Pentest e LGPD: prevenindo vazamento de dados e a conformidade com a lei

Neste artigo falaremos sobre a aliança entre Pentest e LGPD, e a importância de manter em segurança os dados de seus clientes, desde o momento em que existe a solicitação para a recepção de informações pessoais até o processo final do usuário no ambiente virtual. Quer saber mais? Continue conosco no artigo abaixo.

Em agosto de 2018, a Lei Geral de Proteção de Dados foi sancionada a fim de garantir maior segurança a empresas, clientes e usuários. Invasões em bancos de dados se tornaram comuns conforme a tecnologia vem evoluindo. Para proteger da melhor forma essas informações, unimos o Pentest e LGPD em um só.

A LGPD (Lei número 13.709/2018) entrou em vigor apenas no final do ano de 2020. No entanto, desde agosto de 2021, quando as sanções administrativas da lei passaram a ser válidas, as empresas que não tinham segurança da informação no radar, acabaram sofrendo fortes punições financeiras e jurídicas.

Com isso, o pentest se tornou essencial na vida das empresas na busca de validar o sistema de segurança utilizado. De fato, os testes de intrusão podem ser aplicados nos mais variados ambientes virtuais na busca de encontrar as vulnerabilidades que facilitem invasões de hackers.

O que é a LGPD?

A Lei Geral de Proteção de Dados (LGPD) tem como principal objetivo garantir a segurança dos dados pessoais de pessoas físicas ou jurídicas, principalmente no âmbito digital. Em suma, a Lei nº 13.709 visa a proteção dos direitos fundamentais de liberdade e privacidade para o compartilhamento de informações.

A base da LGPD foi uma legislação europeia com o mesmo tema. No caso, a lei constituída pelo continente europeu é a General Data Protection Regulation, a GDPR.

A LGPD surgiu por dois motivos: primeiramente, para criar uma cultura de proteção de dados, e para se adequar internacionalmente. Isso é, a GDPR tem uma validade internacional, desta forma, os países que não se adaptam aos termos da lei acabam tendo dificuldades para conseguir fazer negócios com países da União Europeia e qualquer outro país que tome a GDPR como base para criar sua própria lei de dados, como a LGPD no Brasil.

Teste de intrusão: Pentest e LGPD

O teste de intrusão realiza uma análise e testes em todas as etapas de um sistema ou infraestrutura digital para validar todo o processo de segurança da empresa que contrata o serviço.

Ao realizar um pentest, é possível entender todas as falhas e vulnerabilidades que trazem insegurança para a infraestrutura em que está sendo realizado. Dessa forma, podemos saber onde é necessário que a empresa faça mudanças e qual parte é segura o suficiente e pode manter-se, ou apenas seguir atualizando e mantendo a sustentação.

Dessa forma, pentest e LGPD se tornam grandes aliados para que a empresa consiga se adequar da melhor maneira possível às exigências para conseguir manter a segurança dos dados dos clientes.

Em síntese, o pentest pode ser aplicado das mais diversas formas: em infraestruturas tecnológicas completas, redes, sistemas, aplicativos de celular, sites e até mesmo para simples testes de ferramentas de segurança específicas que a empresa tenha.

Além disso, o pentest se torna um ótimo framework para empresas que estão implantando o LGPD. No entanto, não é a única coisa que deve ser feita. É importante também implementar uma política de segurança que seja sólida o suficiente para a proteção de dados.

Quais as sanções que podem ocorrer ao infringir a LGPD?

Existem diversas penalidades previstas pela LGPD. De fato, a fiscalização é realizada pela Autoridade Nacional de Proteção de Dados (ANPD), que é um órgão público gerido pelo Governo Federal que é responsável por toda a fiscalização do cumprimento da lei.

Em suma, já falamos sobre as sanções que podem ser causadas pela LGPD, em agosto de 2021. No entanto, vale ressaltar que apenas a ANPD tem autorização para aplicar as penalidades, apesar de atuar lado a lado com outros órgãos públicos, como o Conselho Administrativo de Defesa Econômico (CADE) e a Secretaria Nacional do Consumidor (SENACON).

Por fim, como cita o artigo 52, a ANPD pode aplicar as seguinte sanções administrativas:

• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária, observado o limite total a que se refere o inciso II;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As principais e mais firmes punições sancionadas pela LGPD são aplicadas somente em caso de outras penalidades de menor intensidade acontecerem.

A importância do pentest e LGPD juntos

O pentest é um aliado muito importante para as empresas que estão se adequando, ou querem se manter dentro da LGPD. Por isso, ao fazer um teste de intrusão, a equipe de hackers éticos conseguirá saber se os dados da empresa estão realmente seguros ou não.

Em suma, diversas técnicas são utilizadas pelo profissional, e no final, um vasto relatório com todas as vulnerabilidades sendo descritas. Dessa forma, a empresa recebe todas as informações necessárias para conseguir mitigar todos os riscos.

Neste relatório, também, já são sugeridas correções com base nos principais frameworks de segurança internacionais. Com esse direcionamento, é possível já começar a tratar as vulnerabilidades encontradas.

Porém, devemos ressaltar que não apenas o pentest pode garantir que a empresa esteja totalmente de acordo com a Lei Geral de Proteção de Dados. Segundo o Serviço Federal de Processamento de Dados (SERPRO), é importante identificar e organizar os dados pessoais em um banco de dados seguro.

Além disso, é importante frisar ao usuário qual a finalidade da utilização dos dados pessoais utilizados, além de sempre dar o direito do cliente escolher se deseja ou não ceder as informações solicitadas.

Se você deseja conhecer um pouco mais sobre pentest e se adequar ao LGPD da melhor forma possível, entre em contato com a equipe da Softwall. A sua segurança e a de seus clientes é o nosso principal objetivo!

“Sua segurança é o nosso objetivo”