo não tendo o conhecimento necessário para resolução da mesma, pois o conhecimento coletivo do grupo pode ajudar a resolver essa Treta;
  4. Pega que a Treta é sua: Durante o desenvolvimento de uma Treta, ela pode ser encaminhada para diferentes pessoas de acordo com o seu nível de conhecimento sobre o assunto;
  5. Me dá que a Treta é minha: Durante o processo de resolução das Tretas, qualquer membro pode pedir para si a resolução de uma Treta não resolvida e concluí-la, ou adiantar uma parte que esteja pendente;
  6. Xeque Mate, essa Treta não cabe mais: Assim como no Xadrez, os problemas e as possibilidades podem chegar a um fim, e uma Treta pode ser finalizada a qualquer momento, seja por conclusão, incapacidade ou desinteresse.
Eles até criaram um vídeo bem divertido sobre isso.

[Turismo] Lançamentos de Foguete nos EUA

Já fazia um certo tempo que eu estava com vontade de blogar sobre opções de turismo geek/nerd, e para inaugurar este tema, que tal aproveitar aquela viagem para os EUA para assistir o lançamento de um foguete?


O Kennedy Space Center, localizado na Flórida, possui uma página com o calendário de lançamentos e eventos, que incluem a oportunidade de conversar com astronautas: https://www.kennedyspacecenter.com/launches-and-events

Quando ocorre um lançamento de foguetes, os tickets são disponibilizados online, e incluem uma opção "VIP". Mas não se esqueça que lançamentos de foguetes podem ser adiados sem aviso prévio, devido a condições meterológicas. Ou seja, se você der azar, pode não conseguir assistir o lançamento. Eles mantém também uma página com dicas para quem for assistir um lançamento.

PS: Com ou sem lançamento, o Kennedy Space Center é sensacional e vale a visita!

[Cyber Cultura] Barbie Engenheira Robótica

Depois de lançar a "Barbie Desenvolvedora" e da Barbie Astronauta há poucos anos atrás, agora foi a vez da Mattel criar a "Barbie Engenheira Robótica", como parte da coleção de bonecas com temas associados a diversas profissões.


Essa nova boneca vem com um acesso a plataforma Tynker, uma ferramenta de programação de jogos infantis que oferece algumas lições para ensinar lógica, resolução de problemas e programação por montagem de blocos.

Esse lançamento vem em bom momento, em que há um debate constante sobre a necessidade de respeitar e incluir as mulheres nas carreiras tecnológicas. Eu acho muito legal ver essa iniciativa de associar as bonecas as profissões relacionadas a tecnologia, para mostrar para a sociedade e também para as crianças de que as mulheres também podem atuar nessas profissões. Espero que estas bonecas ajudem a encorajar as meninas a seguir estas carreiras, aprender programação, robótica, matemática, física, etc.

junho 18, 2018

[Segurança] DEF CON Conference Transparency Report

O pessoal da Defcon teve uma iniciativa bem interessante e lançou o "DEF CON Conference Transparency Report", uma página com estatísticas sobre alguns incidentes ocorridos no evento.


O relatório traz alguns números interessantes sobre a edição de 2017:
  • Número estimado de participantes: 25.000
  • 7 casos de assédio, sendo que em 2 deles, as pessoas foram banidas do evento para toda a vida devido a assediarem mulheres;
  • 3 casos de roubo;
  • 3 casos de vandalismo com a DEF CON ou o hotel;
  • 9 Incidentes médicos, dos quais 4 casos foram encaminhado a hospitais.
A propósito, recentemente comemoramos mais um aniversário do evento, pois a primeira Defcon aconteceu no dia 09 de junho de 1993.

junho 11, 2018

[Cyber Cultura] A Internet em 1 minuto

A Lori Lewis e o Chadd Callahan criaram um infográfico que mostra a quantidade monstruosa de informações que são transmitidas na Internet a cada 1 minuto. Os dados de 2018 são os seguintes:



Comparando os dados de 2017 e 2018, podemos ver que o Netflix quase quadruplicou de tamanho, enquanto a maioria das demais estatísticas, incluindo o uso do Facebook, Twitter e troca de mensagens por e-mail cresceram cerca de 10%. Este aumento na quantidade de e-mails me parece meio surreal, pois na prática eu vejo muito das interações entre pessoas e no trabalho movendo do e-mail para os aplicativos de mensagem instantânea (que cresceram muito em uso no último ano), embora esse movimento seja muito mais forte no Brasil do que nos EUA, por exemplo.

Aproveite e compare com os dados em 2012 e em 2016!

junho 07, 2018

[Segurança] Boas práticas no seu Programa de Conscientização

O pessoal do Sans Institute divulgou seu relatório anual sobre boas práticas em programas de coscientização para empresas, o "2018 SANS Security Awareness Report".

