Governance, Risk
and Compliance
  (GRC)

CIPHER SERVICES > 

> Lei Geral de Proteção de Dados (LGPD)

A Cipher oferece uma série de serviços de avaliação e consultoria sobre a Lei Geral de Proteção de Dados (LGPD/GDPR) que ajudam os clientes a ter um quadro abrangente do seu estado de conformidade.

As empresas públicas e privadas que lidam com dados pessoais no contexto de comercialização dos seus produtos ou serviços aos cidadãos da União Europeia e do Reino Unido precisam atender às exigências da GDPR (General Data Protection Regulation) assim como no Brasil em relação à LGPD (Lei Geral de Proteção de Dados).

Se a sua empresa opera fora da União Europeia, mas oferece produtos e serviços ou mesmo monitora o comportamento dos titulares dos dados da União Europeia, você também precisará cumprir a GDPR. No Brasil, a regulamentação vigente é bem semelhante, é a LGPD (Lei Geral de Proteção de Dados).

A LGPD/GDPR exige que as empresas conheçam quais ativos de dados elas têm, quais dados representam um risco para ela e, mais importante, os donos desses dados. O trabalho de compreensão dos ativos de dados de uma empresa é feito usando pessoas, processos e tecnologia. Essas três áreas importantes fornecem a consciência situacional com relação à prevenção, detecção e resposta às ameaças.

A LGPD/GDPR exige que as empresas protejam continuamente os titulares dos dados no Brasil e em cada país e sua privacidade combinando pessoas, processos e tecnologia. A chave para manter a conformidade é uma estratégia de governança abrangente aliada às tecnologias de segurança certas. O não cumprimento da LGPD/GDPR pode resultar em multas e publicidade negativa.

Os serviços LGPD/GDPR da Cipher ajudam você com:

Workshops de conscientização

A Cipher oferece workshops de conscientização criados para que você entenda mais sobre privacidade de dados e a LGPD/GDPR.

As empresas precisam disseminar entre os funcionários a importância da privacidade dos dados e os graves riscos associados a não conformidade. A aplicação consistente das políticas obrigatórias e dos devidos procedimentos, os ajudará a entender o impacto da LGPD/GDPR sobre uma empresa. Também é importante treinar os funcionários sobre como aplicar na prática e responder a solicitações de acesso a assuntos e procedimentos para a divulgação de informações. Eles precisam saber como lidar com qualquer pedido de um cliente solicitando informações pessoais ou seus dados.

Detecção de dados

A Cipher oferece um serviço de detecção de dados em toda a empresa, conduzido por um consultor que irá gerar um registro extenso e atualizado das atividades de processamento de dados da empresa.

As empresas afetadas pela LGPD/GDPR devem se concentrar primeiro no mapeamento e identificação dos dados. Muitas empresas não sabem quais dados possuem nem quais deles podem ser estar na mira dos invasores no caso de uma violação. Para estar em conformidade com a LGPD/GDPR, é fundamental que suas equipes de segurança e privacidade saibam responder essas perguntas. Um exercício de mapeamento de dados ajuda a esclarecer essas questões-chave de como os dados são usados e quem tem acesso a eles.
O diagrama à direita é um exemplo gráfico do Mapeamento do fluxo do processo de dados. Outros itens úteis no relatório consideram as seguintes questões:

 

