(11) 5521-2021 [email protected]
  • EN
E-TRUST
  • Gestão de Identidade
    • Gestão de Identidade IAM
    • Identidade de Consumidores CIAM
    • Identidade como Serviço IDaaS
    • Sustentação IAM
    • Reset de Senha
  • Single Sign-On
    • Cloud Single Sign-On (SSO)
    • On Premise Single Sign-On
  • LGPD
    • HORACIUS LGPD
  • Serviços de Segurança
    • Serviços Gerenciados de Segurança – SOC
    • Security Intelligence
    • SIEM SaaS
    • Gestão de Vulnerabilidade
    • Firewall
    • Gestão de Risco
    • Teste de Intrusão
    • Políticas de Segurança
    • Auditoria de Segurança
  • Segmentos
    • Finanças
    • Varejo
    • Indústria
    • Serviços
  • Cases
    • Cases
    • Materiais
  • Blog
  • Contato
    • Fale Conosco
    • Eventos
    • Parceiros
    • Trabalhe Conosco
    • Sobre Nós
Escolha uma Página
O que é Gestão de Identidades e Acessos? (Parte 2)

O que é Gestão de Identidades e Acessos? (Parte 2)

por Dino Schwingel | jul 25, 2020 | Acessos e SSO, Gestão de Identidade, HORACIUS IAM

O que é Gestão de Identidades e Acessos - Parte 2

A primeira parte deste artigo, teve como tema a definição do que é Gestão de Identidades, requisitos fundamentais e processos típicos da implantação de um sistema de GIA.

Nesta segunda parte, vou tratar de algumas funcionalidades adicionais, de características mais avançadas de projetos e sistemas de gestão de identidades e da interoperabilidade com single sign-on.

Em resumo, este artigo tem por objetivo apresentar mais informações, casos experienciados em projetos e dicas de uso sobre os seguintes tópicos:

  • Perfis de Negócio (RBAC)
  • Regras de Provisionamento de Perfis Padrão
  • Níveis de Risco de Perfis
  • Segregação de Funções
  • Workflows de Aprovação Distribuídos
  • Mútiplos Fatores de Autenticação (MFA)
  • Single Sign-on

 

Perfis de Negócio (RBAC)

Uma das grandes vantagens de se implantar um sistema de GIA é a possibilidade de passar a trabalhar com Perfis de Negócio, implementando, o que é conhecido em inglês como Role Based Access Control (RBAC).

Usando Perfis de Negócio, é possível ‘empacotar’ uma grande quantidade de direitos de acesso (perfis de acesso) em múltiplos sistemas e solicitar/aprovar/revogar esse pacote em uma só ação.

Tipicamente, um Perfil de Negócio empacota os direitos de acesso necessários para desempenhar um cargo ou função dentro de uma empresa. Não necessariamente, um Perfil de Negócio precisa conter todos os direitos necessários para todas as variações de um determinado cargo pois podem haver especificidades por localidade, departamento, empresa do grupo, entre outras.

Por isso, é perfeitamente válido, por exemplo, usar um Perfil de Negócio intitulado “Vendedor”, contendo todos os acessos comuns a essa função e deixar que os acessos específicos para Vendedor de Varejo, Vendedor de Atacado e etc., sejam solicitados via Portal de Autosserviço (Reset de Senha). Essas solicitações poderão ser feitas pelo próprio vendedor, por seu gestor, pelo RH ou por pessoas assim autorizadas nos fluxos do Gestão de Identidades (GIA).

Outro exemplo para ganhar agilidade e reduzir erros é usar o Perfil de Negócio para os cargos mais comuns na empresa. Por exemplo, em uma implantação da qual participei, em uma empresa com milhares de funcionários, o perfil mais comum era de Conferente, uma função que, inclusive, tinha rotatividade acima da média e gerava muito trabalho manual de concessão e revogação dos direitos.

Assim, mapeamos todos os direitos de acesso necessários para essa função e empacotamos em um perfil de negócio, simplificando ao máximo os processos, eliminando trabalho manual e eventuais falhas operacionais na manipulação dos direitos de acesso. Adicionalmente, como vamos ver no item sobre Regras de Provisionamento de Perfis Padrão, automatizamos a concessão dos direitos, garantindo que quando um novo Conferente chega para assumir a sua função, todos os direitos de acesso já estão provisionados.

E, encerrando este tópico, fica uma dica: adote Perfis de Negócio (RBAC) em ondas, começando por aqueles que vão trazer os ganhos mais alinhados com os motivadores do seu projeto. Por exemplo:

  • Se o seu principal motivador é aumentar a segurança: comece pelos perfis que aprovam transações financeiras, perfis que têm acesso a dados sensíveis, seguindo para demais perfis com poder de aprovação em fluxos de trabalho (materiais, entrada/saída etc).
  • Se o seu principal motivador é aumentar agilidade e produtividade: comece pelos perfis dos cargos que mais ocorrem na sua empresa, pelos perfis cujos cargos têm maior rotatividade, seguindo para aqueles mais propensos a gerar erros manuais.

 

Regras de Provisionamento de Perfis Padrão

A automação do provisionamento de perfis padrão é uma das funcionalidades que mais contribui para aumentar a agilidade, aumentar a satisfação dos usuários de TI e reduzir erros operacionais. E a combinação das regras de provisionamento com perfis de negócio tem potencial para eliminar grande número de chamados de TI.

Em inglês, as regras que definem o provisionamento automático de perfis padrão é, normalmente, chamada de entitlement, embora o termo ainda seja usado de uma forma ampla e não ainda com um significado estrito quando se analisa como um sistema de Gestão de Identidades e Acessos implementa o conceito.

Para usar as regras de provisionamento de perfis padrão é necessário elaborar um mapeamento de perfis que tenha como resultado quais são os perfis de acesso e/ou perfis de negócio necessários para cada função na organização.

Mas você pode perguntar: por que é necessário mapear todos os cargos da empresa?

Na verdade, não é necessário mapear todas as funções e cargos da empresa. Você pode mapear apenas as funções mais alinhadas com os seus riscos organizacionais ou ações de melhoria. Por exemplo, você pode ter uma demanda da empresa para acelerar o provisionamento para vendedores em campo para que comecem a vender assim que são contratados.

De posse desse objetivo, você deve fazer o seguinte:

  • Mapear os perfis necessários;
  • Identificar quais dados cadastrais serão disparadores da concessão;
  • Garantir que esses dados estão sendo recebidos das fontes de identidades (p. Ex., sistema de folha de pagamento);
  • Criar as regras no sistema de GIA.
  • E correr para o abraço 🙂

Aproveite a oportunidade para medir quanto tempo levava para o vendedor ter os acessos antes do uso das regras e depois e dar publicidade a esse ganho para as partes interessadas.

 

Níveis de Risco de Perfis

Uma das formas de aumentar a segurança da empresa é ter clareza sobre o nível de risco dos acessos que as pessoas possuem. Por exemplo, um perfil que autoriza um pagamento é claramente um perfil de maior risco do que um perfil que permite digitar um pedido de compra.

A atribuição de níveis de risco aos perfis, tipicamente, é resultado de uma análise de risco com análise de impacto para o negócio no caso de uso doloso dos direitos de acesso.