O relatório traz dados de cerca de 1700 profissionais sobre seus programas de conscientização de segurança de todo o mundo, para identificar e avaliar como essas organizações estão gerenciando seus riscos humanos.

O relatório define 5 estágios de maturidade para o programa de conscientização: não existente, focado em atender necessidades de compliance, programas que promovem uma mudança no comportamento, aqueles que promovem uma mudança cultural na empresa, e por fim, os programas maduros o suficiente a ponto de possuir métricas para medir a sua eficiência.



Com 38 páginas, ele traz alguns dados interessantes, tais como:
  • 53% dos entrevistados relatou que seus programas se encaixam na categoria  de maturidade intermediária, “Promoting Awareness & Behavior Change”, e seu programa de conscientização se concentra nos problemas de maior risco de sua organização;
  • 85% dos profissionais de conscientização relatam que seu trabalho tem um impacto positivo na segurança da organização;
  • Mais de 80% dos entrevistados relataram gastar menos da metade do tempo dedicado a programas de conscientização e a maioria das organizações classifica a conscientização de segurança como um trabalho de dedicação parcial;
  • Os programas de maior maturidade dedicam um tempo equivalente a se tivessem 3,67 empregados dedicados a ele.
O mais legal de tudo isso, na verdade, é que para cada uma das estatísticas apresentadas pelo relatório, também são indicadas algumas ações recomendadas para melhoria.

Tem um pequeno vídeo sobre o relatório:


O relatório pode ser baixado gratuitamente no site do SANS Institute.

junho 06, 2018

[Segurança] A evolução do protocolo 3D-Secure

Fala-se muito do GPDR, mas o 3D Secure 2.0 (3DS 2.0) é uma outra regulamentação de segurança que pode causar impacto positivo no mercado. O protocolo 3DS foi criado com o propósito de ajudar emissores de cartão de crédito e sites de e-commerce a reduzir o volume de fraude online, que assola a indústria constantemente. Ele é usado pela Visa (o serviço chamado de "Verified by Visa"), pela Mastercard (que batizou isso de "SecureCode") e pela American Express ("SafeKey").

O Three-Domain Secure (3DS) é um protocolo de mensagens desenvolvido pela EMVCo para permitir que os consumidores (portadores de cartões de crédito) se autentiquem com o emissor do cartão ao realizar as suas compras online, em sites de e-commerce. É um protocolo de comunicação e autenticação entre o portador do cartão de crédito e a entidade financeira que emitiu.

Essa modalidade de compras com cartões é conhecida no mercado como "cartão não presente" (CNP), pois o lojista não tem acesso físico ao cartão, e por isso, não consegue validar o cartão e a identidade do portador de formas tradicionais (por exemplo, pedindo o documento do portador). Nesse tipo de transações, é comum que os bancos forcem que toda a responsabilidade pela identificação de fraude fique com o lojista, e portanto, a loja é quem fica com o prejuízo se uma transação for fraudulenta e for contestada pelo verdadeiro dono do cartão.

O 3DS, portanto, estabelece uma camada de segurança que ajuda a validar a identidade do portador do cartão, para impedir transações fraudulentas (não autorizadas) de CNP e, assim, proteger o comerciante contra fraudes.

A primeira versão do 3DS não foi muito adotada pelo mercado em geral pois, entre outros problemas, ela tinha má usabilidade, o que afastava o cliente no momento do encerramento de sua compra. Para fazer o pagamento, o cliente deveria ter um pré-cadastro no site da emissora do cartão e isso atrapalhava a vida do cliente final.

No final de Outubro de 2016 foi lançado o 3DS 2.0, uma versão melhorada que inclui recursos de autenticação baseada em risco, usando características da transação, além de suporte a transações em ambiente mobile e métodos de autenticação out-of-band.

O vídeo abaixo, da EMVCo, explica rapidamente como o  3DS 2.0 funciona:



Para saber mais:

junho 04, 2018

[Segurança] A GDPR em memes

Mesmo tendo sido lançada há cerda de dois anos atrás, o mercado esperou até os últimos dias para se adequar ao GDPR.


Nesse meio tempo, diversos fornecedores de produtos e serviços de segurança bombardeavam as empresas com muito marketing, FUD...


... e ofertas de produtos e serviços.


O resultado? O dia 25/Maio chegou...



E o que vimos nesses últimos dias foi uma correria das empresas para adequar suas políticas de privacidade...




... lotando nossas caixas postais com tais avisos...