  • O conceito de não divulgação de informação confidencial está claro e foi assinado um acordo sobre esse comprometimento?
  • Quando transmitidos, os dados estão criptografados?
  • Os dados são transmitidos através das fronteiras dos países da Comunidade Europeia?
  • Os dados criptografados estão em repouso?
  • Quais processadores terceirizados estão envolvidos? Suas responsabilidades estão documentadas em contratos?
  • Quais ativos são usados para coleta, processamento e armazenamento?
  • O que é um catálogo de elementos de dados para cada caso de uso da empresa?
  • Quem recebe as cópias dos dados ou os resultados processados dos dados?
Entrevistado Objetivo da entrevista Área de controle
Funcionário da área jurídica Decide se precisamos de um DPO (Data Protection Officer) Governança
Funcionário da área de Recursos Humanos Treinamento de todos os funcionários Conscientização
CISO ou principal responsável pela segurança Obter documentação sobre proteção e privacidade dos dados e divulgar Políticas e Procedimentos
DPO escolhido Capacidade documentada para lidar com os SARs Gestão dos assuntos relacionados aos dados
Jurídico Entender as questões contratuais Terceiros
TI/Segurança cibernética Avaliar o processamento de dados, os riscos, DPIA Gerenciamento de risco
TI/Segurança cibernética Entender como os dados são protegidos Segurança
TI/Segurança cibernética Monitorar continuamente e documentar as resposta a incidentes Gerenciamento de incidentes
Diretoria Planejar ações contínuas, inventários de ativos, auditorias de acesso e controles Conformidade

Avaliação de maturidade da privacidade

A Cipher está empenhada em ajudar as empresas a se prepararem melhor para estarem em conformidade com a Lei Geral de Proteção de Dados e quaisquer atualizações futuras dessa lei.

Avaliaremos seus riscos de privacidade dos dados e seus controles de privacidade com relação à LGPD/GDPR. Um relatório detalhado que permitirá a você demonstrar a necessidade de qualquer investimento adicional em segurança e conformidade. A Cipher organiza os 99 artigos da LGPD/GDPR e os respectivos itens de controle em nove áreas de controle. A maior parte dos dados da análise são obtidos em entrevistas. À esquerda está um resumo do que é coberto e a participação de quem é desejada.

Relatório de avaliação do impacto da privacidade (PIA, Privacy Impact Assessment)

A Cipher conta com consultores experientes que ajudam a definir as devidas políticas, procedimentos e sistemas para viabilizar a privacidade desde o início do projeto.

A Cipher fará avaliações de impacto para ajudar sua empresa a integrar essa conscientização de privacidade em todos os ciclos de vida do projeto. No decorrer da detecção de todos os processos corporativos que lidam com informações pessoais confidenciais, a Cipher avaliará cada caso de uso com relação aos aspectos do desenho dos processos corporativos, como:
  • Como os dados são coletados e por quem?
  • Exatamente quais elementos de dados estão sendo coletados?
  • Quais ativos são usados para armazenar e processar os dados?
  • Os dados são criptografados em trânsito e em repouso?
  • Se os dados forem coletados por e-mail, eles podem ficar em caixas de correio, em drives locais dos usuários ou em compartilhamentos de rede desprotegidos?
  • Os dados são transmitidos através das fronteiras dos países da Comunidade Europeia?
  • Existem processadores de dados de terceiros envolvidos? Seus requisitos de tratamento de dados da LGPD estão documentados em contratos com eles?

Serviços gerenciados para suporte a conformidade com a LGPD

A Cipher oferece serviços ininterruptos de monitoramento, detecção e alerta de violações por meio dos seus reconhecidos SOCs (Security Operations Centers).

A Cipher pode ajudá-lo com estratégias de governança personalizadas e tecnologias de segurança de ponta para acelerar sua preparação para a LGPD/GDPR. A LGPD/GDPR exige uma abordagem detalhada com relação ao monitoramento, detecção e alertas para atender à necessidade contínua de conformidade e a devida detecção de brechas. Daí a necessidade de um processo formal para monitorar e reportar incidentes de segurança relacionados a dados pessoais.

Outras legislações relacionadas à privacidade

A Cipher oferece recomendações detalhadas para cumprir os requisitos regulatórios de privacidade em todo o mundo.

Embora a GDPR seja a regulamentação relacionada à privacidade com maior âmbito no mundo, há outros países que têm suas próprias regulamentações. É o caso da Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA) que estabelece algumas diretrizes para as empresas. Para os países da União Europeia e o Reino Unido, a LGPD (Lei Geral de Proteção de Dados) é uma regulamentação bem semelhante à GDPR, que consiste numa legislação específica para o Brasil. A Cipher oferece serviços de consultoria e orientação sobre as diferentes regulamentações de privacidade.