A atribuição de níveis de risco aos perfis permite:

  • Que perfis de maior risco sejam assim identificados pelos aprovadores quando estiverem ponderando uma solicitação;
  • Que indicadores de nível de risco sejam calculados para identificar, por exemplo, contas de usuário de maior risco.

Um sistema de GIA pode ser usado para tratar alguns dos riscos identificados, por exemplo, mediante o uso de segregação de funções. Outros riscos podem ser mitigados por sistemas correlatos como, por exemplo, o uso de múltiplos fatores de autenticação para aumentar o nível de assertividade na autenticação das pessoas.

 

Segregação de Funções

Esta é, talvez, a mais importante medida de proteção a ser empregada em sistemas que autorizem ou executam transações financeiras. O conceito de segregação de funções é antigo e tem por objetivo evitar que apenas uma pessoa possa executar funções que coloquem em risco a empresa ou a própria pessoa.

Por exemplo, não é recomendado que a mesma pessoa tenha direitos para entrar com um novo pedido de compra e aprovar o pagamento desse tipo de pedido em um sistema. Uma pessoa que tem esses direitos é um típico alvo de fraudadores, pois seu objetivo é conseguir o acesso à conta dessa pessoa para poder realizar fraudes sem precisar de uma segunda ou terceira conta.

A segregação de funções começa pela identificação dessas situações de risco, passa pelo mapeamento de perfis de acesso distintos para funções distintas e termina com a configuração de uma matriz de segregação, na qual são indicados os perfis que não podem ser concedidos para uma mesma pessoa.

Essa matriz é informada ao sistema de GIA para que ele possa identificar situações de violação das regras de segregação. Quando identificar, o sistema de GIA deve, então, interceptar esses fluxos e redirecionar para aprovação adicional, tipicamente, de um gestor de risco.

O sistema HORACIUS, por exemplo, permite que o gestor de risco documente a necessidade de violação da segregação de funções e a eventual existência de controles compensatórios. Tipicamente, pequenas unidades da empresa possuem pessoas que acumulam funções e isso pode justificar a necessidade de violação da segregação. Além disso, limites de alçada são controles compensatórios normalmente usados para limitar o risco nessas situações.

O controle de segregação de funções pode ser feito em dois níveis:

No mesmo sistema: quando a matriz de segregação considera somente as transações executadas em um sistema.

Em múltiplos sistemas: quando a matriz de segregação considera transações que podem ser executadas em mais de um sistema, tipicamente integrando o controle de segregação de funções com um modelo RBAC (Role-based access control), ou controle de acesso baseado em funções e cargos.

Workflows de Aprovação Distribuídos

Na minha experiência profissional com gestão de identidades esta é a funcionalidade que vejo mais sub-utilizada nas empresas. A tendência, tanto dentro de TI como nas demais áreas da organização, é enxergar os sistemas de informação como de propriedade da área de TI, o que acaba se estendendo para os dados e informações que estão dentro dos sistemas.

Mas, na verdade, os verdadeiros ‘donos’ dos dados são as áreas de negócio da empresa que criam, manipulam, transmitem e removem os dados conforme as suas necessidades para executar os negócios da empresa.

É muito comum que a área de TI seja responsável por permitir o acesso a uma pasta de rede para uma pessoa que entra em um novo projeto. No entanto, o ato de executar a configuração que permite o acesso é, normalmente, confundido com o poder sobre a decisão.

Vemos isso até na linguagem utilizada, pois é comum ouvir-se: “vou pedir pra TI o acesso à pasta do projeto”. Mas quem define se uma pessoa vai ter direito de acesso à pasta de um projeto é a gerente desse projeto. Por que ela precisa de TI? Tipicamente, apenas para executar a ordem dada, algo que poderia facilmente ser feito por um sistema de Gestão de Identidades e Acessos, este por sua vez parametrizado por TI.

Com workflows distribuídos, podemos permitir que as diferentes áreas da empresa autorizem os direitos de acesso conforme as suas necessidades sem depender de TI pois, com provisionamento automático, os direitos são atribuídos ou retirados conforme os ‘donos’ dos dados determinam. Ao TI, compete a atribuição de criar e manter as parametrizações no sistema de GIA que dão essa agilidade ao negócio.

Com isso, um gerente de projeto pode conceder e revogar acesso a uma pasta de rede de projetos conforme as novos membros entram e saem da equipe. Um gestor financeiro pode conceder perfis de aprovação por tempo determinado para uma pessoa cobrir as férias de outra. Tudo isso sem abrir um chamado em TI.

Durante os projeto em que participei, presenciei muitas vezes o desconforto das áreas de negócio em assumir esses tipos de aprovações e reconheço que ainda é necessário conscientizar as próprias áreas de negócio sobre as vantagens do uso de fluxos de aprovação distribuídos.

Por isso, entendo que este tema deve ser tratado com especial cuidado na empresa e deve ser iniciado com áreas de negócio que já identificaram claramente as vantagens e estão dispostas a abrir mão da ‘bengala’ oferecia por TI. Acredito que com a evolução na facilidade de uso dos sistemas de GIA e com o aumento no número de nativos digitais nas empresas, o uso de workflows distribuídos tende a aumentar.

 

Múltiplos Fatores de Autenticação (MFA)

Um dos requisitos básicos de uma boa implantação de GIA é que a autenticação das pessoas seja feita de forma eficiente e eficaz.

Com o advento de sistemas em nuvem, cada vez mais as empresas precisam conviver com ambientes híbridos, com múltiplas contas de acesso para a mesma pessoa e com diferentes requisitos de autenticação. E uma das formas de aumentar a eficácia da autenticação e aumentar a segurança de contas com acesso a perfis de alto risco é usar mais de um fator de autenticação.

Tipicamente, as contas de acesso aos sistemas são protegidas por uma senha. Essa senha, de uso pessoal e intransferível, é que garante que, digamos, a Ana é ela mesma para o sistema de informação que a Ana está acessando.

No entanto, uma senha pode ser descoberta, compartilhada, furtada, roubada, vazada ou extraviada, fazendo com que outra pessoa ou robô possa se passar pela Ana e furtar dados, destruir dados, realizar transações e tudo o mais que é permitido pelos direitos de acesso da Ana. E tudo vai ficar registrado como se a Ana estivesse fazendo.

Para aumentar a eficácia da autenticação, podemos usar, além da senha, mais um fator de autenticação. Isso tornará muito mais difícil comprometer a segurança da conta da Ana.

Atualmente, os seguintes fatores estão sendo usados com sucesso no mercado, com diferentes níveis de aceitação pelos usuários e diferentes objetivos:

  • Token via SMS: este fator está se tornando muito popular e seu uso consiste em o sistema exigir um código após a senha. O usuário recebe esse código no seu telefone celular via mensagem de texto (SMS) e digita o código na tela de login.
  • Token via aplicativo no celular: este fator está sendo mais usado por administradores de sistemas e por sistemas de internet banking. Similar ao token via SMS, a única diferença é que o token é gerado por um aplicatio no próprio celular com base na data e hora do aparelho.
  • Biometria: este fator está usando em situações em que a presença física do usuário ocorre e/ou é obrigatória. Leitor de impressão digital é o mais usado atualmente, mas também existem usos bem conhecidos de leitor de íris do olho, biometria da palma da mão, e de reconhecimento facial.

