8161
Data Privacy Compliance: a melhor solução para se adequar a LGPD

Pensando nas mudanças e nos preceitos da Lei Geral de Proteção de Dados para a segurança de dados, a Kyros desenvolveu o Data Privacy Compliance – DPC. Essa solução busca adequar o acesso às bases de dados dos clientes à LGPD, para proteger e resguardar as empresas de penalidades. Além de centralizar o acesso às informações, o Data Privacy Compliance garantirá que seja consultado apenas o que for necessário para determinada ação. Dessa forma, é possível controlar e registrar qual informação é acessada e por quem, facilitando a identificação dos responsáveis por possíveis vazamentos ou uso indevido de dados pessoais.

A Kyros desenvolveu ainda uma biblioteca para restringir o acesso aos dados de titulares por meio de sistemas legados. A solução também possui um Portal de Consentimento, que permite ao titular fornecer ou revogar consentimentos de usos de dados. Além disso, via API, os sistemas legados podem consultar os consentimentos de titulares e, assim, aplicar as devidas ações conforme essas informações.

Você poderá conferir a seguir as funcionalidades do Data Privacy Compliance e como ele auxiliará a adequar o dia-a-dia das empresas a essa nova lei de acesso aos dados sensíveis com conformidade e com segurança.

DPC Standard

Quanto à autenticação e autorização, o DPC Standard utiliza a estrutura de usuários e senhas de rede da organização. Grupos de usuários determinam o que um usuário poderá fazer e os dados que poderá acessar. Assim é possível ter perfis para os encarregados de dados (DPO) e para operadores de dados distintos, como Operador de TI, Operador de Marketing.

Nas configurações é possível selecionar o acesso às bases com os dados que o controlador ou DPO precisa regular. Pode-se também, ajustar thresholds limitando, por exemplo, a quantidade de dados que um operador poderá consultar, ou seja, mitigando vazamentos em massa.

Na extração de dados e atendimento de chamados os operadores de dados podem realizar consultas e tratamentos de dados em um ambiente centralizado, seguro e amigável. Com a função de autocompletar o operador tem de antemão a relação dos dados que precisa para suas atividades. O operador não precisa enviar os dados em arquivos para outros operadores; basta enviar o link de acesso. Os operadores verão os dados no próprio DPC, conforme as regras do DPO. Caso a organização possua um sistema de chamados, é possível associá-los às consultas e tratamentos de dados no DPC. Assim, é possível ter o histórico ou a origem da atividade.

Aprovações para extração de dados podem não fazer parte do dia-a-dia de um operador caso não precise acessar um dado específico. Mas, em situações excepcionais, ele pode solicitar esse acesso pontual para o controlador ou DPO.

O mapeamento de cada dado da organização é uma necessidade básica para o DPO. E dados como CPF podem estar espalhados, o DPC permite, manual ou automaticamente, agrupamento e classificação dos dados em pessoal e pessoal sensível. Com o mapa de dados em mãos, o DPO pode aplicar facilmente restrições de acesso e definir anonimização que serão aplicadas nos resultados das extrações de dados pelos operadores.

Outra necessidade básica do DPO são os relatórios de auditoria de acesso a dados, para acompanhamento, monitoramento e eventualmente para respostas às solicitações da Autoridade Nacional de Proteção de Dados ou de titulares de dados.

DPC Consentimento

O Portal de Consentimento é um site independente, que pode facilmente ser incorporado ao portal web de sua empresa. É onde os titulares de dados (clientes, funcionários, parceiros ou fornecedores) podem ter acesso às políticas de tratamento de dados da empresa. E, principalmente, onde os titulares de dados podem fornecer ou revogar consentimentos para o tratamento ou utilização de seus dados. Pode ser integrado aos sistemas legados de modo a consultar dados e disponibilizá-los aos titulares, o que é um direito do titular. Ainda, possui uma área para solicitação dos titulares, uma forma do titular contatar o controlador ou DPO.