... e inclusive algumas empresas que resolveram a certificação com o GDPR de uma forma mais fácil: barrando o acesso de usuários da União Européia!



Notas:

junho 01, 2018

[Humor] Ironic (cyber version)

O vídeo é de 2015, mas são 2 minutos que valem a pena para se divertir no meio de um feriado prolongado ;)

No programa The Late Late Show with James Corden, a Alanis Morissette fez uma versão "atualizada" da sua música Ironic, lançada originalmente em 1995. Vale algumas risadas com os probleminhas da vida moderna...


maio 30, 2018

[Segurança] A BSidesSP 0xF em números

A décima-quinta Security BSides São Paulo (BSidesSP), que aconteceu no final de semana de 19 e 20 de maio, foi épica e superou nossas expectativas: recebemos 1.245 participantes!


Vejam mais alguns números que representam essa edição:
  • 29 horas seguidas de evento
  • 1.245 pessoas presentes


  • 2.051 inscritos
    • 28 anos foi a idade média dos participantes
    • 35 speakers (só 1 speaker faltou, e foi substituído por uma excelente palestra do Nelson Brito)



    • 250 pessoas vieram em 9 caravanas
      • 8 horas foi o tempo de viagem do pessoal da caravana de Uberaba
    • 2 super-heróis, 3 dinossauros, 1 flamingo e 1 unicórnio estavam presentes



  • 33 voluntários ajudaram a realizar o evento
    • 13.915 foi a média de passos dados pelos organizadorese voluntários no domingo



  • 34 participantes do CTF divididos em 9 Times, que comeram 24 pizzas e beberam 120 latinhas de Red Bull;
  • 17 participantes no CTF da Village de Forense!


  • 11 participantes na competição de robótica
    • 18 robôs construídos na arena 4 kidz
    • 4 robôs funcionando


  • 1 Banda e 5 DJs:
  • 2.460 latinhas de cerveja foram consumidas
  • 450 kg de espetinhos foram servidos (quase o peso de 2 bois)
  • 700 cachorros quentes foram servidos em apenas 1h30


  • 8 caminhões e 2 motos de bombeiros foram mobilizados para descobrir que o incêndio na PUC era um churrasco!


  • 0 acidentes com nenhuma hospitalização necessária
  • 7 Empresas Patrocinadoras
  • 14 Apoiadores
  • 35 Doadores Jedi, que juntos contribuiram com um valor quase equivalente ao de uma cota de patrocínio!
Além disso, o evento aconteceu em um final de semana particularmente muvucado:
  • Choveu um pé d'água no sábado de manhã, e justamente neste que foi o mês de Maio mais seco nos últimos 18 anos!
  • Foi o final de semana da Virada Cultural, e várias ruas perto da PUC foram bloqueadas (inclusive a Consolação!);
  • Tivemos um casamento real, no sábado! ;)


A BSidesSP não aconteceria sem os patrocinadores, pois sem eles jamais teríamos feito um evento totalmente gratuito para a galera: a BASE4 Security, Conviso, El Pescador e Tempest, IBLISS, Logical IT e a Trend Micro. Várias empresas também apoiaram o evento em várias ações específicas: a Cipher, que ofereceu o café gourmet, a Daryus Educação, Grifa Filmes, a Imaginario Nerd com sua lojinha super legal, a Novatec, Pride Security, Roadsec, Robocore, e a RSA, que patrocinou o prêmio do CTF: 4 Pineapple Nano. Outras empresas também apoiaram as Villages.


E, principalmente, obrigado a todas e todos que vieram e prestigiaram o evento!


OBS: Post atualizado em 01/06 para reorganizar algumas fotos e adicionar outras. Outra pequena atualização em 07/06.

maio 29, 2018

[Segurança] Coletânea de artigos sobre crimes cibernéticos

Recentemente, o Ministério Público Federeal (MPF) disponibilizou online sua 3ª Coletânea de Artigos sobre Crimes Cibernéticos, composta por diversos artigos que misturam assuntos técnicos e com outros que tratam de questões legais e temas práticos no processo de investigação de ciber crimes.


São 13 artigos distribuídos em 278 páginas, que falam sobre vários aspectos da investigação e combate a crimes civernéticos. Destes artigos, 5 deles tratam de crimes relacionados a pornografia infantil, mas também há artigos sobre diversos assuntos interessantes, como investigação e obtenção de provas, um artigo sobre criptomoedas, outro sobre ransomwares, e um sobre educação digital nas escolas.

maio 28, 2018

[Segurança] Infográficos sobre a GPDR

O escritório Opice Blum publicou 5 Infográficos resumindo as principais informações sobre o GPDR, para ajudar a entender a legislação e seus impactos.