Cabe comentar também que um segundo fator de autenticação pode ser usado após um usuários estar autenticado, com o objetivo de autorizar uma transação crítica. Por exemplo, um sistema de transferência eletrônica de fundos (TED), tipicamente, exige um segundo fator de autenticação antes de aprovar uma transação desse tipo.

Desenvolvedores de sistemas devem atentar para a possibilidade de usar esse tipo de fator de segurança em seus sitemas, uma vez que é fácil incorporar a um sistema novo e, muitas vezes, difícil de incorporar a um sistema legado. Uma dica é usar uma chamada genérica web service a um serviço externo para isso, de modo que a chamado poderá ser sempre a mesma, somente o servidor com o MFA que precisará ser alterado no futuro, caso mude a tecnologia, o fabricante ou se deseje usar outro fator de autenticação.

 

Single Sign-on (SSO)

Muitas vezes visto como o Santo Graal da autenticação de usuários, é uma solução que enfrenta cada vez menos resistência e, com o passar dos anos, cada vez mais vantagens.

Os principais objetivos de uma implantação de SSO é proporcionar:

  • Uma boa experiência de uso dos sistemas, mediante a eliminação das telas de solicitação de senhas quando uma pessoa navega de uma aplicação para outra no seu computador;
  • Maior segurança, mediante a implementação de um nível mínimo de qualidade de autenticação para todos os sistemas da empresa, usando protocolos de autenticação padrão de mercado, testados e aprovados por organismos internacionais de segurança.

Hoje, existem soluções bem testadas no mercado para fazer SSO em ambientes Windows, em aplicativos web e dentro da suite de aplicativos de um mesmo fabricante. Tipicamente, os desafios de uma implantação de SSO surgem na integração com sistemas legados, que não foram projetados para suportar esse tipo de autenticação.

Mas mesmo assim, existem soluções. Uma combinação vencedora é fazer uma composição com:

  • Um sistema de GIA para o provisionamento.
  • Um servidor de diretório padrão LDAP.
  • Um servidor de SSO com suporte a SAML, MFA e outros protocolos de autenticação de mercado.

 

Baixe o e-book completo e gratuito sobre o SSO

 

Bem, se você chegou até aqui, agradeço pela sua atenção e espero que tenha aproveitado. Procurei transmitir minha experiência de mais de 10 anos nessa área com dicas simples e diretas que você poder aplicar no seu dia-a-dia.

Fica aqui o convite para você conhecer um pouco mais sobre o nosso sistema HORACIUS e ver como podemos auxiliá-lo a ganhar agilidade e aumentar a segurança na sua empresa. 

O que é gestão de identidades e acessos? (Parte 1)

O que é gestão de identidades e acessos? (Parte 1)

por Dino Schwingel | jul 1, 2020 | Acessos e SSO, Gestão de Identidade

Este artigo é voltado para quem está buscando mais informações sobre gestão de identidades, acessos e outras funcionalidades correlatas. O objetivo é dar uma visão geral sobre o assunto para entender o escopo completo do que hoje se entende por Gestão de Identidades e Acessos (GIA).

Gestão de Identidade: entenda esta funcionalidade e como ela se relaciona com os sistemas de sua empresa

Este artigo é voltado para quem está buscando mais informações sobre gestão de identidade, acessos e outras funcionalidades correlatas. E não deixe de ler a Parte 2 do artigo. 

Sobretudo o objetivo aqui é dar uma visão geral sobre o assunto para entender o escopo completo do que hoje se entende quando se usa o termo Gestão de Identidade.

A figura abaixo fornece uma visão geral de como um sistema de gerenciamento de identidades, no caso o HORACIUS, se relaciona com os demais sistemas de uma empresa.

ARQUITETURA HORACIUS

Primeiramente, vamos falar do próprio termo Gestão de Identidade. Em inglês, usa-se bastante Identity Management (IDM) e Identity and Access Management (IAM). No Brasil, tem se tornado cada vez mais popular o emprego de GIA para Gestão de Identidade e Acessos.

Bem como, ao longo dos últimos 10 anos, o escopo de gestão de identidade e acessos vem sendo ampliado. E, hoje, há uma interoperabilidade (ou seja, capacidade de um sistema de se comunicar de forma transparente com outro sistema) bastante variada com múltiplos sistemas correlatos. Estes sistemas incluem Single Sign-On, Multi-factor Authentication, Mobile Device Management, Cloud Services, IDaaS e outros.

O que esperar deste artigo

Nesta primeira parte, eu vou me concentrar no que considero o núcleo de Gestão de Identidade e Acessos, que são aquelas funcionalidades que todo projeto deveria implantar:

  • Governança e Administração de Identidades;
  • Autenticação Centralizada;
  • Provisionamento Automático;
  • Portal de Autosserviço,
  • Auditoria Automatizada.
Gestão de Identidade e Acessos: Definição

Sob a ótica de processo, podemos dizer que gestão de identidade é o processo pelo qual se organiza e administra as relações entre pessoas e ativos de informação de uma organização durante todo o ciclo de relacionamento entre tais indivíduos e a empresa em si.

O que são ativos de informação

Os ativos de informação são, tipicamente, sistemas, mas também são informações em meio físico.

Note também que o ciclo de relacionamento abrange diferentes períodos em que as pessoas podem estar em diferentes funções na mesma organização – por exemplo, como estagiário e funcionário. Por isso, é fundamental que a gestão de identidade consiga administrar a identidade de cada pessoa univocamente, independente do período e do tipo de relacionamento.

Identity of Things (IDoT)

Recentemente, passamos a incluir nessa gestão também a identidade das coisas (Identity of Things, ou IDoT). Mas como este é um texto introdutório, deixo IDoT para outro momento.

Antecipo apenas que as coisas se relacionam e interagem tanto com pessoas quanto com sistemas e trazem uma nova dimensão de complexidade.

Agora, vamos olhar mais de perto o que é cada uma das funcionalidades acima:

1. Governança e Administração de Identidades

Este tópico é fundamental, pois compreende as definições sobre como serão organizadas as identidades e os acessos aos sistemas.

No escopo da governança e administração estão:

  • Inventário de sistemas e perfis de acesso;
  • Inventário das identidades;
  • Definição de fluxos, papéis e responsabilidades;
  • Organização das identidades e categorização de, por exemplo, funcionários, prestadores de serviço, representantes e, até mesmo, clientes;
  • Definição dos processos de solicitação, aprovação, revogação e revisão de direitos de acesso;
  • Definição de regras de automação para os processos acima,
  • Administração das identidades e dos acessos: por exemplo, inclusão de novo sistema e seus perfis no inventário; mudança no fluxo de aprovação para exigir que o gestor da pessoa também aprove e outras atividades necessárias para que os processos de GIA operem adequadamente.
2. Autenticação Centralizada

Esta é a funcionalidade que mais provavelmente o seu projeto não vai contemplar. Pelo menos, não integralmente.