Na interface administrativa (Backoffice) as políticas de tratamento de dados podem ser inseridas e atualizadas através deste site de acesso interno. No qual os itens de consentimentos para os titulares também podem ser inseridos e mantidos. É Importante ressaltar que, tanto as políticas, quanto os itens de consentimento, são específicos por tipo de titular. Para os clientes, configura-se um conjunto de políticas e de itens de consentimento; para os funcionários, outro. Por essa funcionalidade é possível receber as solicitações dos titulares.

Interface de Programação de Aplicativos (API, da sigla em inglês) para Consentimentos. Por exemplo, tem-se um sistema que envia e-mails de promoções. Se um cliente negar este recebimento, adequando o legado a empresa não enviará esse tipo de mensagem para ele (lembrando que esse é um direito do titular).

DPC Bases de Dados Anonimizadas

O Gerador de bases de dados anonimizadas de acordo com as regras do DPO, mesmo que a organização tenha todos os cuidados ao proteger os dados de produção, se dados de testes, por exemplo, forem cópias de produção, seus titulares ainda estarão expostos. Por isso, o DPC permite a geração de bases de dados anonimizadas com regras do DPO. Visto que, gerar uma base de dados inteira anonimizada pode ser desnecessário, o DPC permite a aplicação de filtros e seleção de apenas parte do conteúdo da base de origem.

DPC API Auditoria

A API para ser integrada aos sistemas, caso a empresa possua sistemas que desenvolveu ou permissão de utilização do código, poderá ser incorporado a biblioteca. Ela aplica as regras de segurança do DPO no acesso aos dados pelo sistema, registrando as operações e impedindo acessos indevidos.

De maneira simplificada, o DPC vai além da LGPD em relação a segurança de dados que as empresas precisam. Pois cuida de vários pontos, como: o tratamento de dados, o armazenamento, a coleta, a padronização, a pesquisa, a modificação, a melhoria, o mascaramento e a exclusão.

Ainda, possui integração com sistemas de demandas: Pérgamo (também da Kyros), Jira e Cervello. A segurança é feita pela autenticação e autorização de usuários de rede (AD), os registros de acessos e operações realizadas no sistema, as operações disponíveis conforme os grupos dos usuários. Está em conformidade com a LGPD, com o controle de quem e como tem acesso aos dados, utilização de técnicas de anonimização e mascaramento de dados. Os dados extraídos da produção são criptografados. Gera bases de dados anonimizadas para serem utilizadas em ambientes de desenvolvimento e homologação. Além de permitir auditoria das operações realizadas sobre os dados acessados de sua base de produção, incluindo a forma como os dados foram visualizados.

A Kyros desenvolveu ainda uma biblioteca para restringir o acesso aos dados de titulares por meio de sistemas legados. A solução também possui um Portal de Consentimento, que permite ao titular fornecer ou revogar consentimentos de usos de dados. Além disso, via API, os sistemas legados podem consultar os consentimentos de titulares e, assim, aplicar as devidas ações conforme essas informações.

Você poderá conferir a seguir as funcionalidades do Data Privacy Compliance e como ele auxiliará a adequar o dia-a-dia das empresas a essa nova lei de acesso aos dados sensíveis com conformidade e com segurança.

DPC Standard

Quanto à autenticação e autorização, o DPC Standard utiliza a estrutura de usuários e senhas de rede da organização. Grupos de usuários determinam o que um usuário poderá fazer e os dados que poderá acessar. Assim é possível ter perfis para os encarregados de dados (DPO) e para operadores de dados distintos, como Operador de TI, Operador de Marketing.

Nas configurações é possível selecionar o acesso às bases com os dados que o controlador ou DPO precisa regular. Pode-se também, ajustar thresholds limitando, por exemplo, a quantidade de dados que um operador poderá consultar, ou seja, mitigando vazamentos em massa.

Na extração de dados e atendimento de chamados os operadores de dados podem realizar consultas e tratamentos de dados em um ambiente centralizado, seguro e amigável. Com a função de autocompletar o operador tem de antemão a relação dos dados que precisa para suas atividades. O operador não precisa enviar os dados em arquivos para outros operadores; basta enviar o link de acesso. Os operadores verão os dados no próprio DPC, conforme as regras do DPO. Caso a organização possua um sistema de chamados, é possível associá-los às consultas e tratamentos de dados no DPC. Assim, é possível ter o histórico ou a origem da atividade.

