O GDPR tem público diverso, pois, são muitos os países europeus. Este artigo focará na LGPD, pois, é direcionada aos dados pessoais de brasileiros. Os conceitos técnicos apresentados atendem aos requisitos de ambas e, na sua maioria, têm origem no PCI DSS (https://pt.pcisecuritystandards.org/index.php), pois, esse trata a privacidade dos dados.
O principal requisito do PCI para a adequação das empresas aos controles da LGPD é o Requisito 6, referente a desenvolvimento seguro. O processo em si e os testes que são feitos antes de uma aplicação ser aprovada para processar os dados do portador do cartão de pagamento são baseados no OWASP Top 10 (https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project). Esse padrão lista as vulnerabilidades mais comuns em aplicações web, o que inclui os Apps para dispositivos móveis.
Além de testar o código e a infraestrutura que o suporta, as boas práticas de Desenvolvimento Seguro incluem a vinculação com a Gestão de Mudanças e com os ambientes de desenvolvimento e de homologação, que são oriundos da biblioteca ITIL V3. Mais do que isso, um Ciclo de Vida do Desenvolvimento de Software (SDLC, em inglês) inclui práticas de Segurança por Design. Esse conjunto inclui diversos controles técnicos de SI, como o Acesso Lógico.
CAPACITAÇÃO – Segurança, Desenvolvimento e Privacidade
Não adianta dar treinamento técnico operacional aos desenvolvedores sem que eles tenham uma base teórica que os coloque no caminho da Segurança da Informação. Nesta lacuna aparece a certificação ISFSdo EXIN (Segurança da Informação ISO27001), que apresenta os conceitos necessários ao Desenvolvimento Seguro por Design.
O ISFS ensina os conceitos de Gestão de Acesso, Prevenção a Incidentes, Segurança na Comunicação, monitoração do ambiente, entre outros. Com esse curso, o desenvolvedor consegue visualizar, por exemplo, a vinculação do Acesso Lógico com o IDM da empresa, a necessidade de gerar logs transacionais nas aplicações, quais protocolos usar e quais evitar para criptografar os dados recebidos no app/website.
Além do conhecimento básico para a SI, o ISFS prepara o aluno para cursos direcionados, como o Secure Programming Foundation (SPF) que visa orientar o desenvolvimento seguro de aplicações desde a definição de requisitos de segurança, concepção (design), codificação e testes.
Após entender os conceitos básicos de SI e as técnicas para pensar como um criminoso virtual, o programador poderá atuar com o Gerente de Projetos e o cliente interno de forma a criar programas que só executam o necessário (need to work), só armazenam o que a lei permite (conformidade com a LGPD) em bancos de dados sanitizados, que controlam o acesso administrativo e do usuário final através de duplo fator de autenticação (need to know).
O conceito de privacidade por projeto e por padrão previstos no GDPR e de certa forma cobertos pela LGPD fecham o circuito. Por fim, a infraestrutura será preparada para proteger os dados em camadas, garantindo que a última camada, os softwares, protejam as informações das pessoas físicas.
Comentários