A diversidade de aplicações e plataformas tecnológicas existentes dificulta a centralização da autenticação. Por outro lado, há anos existem tecnologias e protocolos para centralizar a autenticação.

Portanto, sempre recomendo que as empresas coloquem como requisito para compra de novos sistemas o suporte ao seu sistema de diretório. Muitas empresas usam Active Directory, enquanto outras utilizam diferentes versões de LDAP (OID, NDS, etc).

Mas, quando vão encomendar um novo aplicativo mobile deixam o fornecedor criar mais uma tabela de usuário e senha em um banco de dados que ninguém definiu onde ficaria.

Autenticação via protocolos: vantagem ou desvantagem?

Diversos sistemas mais complexos e mais modernos, incluindo sistemas em nuvem, suportam autenticação centralizada via protocolos como LDAP, SAML, OpenID e OAuth.

Contudo, na hora da compra o foco fica muito mais nas funcionalidades da aplicação do que na organização da autenticação. E ninguém quer chamar o “cara” de segurança para dar opinião, porque ele tem fama de colocar dificuldade em tudo.

Resultado: mais uma senha para o usuário guardar, lembrar, esquecer, resetar, anotar, perder a anotação, esquecer, resetar…

A saber que a maioria dos sistemas que existem hoje não suportam integração com serviços de diretório ou Single Sign-on.

Solução: sincronização de senhas. O portal de autosserviço do HORACIUS suporta essa funcionalidade e temos visto que ela traz diversos benefícios para os usuários de negócio.

Como lidar com a autenticação centralizada

Então, resumindo este controverso tópico:

  • Se você não tem um sistema de diretório, adote um;
  • Se a aplicação suporta autenticação via serviço de diretório, habilite;
  • Se a aplicação não suporta, veja se é possível desenvolver essa funcionalidade,
  • Se é impossível suportar, tente usar sincronização de senhas.
3. Provisionamento Automático

Provavelmente o melhor tópico para os profissionais de TI.

Por fim, iremos automatizar aquelas tarefas tediosas e que não agregam nenhum valor no que diz à gestão de identidade. São elas: criar conta de usuário, desabilitar conta, trocar senha e tantas outras.

O provisionamento automático, tipicamente, abrange as seguintes atividades:

  • Criação, alteração, remoção de conta de usuário;
  • Cadastro e atualização de dados das pessoas nos catálogos dos sistemas;
  • Bloqueio, desbloqueio de contas;
  • Troca de senhas;
  • Associação, desassociação de uma conta a um direito de acesso.
  • Consultas a contas, perfis e direitos associados a contas.
Gestão de identidade mais avançada ao Provisionamento Automático

Adicionalmente, quando a gestão de identidade é mais avançada, abrange também as seguintes atividades:

  • Importação de contas, perfis e/ou roles;
  • Criação, alteração, remoção de perfis e/ou roles;
  • Criação, alteração, remoção de grupos,
  • Criação, alteração, remoção de atributos dos direitos: tipo de licença, alçada etc.
4. Portal de Autosserviço

A maior parte da gestão de identidade é composta por processos invisíveis ao usuário de negócio.

Por isso, é muito importante que o portal de autosserviço forneça uma boa experiência de uso e tenha os serviços que o usuário mais precisa.

Sobretudo, um portal de autosserviço de Gestão de Identidade e Acessos (GIA) deve permitir ao usuário redefinir (resetar) a sua senha de forma simples e segura no maior número de sistemas que for possível.

Além disso, o portal tipicamente oferece os seguintes serviços:

  • Solicitar novos acessos a sistemas e novos direitos de acessos; a sistemas em que o usuário já tem acesso;
  • Acompanhar o andamento das solicitações;
  • Ver a relação dos direitos de acessos que o usuário possui em todos os sistemas,
  • Administrar a sua identidade.
5. Auditoria Automatizada

Um dos controles fundamentais na gestão de identidade é garantir que todas as contas das pessoas que não tem mais relacionamento com a organização tenham sido desativadas ou removidas.

Outro controle, um pouco mais sofisticado, é garantir que somente os direitos de acessos efetivamente aprovados estão configurados nos sistemas. E que direitos que tiveram seu prazo de validade expirado foram retirados adequadamente.

Assim fechamos o ciclo iniciado na governança e administração de identidades. Pois os fluxos de aprovação definidas naquele tópico agora serão usados para verificar se as contas e os direitos de acesso configurados nos sistemas estão de acordo com o que foi aprovado.

Perfis de auditoria automatizada

A auditoria automatizada pode ser:

  • Eventual: quando uma verificação é iniciada manualmente,
  • Periódica: quando o sistema de GIA faz verificações automatizadas e agendadas.

Quando a auditoria é periódica, podemos configurar regras para:

  • Informar e gerar um incidente para uma conta não aprovada;
  • Bloquear automaticamente uma conta não aprovada;
  • Retirar um direito que não foi aprovado,
  • Entre outras ações automáticas.

Quando a auditoria automatizada é configurada e usada adequadamente, só vamos receber e-mails de alerta quando algo estiver errado.

Será uma sensação diferente. Mas quando não estivermos recebendo nenhum e-mail será por que os processos estarão sendo executados conforme esperado e nenhuma divergência tenha sido encontrada.

O que é Gestão de Identidades e Acessos? (Parte 2)

Na segunda parte deste artigo, eu trato de aspectos avançados de gestão de identidades e da interoperabilidade com outros módulos. Como SSO, autenticação com múltiplos fatores e controle de acesso adaptativo.

Você também pode se interessar por:

  • O que é Gestão de Identidades e Acessos? (Parte 2) 
  • Garanta a segurança dos dados no acesso remoto 
  • Como fazer proteção de dados para a LGPD: Controle de Acesso aos Dados
Como fazer proteção de dados para a LGPD: Controle de Acesso aos Dados

Como fazer proteção de dados para a LGPD: Controle de Acesso aos Dados

por Dino Schwingel | dez 9, 2019 | Gestão de Identidade, LGPD

Aprenda como fazer a proteção de dados pessoais sensíveis da sua empresa!

Nesse artigo iremos abordar o tema: Como fazer proteção de Dados para a LGPD, que tem como foco os aspectos mais críticos para estar em conformidade à LGPD. Você passará a entender o porque é importante fazer o controle  de acesso aos dados pessoais e porque é necessário ter ainda mais cuidados nos acessos aos dados pessoais sensíveis.

Para situar o desafio que todas as empresas têm com a entrada em vigor da LGPD, começo com uma pergunta: você consegue agora gerar um relatório com todas as pessoas que têm acesso aos dados pessoais armazenados na sua empresa?

Você e sua empresa podem não ter feito nada de errado, mas alguém pode acusar sua empresa de vazamento de dados. Os dados podem ter vazado sem nenhuma relação com a sua empresa, mas a sua empresa pode ser suspeita  porque processa aqueles dados.

A Autoridade Nacional de Proteção de Dados (ANPD) ou o Ministério Público (MP) vão querer saber quem são as pessoas que têm acesso aos dados pessoais na sua empresa. E você pode responder de várias formas:

  • Dados Pessoais? Como assim!?
  • Aqui é o João que cuida dos sistemas, tem que falar com ele.
  • É, veja bem…, a nossa equipe de TI é que cuida disso.

