As empresas tem uma grande e notória preocupação que  com os investimentos a realizarem para o compliance da LGPD​,  que não sejam suficientes para garantia a correta interpretação, adequação  a ela.

Nosso conceito para uma abordagem completa se estende pelo tema de que nada pode ser perfeito, e os processos / sistemas / serviços mais avançados, podem ter falha e acontecer algum vazamento.

Ao encontro dessa possibilidade, desenvolvemos serviços para situações de PostMortem, ou situação de Vazamento, fornecendo ferramentas, soluções que auxiliam a figura do  Data Protection Officer (DPO) no cliente, para em caso de incidentes desse tipo, ele possa apresentar para ANPD,  todas as métricas, relatórios e tarefas desenvolvidas para contenção e mitigação de qualquer tipo de incidentes.

Nosso processo para desenvolver uma Solução de Prevenção de Vazamentos e Incidentes

(SPVI), se baseia em  pilares fundamentais que atendem ao padrão NIST, assim como artigos da LGPD:

​​

  • Identificação. Identificar os problemas antes que aconteçam,  efetuando um analises para detecção de anomalias ou alterações de comportamento na rede,  sistemas  e usuários.

  • Detecção. Para identificar a localização da origem de uma anomalia ou alteração.

  • Proteção.  Blindar a empresa e o negócio de forma eficiente, pratica e com liability.  

  • Resposta. Definir plano de ação, a ser ativado, em caso de ataque ou vazamento, depois de por e-mail, sms.

  • Recuperação. Definir plano de ação  até recuperação e controle do ambiente

As diferentes etapas que devem ser consideradas, envolvem  desde  proteção a estações de trabalho, incluindo o monitoramento de snapshots de fotografias ou vídeos,

​​

  • Análise de Vulnerabilidades.

  • Análise do negócio , assim como impactos.

  • Análise e classificação dos tipos de  origem de dados.

  • Análise de Riscos na TI.

  • Análise de Riscos na Vigilância Patrimonial.

  • Detecção de Riscos na Infra-Estrutura de dados.

  • Hardening de ativos.​

Arquitetura de solução, fornece relatórios de forma, diária, semanal, mensal, ou online, de forma que  o DPO e os administradores da empresa estejam sempre informados em tempo, sobre o que acontece com os dados próprios ou de terceiros nas estruturas internas.

​​

Para ter informações sobre esse tema na LEI, pode se referenciar abaixo:​

​​

Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.

§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:

I - implementar programa de governança em privacidade que, no mínimo:

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

São Paulo, SP 01303-001

Copyright © 2020 PGIDB. Todos os direitos reservados. Por SJR Comunicação

  • Facebook PGIDB