A Lei Geral de Proteção de Dados vai mudar a forma como as empresas coletam, tratam, armazenam e utilizam os dados de seus clientes. Ela foi proposta justamente para proporcionar maior autonomia para os usuários e aumentar a responsabilidade das empresas com relação aos dados que armazenam. Uma legislação específica sobre o tema é essencial para que as empresas sejam responsabilizadas e evitar que informações pessoais sejam expostas — nos últimos anos, de acordo com o Avast, diversas empresas sofreram com vulnerabilidades que causaram o vazamento de dados de seus clientes e usuários. A LGPD é uma legislação para ajudar a prevenir fraudes e promover a segurança dos usuários. Uma pesquisa realizada pelo Serasa Experian mostra que boa parte das empresas ainda não está preparada: cerca de 85% diz ainda não estar pronta, apenas 24% acreditam que estarão adequadas até a data e 3,7% afirmam que precisam de mais de dois anos para se adequar.
Será que as instituições financeiras, dentre elas, as fintechs, já entenderam que estão entre as empresas que sofrerão maior impacto? Isso porque os dados dos clientes são fundamentais para a operação dos negócios. Quando a legislação entrar em vigor, os dados das pessoas devem ser utilizados para finalidades específicas e as empresas devem deixar claro para onde vão os dados coletados e como eles serão utilizados — o consentimento do usuário poderá ser revogado a qualquer momento, caso não exista clara finalidade ou outra legislação vigente que obrigue o armazenamento. Aqui, cabe ressaltar que alguns dados, no que diz respeito ao sistema financeiro, não podem ser apagados, isso porque existem outras legislações que se sobrepões a LGPD, como regulamentações específicas do setor promovidas pelo Banco Central do Brasil.
No mercado financeiro
Os impactos nas instituições que prestam serviços financeiros, como as fintechs, podem ser grandes, mesmo que empresas do mercado financeiro já possuam uma arquitetura de segurança maior por já tratar dados sensíveis — a LGPD irá alavancar ainda mais o nível de segurança. Considero que o setor estará melhor preparado para as mudanças, mas com certeza terá muito o que mudar. Recomendo que as empresas do setor trabalhem em duas frentes: jurídica e tecnológica, visando conscientizar os usuários e trazer clareza sobre as mudanças que podem ocorrer e quais são as responsabilidades das partes envolvidas.
Dentre as adequações técnicas, destaco que é importante ter uma ótica out of the box no que está relacionado à segurança da informação e cibersegurança. Um interessante é estar em compliance com padrões mundiais, como CIS (Center for Internet Security) e ISO27001. Ao se adequar aos padrões internacionais, além de facilitar o processo de internacionalização, a empresa estará também preparada para a LGPD, que regerá o Brasil. Estar em compliance com padrões mundiais como CIS eleva a segurança cibernética, tanto a nível de hardware quanto a nível de software.
Outro ponto muito importante é garantir que os serviços contratados pelas empresas também estejam de acordo com as leis de proteção de dados e assegurem a confidencialidade das informações armazenadas. Isso é de suma importância para a segurança da empresa e dos seus clientes. Ter respaldo jurídico nesse quesito é essencial, contratar consultorias e ter advogados especialistas em segurança digital à disposição pode ser uma boa saída.
É imprescindível a utilização de um cofre para armazenar as credenciais de acesso aos serviços externos e internos. Sem dúvida também é crucial ter logs a nível de rede e de aplicação de tudo que está acontecendo na empresa. Além de ter os logs, é preciso centralizá-los, analisá-los e organizá-los de maneira que seja viável identificar possíveis ameaças, isso pode ser facilmente monitorado com a implementação de um SIEM (Software de Gerenciamento de Informações e Eventos de Segurança). Assim, pode-se ter essas informações categorizadas, sendo possível prevenir um vazamento de dados por meio da implementação de um DLP (Data Loss Protection).
O uso de firewall é indispensável, uma dica é utilizar um firewall de aplicação web na frente de todos os serviços expostos para a internet, assim pode-se monitorar e prevenir ataques que possam prejudicar o sistema, como DDOS, top 10 da lista de vulnerabilidades reportada pela OWASP e regras customizadas como Bruteforce.
O roadmap para compliance com a LGPD é vasto, o que precisa estar claro para todos é a preocupação de estar evoluindo e implementando melhorias constantes em relação à segurança da informação e à cibersegurança. É importante ter a segurança como base de sustentação da empresa, ainda mais quando se trata do mercado financeiro.
* Por Rafael Negherbon, CTO da Transfeera.