Uma Medida Provisória editada no final de abril mudou a data para entrar em vigor a Lei Geral de Proteção de Dados (LGPD) que visa proteger os dados de todos os brasileiros. Agora as empresas têm até maio de 2021 para se ajustarem. O regulamento vai ajudar usuários a entender porque precisam fornecer certas informações pessoais, como serão usadas e quem terá acesso, dando a cada um o direito ao controle e proteção das mesmas.
Violações que resultam em vazamento de dados causam danos irreparáveis à reputação das empresas, além de gerar custos adicionais com equipes de TI e advogados. As empresas que descumprirem a lei poderão tomar multa equivalente a até 2% da receita da empresa, com um limite máximo de 50 milhões de reais por uma infração.
Bancos e grandes redes do varejo já começaram a se adaptar. Muitas PMEs, no entanto, ainda não avançaram na criação de processos de segurança da informação, documentação de regras internas para o processamento de dados, desenvolvimento de mecanismos de gerenciamento de riscos e outras iniciativas necessárias para lidar com a legislação.
Uma das melhores maneiras para pequenas e médias empresas iniciarem o processo de adequação é revisar como estão usando e protegendo as informações em trânsito de seus clientes. Isso dará mais confiança aos consumidores e órgãos reguladores, pois mostra que está tomando as medidas fundamentais para proteger seu público. Este é um momento de oportunidade para os negócios modernizarem seus sistemas de segurança, o que pode ser feito em 3 etapas:
1) Revise sua Infraestrutura de Certificado Digital
TLS (Transport Layer Security) é uma tecnologia que protege dados enviados entre dois sistemas, impedindo que criminosos leiam e modifiquem qualquer informação, incluindo detalhes pessoais. Verifique se a plataforma da sua empresa permite solicitar e gerenciar certificados TLS / SSL públicos para domínios públicos e privados para domínios internos, sistemas, hosts e endpoints.
2) Preste atenção nos certificados e integração de processos
Invista em certificados de cliente para assinatura de e-mail e criptografia, além de autenticação de usuário e dispositivo. Considere soluções que usam agente que pode ser implantado externamente e internamente para criar um inventário de todos os seus certificados, garantindo que ele varrerá sua rede para encontrar vulnerabilidades relacionadas a eles e configurações endpoints.
Lembre-se de que sua API (Application Programming Interface) precisa permitir a integração total de processos, automatizar o provisionamento, gerenciamento e personalizar soluções para atender às suas necessidades, pois isso ajudará a manter todos os dados atualizados. É importante que as PMEs procurem ferramentas que colaborem para criar um ambiente de transferência seguro, que permita a rastreabilidade precisa das informações.
3) Escolha a empresa de Autoridade de Certificação (CA) certa
Ao invés de optar pela mais barata, considere o quanto custa caro um fornecedor que pode deixar você na mão na hora que mais precisa. Certifique-se de que a prestadora tem uma boa reputação, confira sua lista de clientes, como é feito o atendimento ao consumidor e as ferramentas de CA disponíveis, como gerenciador de certificados centralizado automatizador de multitarefas. O ideal é que ela tenha bastante experiência de mercado e siga as melhores práticas recomendadas. A empresa perfeita de Autoridade de Certificação deve ser especialista em seu campo e oferecer suporte a seus parceiros, ajudando-os a proteger seus dados e os de seus clientes.
As mudanças propostas pela LGPD serão positivas não apenas para os usuários, mas também para as PMEs a médio e longo prazo. Esta é uma oportunidade para as empresas brasileiras refinarem seus mecanismos de proteção de informações, além do uso estratégico e apropriado de seus próprios dados.
*Por Dean Coclin, diretor sênior de desenvolvimento de negócios da DigiCert