Ou você pode responder

  • Sem problemas, aqui está a lista de todas as pessoas que têm acesso aos dados pessoais processados na nossa empresa. E esta outra lista tem todas as pessoas que têm acesso a dados pessoais sensíveis.
Como é possível ter uma lista como essa pronta?

Tudo começa com a implantação de um sistema de gestão de identidades e acessos (GIA). Um sistema de GIA automatiza, controla e registra todos os direitos de acesso das pessoas aos dados pessoais.

A automação permite que uma nova colaboradora chegue ao seu posto de trabalho já com todas as contas criadas nos sistemas que ela vai usar no dia-a-dia, sem necessidade de intervenção manual de TI. Da mesma forma, quando encerra o contrato de trabalho de um colaborador, todos os acessos são revogados automaticamente, seja via conexão com a folha de pagamento seja via clique na tela pelo gestor ou RH.

O controle ocorre por meio dos fluxos necessários para aprovar acessos eventuais. Por exemplo, um colaborador substituindo outro nas férias ou uma participação em um novo projeto. Essas mudanças funcionais são aprovadas por fluxos de trabalho (workflows) e os acessos são automaticamente provisionados. Além disso, é possível garantir que colaboradores afastados do trabalho por licenças médicas férias e outros eventos similares têm os seus acessos bloqueados automaticamente pelo período de afastamento. Tudo para evitar uso indevido dos dados pessoais e, até mesmo, reduzindo riscos trabalhistas.

E os registros ocorrem quando ações são executadas como, por exemplo, as aprovações mencionadas acima. Os registros é que permitem comprovar, em qualquer circunstância, que a empresa possui processos e controles adequados para proteger os dados pessoais conforme mandado pela LGPD.

Causas de um vazamento de dados:

Objetivamente, um vazamento de dados pode ocorrer por diversos motivos: falha de sistema, falha humana ou, até mesmo, intencionalmente. O que vai diferenciar as empresas que serão multadas das que terão sanções mais leves vai ser o nível de proteção de dados que as empresas provarem que têm.

Eventualmente, o caso do Hospital de Barreiro em Portugal exemplifica muito bem o que falamos aqui. O hospital teve a multa agravada pela ausência de controles de acesso aos dados pessoais sensíveis porque pessoas com cargos que não precisavam ter acesso aos dados, tinham esses acessos concedidos nos sistemas.

Como o HORACIUS pode te ajudar?

Com um sistema de GIA, como o HORACIUS da E-TRUST, é possível registrar quais os tipos de acesso (perfis de acesso) dão direito a ver dados pessoais e dados pessoais sensíveis. Para isso basta definir um atributo em cada perfil de acesso que indique:

  • Se o perfil dá acesso a dados pessoais;
  • Se o perfil dá acesso a dados pessoais sensíveis.

Dessa forma, sua empresa sempre terá visão centralizada sobre todas as pessoas que acessam dados pessoais na empresa, não precisando ir perguntar para o pessoal de TI ou pedir para alguém listar os usuários do ERP, do CRM, das pastas de rede etc para ter essa informação, que será um grande atenuante caso sua empresa seja alvo de uma investigação por vazamento de dados.

Portanto, é importante lembrar que um sistema de GIA reduz falhas operacionais, diminui riscos de fraude, automatiza processos, aumenta o nível de satisfação dos usuários e reduz a complexidade dos acessos. Os usuários deixam de ter que memorizar ou anotar diferentes senhas, protegendo-se de esquecimentos ou perda. A centralização desse processo, facilita o acesso e descomplica o compartilhamentos de contas.

Espero que este artigo sobre proteção de dados para LGPD tenha sido útil. Nosso blog contém dezenas de outros artigos sobre o tema que podem auxiliar na adequação à lei.

A E-TRUST é líder em Gestão de Identidades e Acessos e seu sistema HORACIUS atende todos os requisitos de controle de acesso aos dados pessoais mandados pela LGPD e comentados aqui.

Você pode se interessar também pelo artigo: 8 perguntas e respostas sobre a LGPD
Quer receber conteúdos em primeira mão, além de convite para webinars e eventos? Então se inscreva na nossa newsletter:
Como Autenticar Google Suite (G Suite) no E-TRUST Cloud Single Sign-On

Como Autenticar Google Suite (G Suite) no E-TRUST Cloud Single Sign-On

por Dino Schwingel | out 8, 2019 | Acessos e SSO

Autenticando G Suite

Neste artigo, você vai aprender como configurar a autenticação do G Suite no E-TRUST Cloud SSO.

Para configurar a autenticação do G Suite no E-TRUST Cloud SSO basta seguir os passos abaixo, mas antes de iniciar, recomenda-se que você tenha duas janelas de navegador internet abertas, uma para acessar o E-TRUST Cloud Single Sign-On e outra para acessar o G Suite, ambos como administrador.

O uso de duas janelas de navegador internet vai facilitar seguir os passos aqui apresentados, pois você terá que copiar dados de uma janela para a outra quando estiver fazendo a configuração da autenticação do G Suite no E-TRUST Cloud SSO.

 

1. Acessar o E-TRUST Cloud SSO como Administrador

O primeiro passo para configuração do G Suite é se autenticar como administrador no E-TRUST Cloud Single Sign-On através da URL:

https://<empresa>.sso.e-trust.com.br/login/admin

onde, <empresa> será o nome fornecido pela E-TRUST na contratação do serviço. As credencias de administrador (usuário e senha) também são fornecidas após a contratação do serviço.

2. Criar uma Aplicação SAML para o G Suite

A configuração do G Suite é feita via a criação de uma nova aplicação SAML. Isso pode ser feito clicando no Item “Nova Aplicação” no menu “Aplicações”, como apresentado na imagem a seguir:

“Nome da Aplicação”: por exemplo, G Suite ou GMail ou outro nome que faça sentido para seus usuários.Na tela de Nova Aplicação, preencha os seguintes campos, conforme a explicação e a figura a seguir:

  • “URL da Página Inicial da Aplicação”: página inicial da aplicação, que será aberta quando o usuário clicar na aplicação, na tela inicial do usuário no Cloud SSO (veja a seguir). Para o G Suite, use “https://accounts.google.com/”

 

3. Configurar a Integração SAML com o G Suite no E-TRUST CSSO

Após preencher os campos acima, clique em Salvar, para salvar a nova aplicação SAML G Suite no E-TRUST Cloud Single Sign-On.

Após ter salvo a aplicação, vamos configurá-la. Para isso deve-se clicar sobre o botão de editar representado pela engrenagem, conforme figura a seguir.

Na tela de configuração da aplicação SAML para o G Suite, preencha os seguintes campos, observando que <domínio> deve ser substituído pelo domínio que a sua empresa tem configurado no G Suite:

  • “EntityID”: o valor a ser inserido deve ser “google.com”.
  • “Assertion Consumer Service” deve possuir o valor “https://www.google.com/a/<domínio>/acs”.
  • “Method Binding” deve ser “HTTP-POST”.
  • “Audience”, “Recipient” e “Destination” devem possuir o valor “https://www.google.com/a/<domínio>/acs”.

