CIPHER SERVICES >
> Lei Geral de Proteção de Dados (LGPD)
A Cipher oferece uma série de serviços de avaliação e consultoria sobre a Lei Geral de Proteção de Dados (LGPD/GDPR) que ajudam os clientes a ter um quadro abrangente do seu estado de conformidade.
As empresas públicas e privadas que lidam com dados pessoais no contexto de comercialização dos seus produtos ou serviços aos cidadãos da União Europeia e do Reino Unido precisam atender às exigências da GDPR (General Data Protection Regulation) assim como no Brasil em relação à LGPD (Lei Geral de Proteção de Dados).
Se a sua empresa opera fora da União Europeia, mas oferece produtos e serviços ou mesmo monitora o comportamento dos titulares dos dados da União Europeia, você também precisará cumprir a GDPR. No Brasil, a regulamentação vigente é bem semelhante, é a LGPD (Lei Geral de Proteção de Dados).
A LGPD/GDPR exige que as empresas conheçam quais ativos de dados elas têm, quais dados representam um risco para ela e, mais importante, os donos desses dados. O trabalho de compreensão dos ativos de dados de uma empresa é feito usando pessoas, processos e tecnologia. Essas três áreas importantes fornecem a consciência situacional com relação à prevenção, detecção e resposta às ameaças.
A LGPD/GDPR exige que as empresas protejam continuamente os titulares dos dados no Brasil e em cada país e sua privacidade combinando pessoas, processos e tecnologia. A chave para manter a conformidade é uma estratégia de governança abrangente aliada às tecnologias de segurança certas. O não cumprimento da LGPD/GDPR pode resultar em multas e publicidade negativa.
Os serviços LGPD/GDPR da Cipher ajudam você com:
Workshops de conscientização
A Cipher oferece workshops de conscientização criados para que você entenda mais sobre privacidade de dados e a LGPD/GDPR.
As empresas precisam disseminar entre os funcionários a importância da privacidade dos dados e os graves riscos associados a não conformidade. A aplicação consistente das políticas obrigatórias e dos devidos procedimentos, os ajudará a entender o impacto da LGPD/GDPR sobre uma empresa. Também é importante treinar os funcionários sobre como aplicar na prática e responder a solicitações de acesso a assuntos e procedimentos para a divulgação de informações. Eles precisam saber como lidar com qualquer pedido de um cliente solicitando informações pessoais ou seus dados.
Detecção de dados
A Cipher oferece um serviço de detecção de dados em toda a empresa, conduzido por um consultor que irá gerar um registro extenso e atualizado das atividades de processamento de dados da empresa.
As empresas afetadas pela LGPD/GDPR devem se concentrar primeiro no mapeamento e identificação dos dados. Muitas empresas não sabem quais dados possuem nem quais deles podem ser estar na mira dos invasores no caso de uma violação. Para estar em conformidade com a LGPD/GDPR, é fundamental que suas equipes de segurança e privacidade saibam responder essas perguntas. Um exercício de mapeamento de dados ajuda a esclarecer essas questões-chave de como os dados são usados e quem tem acesso a eles.
O diagrama à direita é um exemplo gráfico do Mapeamento do fluxo do processo de dados. Outros itens úteis no relatório consideram as seguintes questões:
- O conceito de não divulgação de informação confidencial está claro e foi assinado um acordo sobre esse comprometimento?
- Quando transmitidos, os dados estão criptografados?
- Os dados são transmitidos através das fronteiras dos países da Comunidade Europeia?
- Os dados criptografados estão em repouso?
- Quais processadores terceirizados estão envolvidos? Suas responsabilidades estão documentadas em contratos?
- Quais ativos são usados para coleta, processamento e armazenamento?
- O que é um catálogo de elementos de dados para cada caso de uso da empresa?
- Quem recebe as cópias dos dados ou os resultados processados dos dados?
Entrevistado | Objetivo da entrevista | Área de controle | |
Funcionário da área jurídica | Decide se precisamos de um DPO (Data Protection Officer) | Governança | |
Funcionário da área de Recursos Humanos | Treinamento de todos os funcionários | Conscientização | |
CISO ou principal responsável pela segurança | Obter documentação sobre proteção e privacidade dos dados e divulgar | Políticas e Procedimentos | |
DPO escolhido | Capacidade documentada para lidar com os SARs | Gestão dos assuntos relacionados aos dados | |
Jurídico | Entender as questões contratuais | Terceiros | |
TI/Segurança cibernética | Avaliar o processamento de dados, os riscos, DPIA | Gerenciamento de risco | |
TI/Segurança cibernética | Entender como os dados são protegidos | Segurança | |
TI/Segurança cibernética | Monitorar continuamente e documentar as resposta a incidentes | Gerenciamento de incidentes | |
Diretoria | Planejar ações contínuas, inventários de ativos, auditorias de acesso e controles | Conformidade |
Avaliação de maturidade da privacidade
A Cipher está empenhada em ajudar as empresas a se prepararem melhor para estarem em conformidade com a Lei Geral de Proteção de Dados e quaisquer atualizações futuras dessa lei.
Avaliaremos seus riscos de privacidade dos dados e seus controles de privacidade com relação à LGPD/GDPR. Um relatório detalhado que permitirá a você demonstrar a necessidade de qualquer investimento adicional em segurança e conformidade. A Cipher organiza os 99 artigos da LGPD/GDPR e os respectivos itens de controle em nove áreas de controle. A maior parte dos dados da análise são obtidos em entrevistas. À esquerda está um resumo do que é coberto e a participação de quem é desejada.
Relatório de avaliação do impacto da privacidade (PIA, Privacy Impact Assessment)
A Cipher conta com consultores experientes que ajudam a definir as devidas políticas, procedimentos e sistemas para viabilizar a privacidade desde o início do projeto.
A Cipher fará avaliações de impacto para ajudar sua empresa a integrar essa conscientização de privacidade em todos os ciclos de vida do projeto. No decorrer da detecção de todos os processos corporativos que lidam com informações pessoais confidenciais, a Cipher avaliará cada caso de uso com relação aos aspectos do desenho dos processos corporativos, como:
- Como os dados são coletados e por quem?
- Exatamente quais elementos de dados estão sendo coletados?
- Quais ativos são usados para armazenar e processar os dados?
- Os dados são criptografados em trânsito e em repouso?
- Se os dados forem coletados por e-mail, eles podem ficar em caixas de correio, em drives locais dos usuários ou em compartilhamentos de rede desprotegidos?
- Os dados são transmitidos através das fronteiras dos países da Comunidade Europeia?
- Existem processadores de dados de terceiros envolvidos? Seus requisitos de tratamento de dados da LGPD estão documentados em contratos com eles?