📖 Resumo - Capítulo 13
- Data Classification: Public, Internal, Confidential, Restricted
- GDPR (UE): Consentimento, right to be forgotten, data portability
- LGPD (Brasil): Baseada no GDPR, multas até 2% do faturamento
- HIPAA: Proteção de dados de saúde (EUA)
- PCI DSS: Proteção de dados de cartões de pagamento
- Data Controller vs Data Processor: Controlador define; Processador executa
- Data Subject (Titular dos Dados): Pessoa a quem os dados pertencem
- Right to be Forgotten (Direito ao Esquecimento): Solicitar exclusão de dados
- Data Sovereignty (Soberania de Dados): Dados sujeitos às leis do país onde estão armazenados
- Data Minimization (Minimização de Dados): Coletar apenas o necessário
- Data Destruction: Shredding (físico), Wiping (sobrescrita), Degaussing (magnético)
- SBOM (Software Bill of Materials): Lista de componentes de software
- PoLP (Princípio do Menor Privilégio): Apenas o mínimo necessário
- SoD (Separação de Funções): Dividir tarefas críticas
1️⃣ Classificação de Dados
| Nível | Descrição | Exemplos |
|---|---|---|
| Public (Público) | Informações públicas, sem impacto se divulgadas | Website, materiais de marketing, press releases |
| Internal (Interno) | Uso interno da organização. Impacto moderado se divulgado | Manuais, políticas internas, organogramas |
| Confidential (Confidencial) | Dados sensíveis. Impacto significativo se divulgado | PII (dados pessoais), informações financeiras, dados de saúde |
| Restricted (Restrito) | Altamente sensível. Impacto máximo se divulgado | Segredos comerciais, propriedade intelectual, planos de fusão |
Consequências de Violações de Dados
- Multas regulatórias: GDPR (até €20M ou 4% do faturamento global), LGPD (até 2% do faturamento)
- Perda de reputação: Confiança dos clientes e parceiros abalada
- Ações judiciais: Processos e indenizações
- Perda de negócios: Clientes migram para concorrentes
- Identity theft (Roubo de identidade): Dados pessoais usados para fraudes
2️⃣ Regulamentações e Compliance
| Regulamentação | Descrição |
|---|---|
| GDPR | General Data Protection Regulation. União Europeia. Proteção de dados pessoais. Direitos: consentimento, right to be forgotten, portabilidade de dados. |
| LGPD | Lei Geral de Proteção de Dados. Brasil. Baseada no GDPR. Fiscalizada pela ANPD. Multas de até 2% do faturamento (limitado a R$50 milhões por infração). |
| HIPAA | Health Insurance Portability and Accountability Act. EUA. Proteção de dados de saúde (PHI). Regras de privacidade e segurança. |
| PCI DSS | Payment Card Industry Data Security Standard. Proteção de dados de cartões de crédito. Requisitos para comerciantes e processadores. |
| CCPA | California Consumer Privacy Act. Proteção de dados de consumidores na Califórnia. Direitos de acesso, exclusão e opt-out. |
| SOX | Sarbanes-Oxley Act. EUA. Governança corporativa e controles financeiros para empresas públicas. |
3️⃣ Papéis e Responsabilidades (GDPR)
Determina os propósitos, condições e meios de processamento de dados pessoais. Responsável por garantir conformidade.
Processa dados pessoais em nome do controller. Ex: provedores cloud, empresas de folha de pagamento.
Pessoa física a quem os dados pessoais se referem. Tem direitos de acesso, correção, exclusão, portabilidade.
Direitos dos Titulares (GDPR)
- Direito de acesso: Saber quais dados são processados
- Direito de retificação: Corrigir dados incorretos
- Direito ao esquecimento (right to be forgotten): Solicitar exclusão de dados
- Direito à portabilidade: Receber dados em formato estruturado
- Direito de retirar consentimento: Revogar autorização a qualquer momento
4️⃣ Data Destruction (Destruição de Dados)
Destruição física de papel ou discos. Cross-cut shredder (tritura em partículas) é mais seguro que strip-cut.
Sobrescrever dados em disco com padrões de bits. 1 pass geralmente suficiente. DoD 5220.22-M para alta segurança.
Campo magnético forte para apagar mídias magnéticas (HDDs, fitas). Torna a mídia inutilizável. Eficaz para SSDs.
Queima controlada de mídias. Destruição completa, mas requer instalações especiais.