 

A figura abaixo exibe a configuração desses campos. Novamente, observe que <domínio> é o nome do domínio que sua empresa tem configurado no G Suite, sendo que na figura abaixo foi usado um domínio apenas de exemplo como “desenvolvimento.e-trust.com.br”.

  • “NameID Format”: deve ser escolhida a opção que possui o valor “urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress”
  • “Identificador de usuários da base de dados interna”: deve ser “E-mail”. Basicamente, isso indica que usuários autenticados via base de dados interna do E-TRUST Cloud Single Sign-On terão seu endereço de e-mail enviado como identificador ao G Suite.
  • “Authentication Context Class Reference”: deve ser escolhida a opção que possui o valor “urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified”.

 

A imagem abaixo apresenta a configuração desses campos.

  • “Necessita que o Logout Response seja assinado”: Sim
  • “Necessita que a SAML Response seja assinada”: Sim
  • “Necessita que a Assertion seja assinada”: Sim
  • “Necessita que a Assertion seja criptografada”: Não

A imagem abaixo apresenta apresenta as configurações desses campos.

4. Obter o Certificado do G Suite

Para obter o valor do certificado do G Suite é necessário se autenticar com a sua conta de administrador da sua empresa no G Suite através da seguinte URL:

https://admin.google.com

Após se autenticar será apresentada a seguinte tela:

A seguir, basta clicar no botão “DOWNLOAD CERTIFICATE” para baixar o certificado do G Suite, conforme apresentado na imagem abaixo.O próximo passo é clicar na opção “Security” apresentado na figura acima, onde, após esse processo é necessário clicar na opção “Set up Single Sign-On (SSO)”, conforme apresentado na figura abaixo.

Continue a configuração na tela do Cloud Single Sign-On, preenchendo o campo abaixo:

  • “SP X.509 Cert”: copie e cole neste campo o certificado baixado no passo acima.

No exemplo, o campo ficou com o seguinte conteúdo (note que este conteúdo é fictício e não irá funcionar. Você deve baixar o certificado via sua conta de administrador no G Suite).:

 

—–BEGIN CERTIFICATE—–

MIIDdDCCAlygAwIBAgIGAWPgZ3eTMA0GCSqGSIb3DQEBCwUAMHsxFDASBgNVBAoT

C0dvb2dsZSBJbmMuMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MQ8wDQYDVQQDEwZH

b29nbGUxGDAWBgNVBAsTD0dvb2dsZSBGb3IgV29yazELMAkGA1UEBhMCVVMxEzAR

BgNVBAgTCkNhbGlmb3JuaWEwHhcNMTgwNjA4MTcxNzQwWhcNMjMwNjA3MTcxNzQw

WjB7MRQwEgYDVQQKEwtHb29nbGUgSW5jLjEWMBQGA1UEBxMNTW91bnRhaW4gVmll

dzEPMA0GA1UEAxMGR29vZ2xlMRgwFgYDVQQLEw9Hb29nbGUgRm9yIFdvcmsxCzAJ

BgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMIIBIjANBgkqhkiG9w0BAQEF

AAOCAQ8AMIIBCgKCAQEAp4Gj37jzqFfv5kJ6JU4U6mtdkovcgUxwAsOfwcaQVR4y

6ErP8Dzt2Ilbfl0Z4NIudrPcGrrdUKS5yFtqpGXiQzT/7EkgfIMup8P6NZs0JHO9uiyt

Sd34R5NDtrPIwS0wCWLvAeYU1rGdkkL9L2BkkV7tFwa5Y5J+eH48e94s07X5HD5P

jmfyKZIMtyGbnylgTUPKdIY2WuItJ/SSl1GvBqzUnpLL+nXhn9ljj/yWz+rxkP5q

JgU6oZyRtmZdbkB3MlBWRM08rHqMetYO0JT2HxcB6q1aq8d0nUZNIMIVk6TXinks

ol86j5a9FZVZ/ITnmR8ya93QpPGIIT/oxCdTved2ZwIDAQABMA0GCSqGSIb3DQEB

CwUAA4IBAQAv1GcWBvPmF27EiRh0QpGjwcm8h+iJY6NthN4yyHodV6bcyQySjafn

RK1ALPLFJ9+DTQ9wfSxNIX9vycO7sKO6ReYdfyzcMgkWCfKp0UGE2HJXH2hR8ge86FA

qRCeHzeIC/Kb2hoxRAl9ro3LJGTMVGhXchppEpadoeHWrGN2u3rCkc3Yp+HOh0S+

f0FWFSOR2m1ezsGM9d8QWoWxOXoRw+Qm2lqZ5wovE7oz+bfIP6CyEdaWABsq0KwU

3gkqD2iivmu7VbUJmuwXlX3gb/3RIEEbQxtOxBaqJyIERICHXJfB9tEhhHuCBvTd

KtesQUFA/TVBglonE6wUEYDBHgltWXnL

—–END CERTIFICATE—–

 

  • “Signature Algorithm”: deve ser selecionada a opção cujo valor é “rsa-sha1”.
  • “Digest Algorithm”: deve ser selecionada a opção cujo valor é “sha1”.

 

A figura abaixo apresenta a configuração dos campos efetuada:

 

Para finalizar a configuração basta clicar no botão “Salvar”, exibido na figura acima.

5. Configurar o Cloud Single Sign-On no G Suite

Agora, você deve configurar o Cloud Single Sign-On no G Suite. Para isso é necessário voltar na tela “Set up single sign-on (SSO)” vista anteriormente.

O próximo passo é habilitar o Single Sign-On. Para isso é necessário clicar no checkbox “Setup SSO with third party identity provider” e preencher os campos abaixo:

  • “Sign-in page URL”: deve possuir o valor do campo “SSO REDIRECT URL” presente na página da aplicação que você configurou no E-TRUST Cloud Single Sign-On. Para isso, abra a página de configuração da aplicação G Suite no E-TRUST Cloud SSO, copie e cole na página do G Suite.
  • “Sign-out page URL”: deve possuir o valor do campo “SLO URL” presente na página da aplicação configurada no E-TRUST Cloud Single Sign-On. Proceda como descrito no item anterior para copiar e colar o dado.

Agora, o campo “Verification certificate”, exige um pouco mais de trabalho, conforme explicado a seguir:

  • “Verification certificate”: neste campo, deve ser inserido o certificado do Cloud Single Sign-On. Para isso, utilize um navegador internet para acessar a URL apresentada no campo “Metadata URL” na página da aplicação no Cloud Single Sign-On.

Ao acessar essa URL, será baixado um arquivo com os dados que precisamos. Localize o arquivo baixado e renomeie o arquivo de modo a adicionar a extensão “.xml” no mesmo.  Clique no arquivo para abri-lo e localize o campo “<ds:X509Certificate>”, conforme apresentado na figura abaixo:

Copie o conteúdo do campo “<ds:X509Certificate>”, conforme destacado na figura acima. Após copiar o certificado, há a necessidade de formatá-lo antes de salvá-lo em um arquivo. É possível fazer essa formatação através da ferramenta disponibilizada em https://www.samltool.com/format_x509cert.php.