Eu gostei principalmente do infográficos sobre os "aspectos gerais", que lista os ptincipais artigos dessa norma, e também ficaram legais os infográficos sobre  "direitos dos titulares de dados""incidentes de segurança e notificações".




maio 25, 2018

[Segurança] Quem tem medo da GPDR?

É hoje!!!


De repente, não se falava em outra coisa no mercado de segurança: "como as empresas devem se preparar para a GPDR". A sigla GDPR está em praticamente todas as conversas, palestras e eventos, além de ser item obrigatório no discurso de marketing de qualquer fornecedor!

E nesses últimos dias, tornou-se comum receber e-mail de vários serviços online que estão atualizando os seus termos de privacidade.

O General Data Protection Regulation (GDPR) é uma reguulamentação européia, criada pelo Parlamento Europeu, que trata sobre a coleta, manipulação e tratamento de dados pessoais dos cidadãos da Comunidade Européia. Essa norma foi promulgada em Abril de 2016, com um prazo de dois anos para as empresas estarem em acordo com os requisitos estabelecidos pelo GDPR. E o prazo acaba agora, 25 de maio deste ano.

Timeline:
  • Janeiro/2012: Início da iniciativa de Reforma de Proteção de Dados ("EU Data Protection Reform");
  • 15/dezembro/2015: divulgado o acordo com relação a iniciativa de reforma nas legidslações européias de proteção da dados;
  • 27/Abril/2016: Promulgada a regulamentação do GPDR (2016/679)
  • 25/Maio/2018: O GPDR entra em vigor.
E todo esse bafafá no mercado se deve por três motivos, na minha opinião: a proximidade do prazo para as empresas aderirem a norma (sob pena de uma multa severa), pela abrangência global da norma (sim, isso mesmo, ela é uma norma européia que pode valer para empresas em todo o mundo) e pelas altas multas que ela impõe.

Embora a GDPR seja uma norma Européia, que trata sobre dados de cidadãos europeus, ela se aplica a qualquer empresa que colete e armazene esses dados, independente de sua localização.

O GPDR diz respeito ao tratamento de informações pessoais de cidadãos da União Europeia. Ela foi criada com objetivo de exigir que os processos de negócios que lidam com dados pessoais devem ter a privacidade por design, ou seja, o tratamento dos dados pessoais deve respeitar a privacidade dos mesmos. Por exemplo os dados devem ser armazenados usando pseudonimização ou anonimato completo e usar as configurações de privacidade mais altas possíveis por padrão, para que não estejam disponíveis publicamente,. Nenhum dado pessoal pode ser processado a menos que haja o consentimento explícito do proprietário dos dados.

O GPDR trata assuntos como:
  • Responsabilidade das empresas
  • Proteção de dados por design e por default (Artigo 25)
  • Pseudonimização: os dados devem ser armazenados de forma a não permitir a identificação do indivíduo, usando técnicas como, por exemplo, criptografia e tokenização;
  • Direito de acesso (Artigo 15): os cidadãos tem o direito de acessar seus dados pessoais e exigir informações sobre como esses dados pessoais são processados;
  • Direito de remoção (Artigo 17), que no GPDR representa uma variação mais ampla ao "direito ao esquecimento". Os usuários tem o direito de exigir a remoção de seus dados
  • Registros das atividades de processamento 
  • Data protection officer (DPO), o "Oficial de proteção de dados", responsável dentro da empresa a tratar as questões relacionadas a gestão dos dados pessoais. Será responsável pela implementação de medidas técnicas e organizacionais para assegurar e comprovar que os dados pessoais mantidos pela empresa estão em conformidade com os requisitos da GDPR;
  • Violações de dados (Artigo 33): As empresas tem obrigação de notificar qualquer violação ou vazamento de dados em até 72 horas;
  • Sanções: As punições podem chegar a €20 milhões, ou 4% do faturamento da empresa (o que for maior).
O texto da norma é enorme! Sua versão em PDF tem 261 páginas, ou seja: a leitura é longa, bem massante, chata e difícil. Talvez a parte mais importante começa na página 116, no Capítulo II, que define os Princípios.


O pessoal do site TechPrivacy criou um infográfico (whiteboard) que resume em uma única página as principais informações sobre o GPDR:


Uma outra iniciativa interessante na Europa é a "Second Payment Services Directive (PSD2)", que exige que bancos europeus abram os mercados de pagamentos para empresas oferencendo serviços baseado no acesso a informações de pagamento dos clientes. Ou seja, os bancos devem deixar seus dados sobre clientes acessíveis para terceiros - um paraíso para as Fintechs (startups tecnológicas do setor financeiro).

Para saber mais:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.