Certificate of Destruction (Certificado de Destruição)
Documentação que atesta que dados foram seguramente destruídos em conformidade com padrões, geralmente emitido por terceiros. Importante para compliance e auditorias.
5️⃣ Data Sovereignty e Geolocalização
Data Sovereignty (Soberania de Dados)
Jurisdição que impede ou restringe o processamento e armazenamento de dados em sistemas que não residem fisicamente dentro daquela jurisdição. Ex: dados de cidadãos da UE devem permanecer na UE (GDPR).
Geolocation (Geolocalização)
- Restrições de localização: Dados devem permanecer em fronteiras específicas
- Impacto em investigações forenses: Restrições de acesso a dados por jurisdição
- Cloud providers: Permitem escolher datacenters em regiões específicas
6️⃣ Data Retention Policies (Políticas de Retenção)
- Define por quanto tempo os dados devem ser mantidos (base legal e de negócio)
- Procedimentos de arquivamento e destruição quando o prazo expira
- Reduz custos de discovery em ações judiciais
- Minimiza exposição em litígios
Boas Práticas
- Excluir emails após 90 dias
- Manter informações fiscais por 7 anos
- Manter registros de funcionários por 4 anos após saída
- Manter patentes por 25 anos
7️⃣ Personnel Policies (Políticas de Pessoal)
Políticas Pré-Contratação
- Background Check (Verificação de Antecedentes): Verificação criminal, histórico profissional, educação, crédito (para cargos financeiros).
- NDA (Non-Disclosure Agreement): Acordo de confidencialidade para proteger segredos comerciais e PI. Tem força legal.
Políticas Durante o Contrato
- AUP (Acceptable Use Policy): Define uso aceitável de recursos corporativos (email, internet, dispositivos). Inclui monitoramento.
- Security Training: Treinamento contínuo de conscientização em segurança (phishing, engenharia social).
- Clean Desk Policy: Área de trabalho livre de documentos sensíveis.
Ciclo de Vida do Funcionário
| Fase | Ações |
|---|---|
| Onboarding (Admissão) | Concessão gradual de acessos (least privilege), treinamento de segurança, assinatura de políticas (AUP, NDA). |
| Role Changes (Mudança de Função) | Revisão de privilégios, remoção de acessos antigos, novo treinamento se necessário. |
| Offboarding (Desligamento) | Revogação imediata de todos os acessos, recolhimento de ativos (laptop, badge), exit interview, wipe de dados corporativos em dispositivos pessoais. |
8️⃣ Princípios Fundamentais
🔑 PoLP
Principle of Least Privilege (Menor Privilégio)
Usuários recebem apenas as permissões mínimas necessárias para realizar seu trabalho. Minimiza o risco de insider threats e danos de contas comprometidas.
👥 SoD
Separation of Duties (Segregação de Funções)
Divide tarefas críticas entre múltiplas pessoas para prevenir fraudes e erros. Requer conluio para burlar.
Data Minimization (Minimização de Dados)
Princípio de que organizações devem coletar e processar apenas os dados estritamente necessários para a finalidade específica, nada além disso.
Informed Consent (Consentimento Informado)
Dados pessoais só podem ser coletados e processados com consentimento claro do indivíduo, descrito em linguagem simples, não em jargão legal.
9️⃣ SBOM (Software Bill of Materials)
Lista completa de todos os componentes de um software: bibliotecas, dependências open source e de terceiros, com suas versões. Essencial para gerenciar riscos da cadeia de suprimentos de software.
🎯 DICAS FINAIS PARA PROVA:
- Data Classification: Public (público) → Internal (interno) → Confidential (confidencial) → Restricted (restrito)
- GDPR (UE) | LGPD (Brasil) | HIPAA (saúde) | PCI DSS (cartões) | CCPA (Califórnia)
- Data Controller: define o processamento | Data Processor: executa o processamento
- Data Subject Rights: acesso, retificação, exclusão, portabilidade, retirar consentimento
- Data Destruction: Shredding (físico), Wiping (sobrescrita), Degaussing (magnético)
- Certificate of Destruction: documentação da destruição segura
- Data Sovereignty: dados sujeitos às leis do país onde estão
- Data Minimization: coletar apenas o necessário
- Informed Consent: consentimento claro e em linguagem simples
- SBOM: lista de componentes de software
- Onboarding: dar acesso | Offboarding: remover acesso
- PoLP: menor privilégio | SoD: segregação de funções
- NDA: confidencialidade | AUP: uso aceitável