Após a formatação do certificado, salve o conteúdo em um arquivo e faça o upload do mesmo no campo “Verification certificate”, clicando no botão “UPLOAD”. A figura abaixo apresenta todas as configurações efetuadas conforme detalhado anteriormente:

6. Validar a Configuração do G Suite no E-TRUST Cloud Single Sign-On

Para validar as configurações acesse a URL abaixo em um navegador diferente daquele na qual estava sendo feita a configuração do Cloud Single Sign-On ou use o modo privado do navegador, pois será necessário usar uma conta diferente da conta de administrador do G Suite.

https://accounts.google.com

Insira as credenciais de um usuário que possua acesso ao G Suite de acordo com o domínio configurado. Caso o usuário não tenha permissão de acesso o mesmo não conseguirá finalizar o processo de autenticação.

Após informar as credenciais o usuário será redirecionado ao Cloud Single Sign-On, conforme apresentado na tela abaixo:

Após informar as credenciais válidas o usuário será redirecionado para o G Suite. A figura abaixo apresenta a imagem após a autenticação ter sido feita com sucesso:

 

É importante ressaltar que esse usuário deve estar autorizado a acessar a aplicação.

O valor enviado pelo Cloud Single Sign-On como identificador do usuário é o seu e-mail, neste caso “[email protected]”.

Caso o valor enviado seja diferente, haverá falha na autenticação quando o G Suite fizer a validação. Portanto, em caso de falha, analise primeiro a configuração feita no E-TRUST Cloud Single Sign-On referente ao parâmetro “identificador do usuário a ser enviado” para certificar-se que está conforme este artigo.

Com a configuração concluída, você está apto a passar a usar o E-TRUST Cloud Single Sign-On para autenticar seus usuários no G Suite.

Esperamos que este artigo tenha sido útil para você! A

Para saber mais sobre a solução E-TRUST Cloud Single Sign-On CLIQUE AQUI.
8 perguntas e respostas sobre a LGPD

8 perguntas e respostas sobre a LGPD

por Dino Schwingel | set 2, 2019 | LGPD

A nova Lei Geral de Proteção de Dados (Lei Federal n. 13.709/2018) regulamentará a troca de informações entre pessoas físicas e pessoas jurídicas, sendo um marco na segurança digital.

Neste artigo apresentamos oito perguntas e respostas para profissionais e empresas se posicionarem durante  a adequação da nova regulamentação.

1. Quais as bases da Lei de Proteção de Dados Pessoais?

As leis de proteção de dados pessoais, na qual se inclui a LGPD, estão sendo baseadas na interpretação de que o direito à privacidade dos dados pessoais passa a ser um direito fundamental do cidadão.

A nova lei se baseou não apenas na lei europeia, GDPR, mas sim nos tempos modernos, pois a divulgação de dados pessoais na internet é um fenômeno recente, que não tinha lei específica. Hoje, são divulgados muitos dados pessoais na internet e os usuários/consumidores precisam saber como esses dados são utilizados.

2. Como essa lei impactará o mundo corporativo? E a sociedade em um geral?

A grande transformação que a lei traz é o direito das pessoas sobre a propriedade dos seus dados pessoais. Os titulares dos dados – ou seja, cada um de nós – é que dirão se o dado pode ser usado, como pode ser tratado e se e quando deve ser eliminado. Esta é a grande mudança na sociedade: nunca antes na história as pessoas puderam determinar como os seus dados pessoais seriam usados. Historicamente existiam as leis de privacidade, de sigilo bancário, proteção aos dados de saúde, da ética profissional médica, ética profissional de advogados, mas nunca houve uma clareza de que o dado pessoal pertence à pessoa e que só pode ser utilizado com uma previsão legal. A previsão legal pode ser um contrato que a pessoa assina com uma empresa e aqueles dados pessoais serão usados para a prestação do serviço, ou no caso de serviços online, a previsão legal é o consentimento através do portal. A pessoa consente que o Google ou o Facebook, por exemplo, utilize seus dados para ações próprias.

Obviamente, esse consentimento e as mudanças necessárias não acontecerão da noite para o dia. Será uma transformação gradual em que as pessoas passarão a entender como isso funcionará. E também vai depender de como as empresas cumprirão a lei, tornando mais fácil ou mais difícil para as pessoas exercerem esse direito. Pode ser tão fácil quanto entrar no portal e dizer: “Apaguem os dados que vocês têm sobre mim” ou pode ser tão difícil quanto a enviar uma carta e ficar esperando um tempo longo para obter um retorno. Então a grande mudança na sociedade é o entendimento que as pessoas terão sobre propriedade de seus dados pessoais.

E no mundo corporativo o impacto será diferente, porque influenciará no modelo de negócio. Empresas que baseiam seus modelos de negócio na comercialização de dados pessoais sofrerão um impacto muito forte. Empresas que utilizam dados pessoais apenas para cumprimento de contratos no sentido mais restrito como a assinatura de um jornal ou como a venda de um produto, terão um impacto pequeno, porque é basicamente cumprir a lei, mas isso não afetará o seu modelo de negócio.

3. Como as empresas irão se adequar para solicitar esses consentimentos?

As empresas deverão utilizar soluções e sistemas para automatizar esse processo, não é possível imaginar que esses consentimentos serão obtidos de uma forma manual. O que nós trazemos para o mercado, inclusive como solução, são sistemas de gestão de consentimento em que a empresa integrará os seus sistemas ao nosso, para a gestão de consentimento e facilitando as permissões através de um clique.

4. E os dados que já foram coletados?

Esses dados podem não estar sob a lei, porque eles foram coletados previamente. Mas quando a lei entrar em vigor será necessário obter o consentimento. Imagine assim: você assina o serviço de uma empresa de notícias e até o dia que a lei a lei entrar em vigor, você precisará dar o consentimento para que continue utilizando aquele serviço.

5. E sem esse consentimento os dados já fornecidos serão excluídos?

Não necessariamente. Como mencionado, existe a previsão legal do dado necessário para prestação do serviço. Se você tem um contrato, paga por uma assinatura e aqueles dados pessoais são necessários para que seja enviado um boleto ou cobrança, por lei aquele dado pode ser processado pela a empresa, mas apenas para prestação do serviço. Se aquela empresa utiliza seu nome, seu endereço e vender para uma lista de marketing, por exemplo, isso já necessitará do consentimento, com base na lei.

6. Como ocorrerá a fiscalização do cumprimento dessa lei?

Essa é sem dúvidas a parte mais complexa, a Agência Nacional de Proteção de Dados (ANPD) é o órgão que em tese regula tudo isso no Brasil. Mas diferentemente da GDPR nos países da Europa, aqui existem o Ministério Público e órgãos de proteção ao consumidor. E há um entendimento de que esses órgãos atuarão fortemente na proteção dos dados pessoais.

Já vimos o MP com uma comissão especial de proteção de dados propondo multas para o Banco Inter e para Netshoes, sendo que nos dois casos houve um acordo judicial para pagamento de multa.