Aprovações para extração de dados podem não fazer parte do dia-a-dia de um operador caso não precise acessar um dado específico. Mas, em situações excepcionais, ele pode solicitar esse acesso pontual para o controlador ou DPO.

O mapeamento de cada dado da organização é uma necessidade básica para o DPO. E dados como CPF podem estar espalhados, o DPC permite, manual ou automaticamente, agrupamento e classificação dos dados em pessoal e pessoal sensível. Com o mapa de dados em mãos, o DPO pode aplicar facilmente restrições de acesso e definir anonimização que serão aplicadas nos resultados das extrações de dados pelos operadores.

Outra necessidade básica do DPO são os relatórios de auditoria de acesso a dados, para acompanhamento, monitoramento e eventualmente para respostas às solicitações da Autoridade Nacional de Proteção de Dados ou de titulares de dados.

DPC Consentimento

O Portal de Consentimento é um Site independente, que pode facilmente ser incorporado ao portal web de sua empresa. É onde os titulares de dados (clientes, funcionários, parceiros ou fornecedores) podem ter acesso às políticas de tratamento de dados da empresa. E, principalmente, onde os titulares de dados podem fornecer ou revogar consentimentos para o tratamento ou utilização de seus dados. Pode ser integrado aos sistemas legados de modo a consultar dados e disponibilizá-los aos titulares, o que é um direito do titular. Ainda, possui uma área para solicitação dos titulares, uma forma do titular contatar o controlador ou DPO.

Na interface administrativa (Backoffice) as políticas de tratamento de dados podem ser inseridas e atualizadas através deste site de acesso interno. No qual os itens de consentimentos para os titulares também podem ser inseridos e mantidos. É Importante ressaltar que, tanto as políticas, quanto os itens de consentimento, são específicos por tipo de titular. Para os clientes, configura-se um conjunto de políticas e de itens de consentimento; para os funcionários, outro. Por essa funcionalidade é possível receber as solicitações dos titulares.

Interface de Programação de Aplicativos (API, da sigla em inglês) para Consentimentos. Por exemplo, tem-se um sistema que envia e-mails de promoções. Se um cliente negar este recebimento, adequando o legado a empresa não enviará esse tipo de mensagem para ele (lembrando que esse é um direito do titular).

DPC Bases de Dados Anonimizadas

O Gerador de bases de dados anonimizadas de acordo com as regras do DPO, mesmo que a organização tenha todos os cuidados ao proteger os dados de produção, se dados de testes, por exemplo, forem cópias de produção, seus titulares ainda estarão expostos. Por isso, o DPC permite a geração de bases de dados anonimizadas com regras do DPO. Visto que, gerar uma base de dados inteira anonimizada pode ser desnecessário, o DPC permite a aplicação de filtros e seleção de apenas parte do conteúdo da base de origem.

DPC API Auditoria

A API para ser integrada aos sistemas, caso a empresa possua sistemas que desenvolveu ou permissão de utilização do código, poderá ser incorporado a biblioteca. Ela aplica as regras de segurança do DPO no acesso aos dados pelo sistema, registrando as operações e impedindo acessos indevidos.

De maneira simplificada, o DPC vai além da LGPD em relação a segurança de dados que as empresas precisam. Pois cuida de vários pontos, como: o tratamento de dados, o armazenamento, a coleta, a padronização, a pesquisa, a modificação, a melhoria, o mascaramento e a exclusão.

Ainda, o DPC poderá ser integrado com sistemas de demandas tais como o Jira. A segurança é feita pela autenticação e autorização de usuários de rede (AD), os registros de acessos e operações realizadas no sistema, as operações disponíveis conforme os grupos dos usuários. Está em conformidade com a LGPD, com o controle de quem e como tem acesso aos dados, utilização de técnicas de anonimização e mascaramento de dados. O DPC gera bases de dados anonimizadas para serem utilizadas em ambientes de desenvolvimento e homologação. Além de permitir auditoria das operações realizadas sobre os dados acessados de sua base de produção, incluindo a forma como os dados foram visualizados.

Postado por Kyros Tecnologia em 12 janeiro, 2021


Comentários