Perguntas e respostas sobre o GDPR

Em um webinar sobre o novo regulamento da UE GDPR (General Data Protection Regulation), regulamento que afeta todas as empresas e instituições públicas da União Europeia, bem como empresas estrangeiras que operam na EU, a empresa Safetica recebeu e respondeu diversas perguntas sobre o tema.

Dada a semelhança entre a GDPR e a LGPD Lei Geral de Proteção de Dados, podemos analisar o questionário e adequar ao cenário brasileiro.

consulte Mais informação

Como a LGPD poderá afetar o seu negócio

É fato que a Lei Geral de Proteção de Dados (LGPD) trará mudanças significativas ao nosso modo de tratar a segurança dos dados, bem como é fato que isso gerará um impacto na forma como tratamos esses dados. Diversas medidas precisarão ser tomadas para melhorar a segurança e o tratamento dos dados pessoais, seja pela implementação de normas como a ISO 27001 ou PCI-DSS, ou ainda, pela criação de políticas internas e gestão.
Com isso é possível identificar prontamente alguns pontos de grande atenção em relação às mudanças na vida das organizações, esses pontos certamente irão gerar algum tipo de impacto para as empresas independentemente do porte. Entre os impactos que deverão afetar as empresas estão: a forma como coletamos os dados, custos em recursos humanos, custos em conformidade, gestão de dados, relação com o cliente, entre outros.

consulte Mais informação

Usando computação forense para investigar roubo de dados por funcionários

Funcionários que saem têm um senso de propriedade sobre os dados que eles copiam. A propriedade intelectual comumente roubada inclui listas de clientes, fórmulas secretas, código-fonte, documentos estratégicos e outros segredos comerciais. As informações costumam ser usadas contra a organização quando o ex-funcionário vai trabalhar para um concorrente ou decide abrir uma nova empresa.
Quando surgem suspeitas de roubo de dados por funcionários, é importante contratar um perito em computação forense para realizar uma aquisição do material para análise, a fim de preservar os dados eletrônicos e descobrir evidências importantes.

consulte Mais informação

RIPD e DPIA, o que são e quando usar

Para a LGPD o que diz respeito ao Relatório de Impacto à Proteção aos Dados (RIPD), de acordo com o inciso XVII do artigo 5º, que faz alusão a esse relatório como sendo a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco”.
Tanto a DPIA (Data Protection Impact Assessment) na GDPR ou RIPD (Relatório de Impacto à Proteção de Dados) da LGPD, podemos pensar em soluções iniciais, já que as leis são muito próximas visto que a LGPD foi baseada na GDPR. Portanto, para iniciar um Relatório de Impacto à Proteção de Dados ou RIPD, devemos ter em mente alguns pontos importantes como, catalogar todo o tipo de tratamento de dados que a empresa realiza, verificar quais tratamentos representam risco aos titulares dos dados.

consulte Mais informação

Pentest PCI, LGPD e GDPR – GALAXPAY

[parte do resultado de um pentest] #csrf #xss #sqlinjection
Os testes de intrusão podem descobrir vulnerabilidades ou possíveis violações antes de qualquer outra pessoa, o que acaba lhe poupando a dor da divulgação de violações.
O GDPR criará a razão perfeita para fazer testes regulares de intrusão, mas, quando se trata de testes de intrusão, é útil para qualquer equipe. A maioria dos profissionais de segurança pode se relacionar com a placa completa que os outros no setor têm. Além de apenas identificar vulnerabilidades antes da exploração no mundo real, os testes de intrusão ajudam as equipes a priorizar as correções de segurança com base na gravidade e no impacto de diferentes descobertas.
Além de quaisquer requisitos específicos, o GDPR tem severas penalidades por uma violação de segurança, com organizações que enfrentam penalidades de até 20 milhões de euros, ou 4 por cento do faturamento anual global, o que for maior. Com impactos financeiros, controles proativos pesados e completos são essenciais.
Da mesma forma a LGPD (Lei Geral de Proteção de Dados), exige certos cuidados e relatórios de conformidade. O Pentest (teste de intrusão) poderá fornecer provas antecipadas para as empresas, bem como aumentar significativamente a segurança de seu ambiente.
Uma empresa que declare que possui testes de intrusão sendo executados regularmente, certamente irá ter um grande diferencial e sair na frente, passando mais confiança aos seus clientes, colaboradores, investidores, etc…

No final de 2018, uma empresa online, chamada GALAXPAY, que trata pagamentos recorrentes e outras operações financeiras, entrou em contato para que fosse executado um Pentest, para validar a conformidade com o PCI. Sendo assim, a empresa além de estar em conformidade com o PCI também estará um passo a frente nas questões de segurança, incluindo também, os requisitos mínimos para a LGPD.

O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) foi desenvolvido para incentivar e aprimorar a segurança dos dados do titular do cartão e facilitar a ampla adoção de medidas consistentes de segurança de dados globalmente. O PCI DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados do portador do cartão. O PCI DSS aplica-se a todas as entidades envolvidas no processamento de cartões de pagamento, incluindo comerciantes, processadores, adquirentes, emissores e provedores de serviços, bem como todas as outras entidades que armazenam, processam ou transmitem dados de titulares de cartão (CHD) e/ou dados de autenticação confidenciais (SAD).

consulte Mais informação

Visualize aplicativos móveis em um ambiente virtual com o Magnet App Simulator

Uma ferramenta emocionante e gratuita acaba de ser lançada para dar visualizações aos aplicativos Android encontrados durante sua investigação. Chamado de Magnet App Simulator, ele permite que o examinador carregue dados de aplicativos de dispositivos Android no seu caso em um ambiente virtual, permitindo que você visualize e interaja com os dados como o usuário teria visto em seus próprios dispositivos.

Use essa ferramenta para ter uma ideia de como seu suspeito estava interagindo com seus dados ou para apresentar as evidências a jurados e interessados ​​em uma aparência móvel familiar. Esta ferramenta funciona completamente fora do nosso pacote de software principal, Magnet AXIOM, para que você possa testá-la hoje com a saída de dados de qualquer ferramenta de revisão forense.

consulte Mais informação

Proteção contra Ransomware

O ransomware é comumente oferecido por meio de e-mails de phishing ou por meio de “downloads automáticos”. Os e-mails de phishing geralmente são enviados de uma organização legítima ou conhecidos pela vítima e induzem o usuário a clicar em um link malicioso ou abrir um arquivo malicioso anexo. Um “drive-by download” é um programa que é automaticamente baixado da internet sem o consentimento do usuário ou, muitas vezes, sem o seu conhecimento. É possível que o código malicioso seja executado após o download, sem interação do usuário. Depois que o código malicioso é executado, o computador é infectado pelo ransomware.

consulte Mais informação
Carregando
 

Assine nossa Newsletter

Informe seu e-mail para receber o melhor conteúdo em primeira mão.

 

You have Successfully Subscribed!