Use autenticação de dois fatores para cumprir com o GDPR

Dirk Denayer, 27 de Setembro de 2021

Um estudo publicado recentemente pela ENISA - Agência da União Europeia para Segurança de Redes e Informações, que assessora Estados membros e organizações do setor privado na implementação da legislação da UE, fornece diretrizes sobre como tomar as medidas apropriadas para cumprir o Regulamento Geral sobre a Proteção de Dados (GDPR). A recomendação da ENISA inclui a autenticação de dois fatores e a segurança para aplicativos móveis como medidas técnicas em situações de alto risco.

O GDPR vem se tornando o principal instrumento jurídico na UE e representa um passo significativo em direção à melhoria da privacidade dos cidadãos da UE. Além disso, o GDPR se aplica a qualquer empresa que ofereça bens ou serviços a cidadãos da UE, não importando seu tamanho, localidade ou setor, que lide com dados pessoais, seja como controlador de dados, seja como processador de dados.

Significativamente, e conforme definido no Artigo 32 do GDPR, uma das obrigações principais dessas empresas é a aplicação de medidas técnicas para manter seguros esses dados pessoais. O artigo declara que controladores e processadores de dados “devem implementar medidas organizacionais e técnicas apropriadas para garantir um nível de segurança adequado ao risco”.

As implicações e os custos da não conformidade podem ser substanciais — até 4% do turnover global anual ou € 20 milhões, o valor que for maior. Elas também têm a obrigação de relatar todas as violações dentro de 72 horas para não correrem um risco significativo de danos à marca.

Diretrizes da ENISA para cumprir com o GDPR

O estudo da ENISA sobre como adotar medidas de segurança técnicas e organizacionais para ter conformidade com o GDPR usa uma abordagem baseada em riscos para definir as medidas adequadas em áreas diversas.

Por exemplo, na área de controle e autenticação de acesso, a ENISA recomenda implementar a autenticação de dois fatores em casos de alto risco e em determinados casos de impacto médio, conforme segue: “A autenticação de dois fatores deve ser usada, preferencialmente, para o acesso a sistemas que processem dados pessoais. Os fatores de autenticação podem sem senhas, tokens de segurança, dispositivos USB com um token secreto, biometria etc.”

Na área dos dispositivos móveis, a ENISA menciona que os dispositivos móveis aumentam a exposição a roubos e perdas acidentais. Além disso, eles podem ser usados para fins pessoais. Dessa forma, é preciso cuidado especial para garantir que dados relacionados à empresa não sejam comprometidos. Isso resulta na orientação de que a “autenticação de dois fatores deve ser considerada para o acesso a dispositivos móveis. Os dados pessoais armazenados no dispositivo móvel devem estar criptografados”.

Por fim, quando se trata de desenvolvimento de aplicativos, a ENISA recomenda garantir que a segurança dos dados pessoais seja levada em consideração. Durante o ciclo de vida de desenvolvimento, isso inclui o fato de que “práticas recomendadas, e medidas, estruturas e normas de desenvolvimento seguro atuais e bem reconhecidas devem ser seguidas,” mesmo em casos de menor risco.

Conclusões

Faltando menos de um ano para as provisões do GDPR passarem a ter validade, as organizações estão apenas começando a considerar as mudanças que devem realizar e a aumentar a perspectiva de sua estratégia de negócios e de segurança da informação existente.

Porém, o tempo que leva para a mudança solicitada e a forma como essas mudanças afetarão a organização são imprevisíveis. Por isso, a ENISA recomenda a UE a aumentar a comunicação e a criar a consciência para convencer as organizações a tomarem uma atitude com relação ao GDPR.

Como resultado, estou convencido de que o relatório da ENISA será um bom ponto de partida para que as organizações avaliem se estão prontas para cumprir com o GDPR.

Saiba mais sobre a autenticação de dois fatores, a segurança de aplicativos móveis e a blindagem de aplicativos VASCO com soluções de segurança RASP.

 

Dirk Denayer é gerente de soluções de negócios da OneSpan. Ele ingressou na OneSpan em 2016, com 20 anos de experiência em soluções de software de negócios no nível de vendas, marketing e entrega. Antes de ingressar na OneSpan, ele trabalhou na Exact Software, CODA e Unit4.