Então, no Brasil diferente da Europa, vemos que o MP será um órgão fiscalizador importante. A ANPD pode exigir relatórios a qualquer momento. Havendo uma suspeita ou comunicação de um vazamento de informação, ela notificará a empresa exigindo a confirmação da ocorrência e informações sobre os relatórios de impacto, que descrevem como os dados estão sendo protegidos. A partir do que a empresa responder, poderá ser aberto ou não uma investigação, que pode até envolver o Ministério Público.

7. Quais os tipos de dados serão protegidos?

Serão os dados relativos às pessoas naturais e os dados chamados identificáveis. Se a empresa utiliza um código interno para designar que determinada pessoa é a dona daquele número de CPF, esse código interno é um dado identificável e precisará ser protegido da mesma forma.

As empresas terão o cuidado de identificar dentro dos seus bancos de dados, quais são os dados identificáveis. Um cookie, por exemplo, que é uma técnica utilizada para identificar o navegador de internet quando navegamos no site. Neste caso, o site grava um código no navegador do usuário e esse código passa a identificar aquele computador, ainda não necessariamente àquela pessoa. A partir do momento que a pessoa faz o login no site, por exemplo, está vinculado o código ao login e já é possível identifica-la. Então, aquele código também é um dado identificável e está sob a lei.

8. Como posso proteger os dados coletados?

O primeiro passo para a empresa proteger os dados coletados, é saber quais são os dados pessoais que armazena, coleta e processa. Isto é um inventário de dados que precisa ser feito para identificar todos dados pessoais, dados identificáveis e dados pessoais sensíveis.

A empresa precisará fazer um mapeamento e tratar com níveis de rigor diferentes os dados protegidos pela lei.

Isso será feito através de processos e de sistemas que garantem que somente as pessoas autorizadas terão acesso aos dados pessoais, e garantindo, que estarão protegidos de vazamentos acidentais. Para isso além do inventário é necessário implantar processos e ferramentas de sistemas, como gestão de acessos e identidades (GIA ou IAM na sigla em inglês), além de outros sistemas complementares, de acordo com o tamanho da empresa.

Quer saber como a sua empresa pode se preparar para esse processo de maneira segura e ágil?

Você pode se interessar também pelo artigo: 6 erros mais comuns no processo de adequação à LGPD

12345...»Última »

Materiais

  • Implementação de LGPD
  • GDPR
  • SINGLE SIGN ON
  • IMPLANTAR GESTÃO DE IDENTIDADES
  • LGPD
  • ESTIMATIVA DE ROI
  • LGPD PARA EMPRESAS
  • LGPD PARA EMPRESAS

FALAR COM O ESPECIALISTA

Artigos Mais Lidos

O que é gestão de identidades e acessos? (Parte 1)

O que SSO ou Single Sign-On?

Segurança da Informação – Faça o teste e saiba qual nível de proteção da sua empresa

Estimativa de ROI para Projetos de Gestão de Identidade

Single Sign-On: Quais são os benefícios e por que você deve usar

O que Gestão de Identidade e acessos? (Parte 2)

Categorias

Gestão de Identidade

LGPD

Segurança da Informação

Acessos e SSO

SOC

Inovação

Unidades

São Paulo, SP

R. Peixoto Gomide, 996
6° andar.
CEP: 01409-000, Cerqueira César
(11) 5521-2021
[email protected]

 

Porto Alegre, RS

R. Félix da Cunha, 1009
4° andar.
CEP: 90570-001, Floresta
(51) 2117-1000
[email protected]

 

Miami, FL, US

299 Alhambra Cir #403
Coral Gables, FL 33134
[email protected]

Trabalhe conosco


 

Política de Privacidade

Este site utiliza cookies e scripts externos para melhorar a sua experiência.

Mais informações
Configurações de privacidadeRD StationRedes SociaisGoogle AdsGoogle Analytics

Configurações de privacidade

Este site utiliza cookies e scripts externos para melhorar a sua experiência. A sua esquerda se especifica quais cookies e scripts são utilizados e como eles afetam a sua visita. Você pode alterar a sua configuração a qualquer momento.

Para saber mais sobre a nossa Política de Privacidade, acesse: https://www.e-trust.com.br/politica-de-privacidade

NOTE: These settings will only apply to the browser and device you are currently using.

RD Station

O RD Station Marketing faz uso de cookies no navegador dos visitantes de cada cliente para conseguir monitorar comportamentos e otimizar a experiência de navegação.
Para saber mais sobre os cookies utilizados, acesse: https://ajuda.rdstation.com.br/hc/pt-br/articles/360043909071-Orienta%C3%A7%C3%B5es-sobre-o-uso-de-cookies

Redes Sociais

Cookies de redes sociais podem ser armazenadas no seu navegador enquanto você navega pelo blog, por exemplo, quando você usa o botão de compartilhar um artigo em alguma rede social.

As empresas que geram esses cookies correspondentes as redes sociais que utiliza este blog tem suas próprias políticas de cookies:

Cookie do Linkedin, segundo o disposto em sua Política de cookies.
->https://www.linkedin.com/legal/cookie-policy?trk=hp-cookies

Cookie de Facebook, de acordo com o disposto em sua Política de cookies.
->https://www.facebook.com/policies/cookies/

Cookie do YouTube, de acordo com o disposto em sua Política de cookies.
->https://policies.google.com/technologies/cookies?hl=pt

Cookie de Instagram, segundo o disposto em sua Política de cookies.
->https://help.instagram.com/1896641480634370?ref=ig

Assim, as implicações de privacidade serão em função de cada rede social e dependem da configuração de privacidade que tenha nessa rede.

Em nenhum caso podemos obter informações de identificação pessoal de cookies.

Google Ads

O Google Adsutiliza cookies para exibir anúncios personalizados neste site. Você pode desativar o uso do cookie DART através do anúncio do Google ou acessando diretamente este link https://support.google.com/adsense/troubleshooter/1631343?hl=pt-BR.

Usamos empresas de publicidade de terceiros para veicular anúncios quando visita o nosso website. É possível que estas empresas utilizem a informação que recebem de suas visitas a este e a outros websites (sem incluir o seu nome, endereço, endereço de e-mail ou número de telefone) para lhe fornecer anúncios sobre produtos e serviços que lhe são de interesse.

Ao usar este site, você concorda com o processamento de dados pelo Google na forma e para os fins indicados.

Se quiser saber mais sobre o uso de cookies e sobre as práticas de coleta de informação e os processos de consentimentos, consulte a nossa POLÍTICA DE COOKIES.

Google Analytics

Em particular, este site utiliza o Google Analytics, um serviço de análise web fornecido pela Google, Inc. com sede nos Estados Unidos, com sede em 1600 Amphitheatre Parkway, Mountain View, ca 94043.

Para a prestação destes serviços, o Google utiliza cookies que coletam informações, incluindo o endereço IP do usuário, que será transmitida, tratada e armazenada pelo

Google nos termos fixados na web Google.com. Isso inclui a possível transmissão de tais informações a terceiros por motivos de exigência legal ou quando estes terceiros processem a informação por conta do Google.

Para consultar o tipo de cookie utilizado pelo Google, além do cookie do Google+ e Google Maps na url abaixo:
>>>https://policies.google.com/technologies/types?

Aceitar