Resumo Security+ Capítulo 13 - Conformidade e Proteção de Dados

🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:

GDPR: notificação de violação em até 72 horas
Direitos dos Titulares: acesso, retificação, apagamento, portabilidade
Controlador vs Processador: quem decide vs quem executa
Dados em Repouso vs Trânsito vs Uso: diferentes controles de segurança
DLP: Alert, Block, Quarantine, Tombstone

1️⃣ Conformidade e Consequências de Violações

Conformidade de Segurança

Adesão a padrões, regulamentações e melhores práticas de segurança. Proteção de informações sensíveis e mitigação de riscos.

Impactos da Não Conformidade

💰 Sanções e Penalidades

Multas financeiras (milhões ou bilhões)
Ações legais de indivíduos afetados
Litígios e acordos custosos
Escrutínio regulatório aumentado
Auditorias e investigações obrigatórias

🏢 Consequências Organizacionais

Dano à Reputação: publicidade negativa, perda de confiança
Roubo de Identidade: dados explorados, processos judiciais
Roubo de PI: perda de patentes e segredos comerciais

Violacão de Dados vs Violação de Privacidade

Violacão de Dados	Violacão de Privacidade
Leitura, modificação ou exclusão não autorizada	Perda ou divulgação de dados pessoais e sensíveis (PII)
Perda de dados corporativos e PI	Relacionada a informações pessoalmente identificáveis

Requisitos de Notificação

Regulador: autoridade de proteção de dados
Aplicação da Lei: quando aplicável
Indivíduos Afetados: notificação direta
Terceiros: empresas afetadas
Público: através de mídia ou redes sociais

⚠️ PRAZOS CRÍTICOS:

GDPR: notificação dentro de 72 horas
HIPAA: notificar indivíduos, Departamento de Saúde e mídia (se >500 pessoas)

Divulgação Deve Incluir

Descrição das informações violadas
Ponto de contato principal
Consequências prováveis
Medidas tomadas para mitigar

2️⃣ Classificação de Informações

Dados Regulamentados

Informações financeiras, registros de saúde, números de seguridade social, detalhes de cartões
HIPAA: dados de saúde
PCI DSS: informações de cartões
GDPR/CCPA: dados pessoais

Segredos Comerciais

Fórmulas, processos, métodos, listas de clientes, informações de preços
Proteção: NDAs, restrições de acesso, ações legais

Dados Legais e Financeiros

Legais: contratos, acordos, registros judiciais, PI
Financeiros: demonstrações, balanços, auditorias, registros fiscais

Esquemas de Classificação

Baseado em Confidencialidade	Baseado em Tipo de Ativo
Público: sem restrições	Proprietário: PI da empresa
Confidencial: apenas aprovados	Privado/Pessoal: PII
Crítico: visualização restrita	Sensível: informações que podem prejudicar
	Restrito: controles rigorosos

3️⃣ Privacidade e Responsabilidade de Dados

Dados de Privacidade vs Dados Confidenciais

Aspecto	Dados Confidenciais	Dados de Privacidade
Escopo	Informação confidencial da organização	Especificamente informações pessoais
Foco	Proteção de informações proprietárias	Preservação de direitos de privacidade
Direitos	Não concedem direitos específicos	Acesso, correção, exclusão
Consentimento	Pode não requerer consentimento	Geralmente requer consentimento explícito

Papéis e Responsabilidades

🎯 Controlador

Determina propósitos e meios
Autoridade de tomada de decisão
Responsável por conformidade
Gerencia solicitações de titulares

⚙️ Processador

Processa em nome do controlador
Sem poder de decisão independente
Implementa medidas de segurança
Ex: provedores cloud, folha de pagamento

👤 Titular

Indivíduo cujos dados são processados
Possui direitos sob leis de proteção

Direitos dos Titulares

Direito	Descrição
Acesso	Solicitar acesso a seus dados
Retificação	Corrigir dados imprecisos
Apagamento	Excluir dados sob certas circunstâncias
Restrição	Limitar processamento
Portabilidade	Receber dados em formato legível
Objeção	Objetar ao processamento

⚠️ Direito ao Esquecimento (GDPR): Direito de solicitar apagamento de dados pessoais quando não mais necessários, consentimento retirado, ou sem fundamentos legítimos.

4️⃣ Destruição de Dados

Descomissionamento

Sanitização de dados (apagamento seguro)
Restauração para configurações de fábrica
Eliminação de configurações residuais
Atualização de registros de inventário
Conformidade com padrões de segurança

Métodos de Sanitização

Método	Descrição
Exclusão Simples	Remove apenas referências, dados recuperáveis
Zero Filling	Define cada bit como zero (pode deixar padrões)
Sobrescrita Múltipla	1ª passagem: zeros, 2ª: uns, 3ª: aleatório
Software de Limpeza	Active KillDisk, certificados de apagamento

Considerações Especiais

HDDs: sobrescrita eficaz
SSDs: células podem reter dados, destruição física recomendada
Impressoras multifuncionais: sanitizar trabalhos, credenciais, reset de fábrica

5️⃣ Políticas de Pessoal

Três Fases de Políticas de RH

1️⃣ Recrutamento

Triagem de candidatos
Verificações de antecedentes

2️⃣ Operação

Comunicação de políticas
Treinamento e conscientização

3️⃣ Rescisão

Desabilitar contas
Recuperar ativos

Onboarding (Integração)

Criação de Conta: privilégios apropriados, credenciais seguras
Transmissão Segura: senhas iniciais, smart cards
Alocação de Ativos: dispositivos, BYOD
Treinamento: conscientização de segurança

Offboarding (Desligamento)

Gerenciamento de Conta: desabilitar privilégios, garantir acesso a ativos
Ativos da Empresa: recuperar dispositivos, chaves, mídias
Ativos Pessoais: limpar dados corporativos
Mudanças Imediatas: credenciais para acesso crítico

6️⃣ Treinamento e Conscientização

Campanhas de Phishing

Ataques simulados para conscientização
Aumenta consciência de ameaças
Mitiga riscos de engenharia social
Promove resposta a incidentes

Ciclo de Vida do Treinamento

Avaliação: necessidades e riscos
Planejamento: objetivos, tópicos, métodos
Desenvolvimento: materiais envolventes
Entrega: presencial ou CBT
Avaliação: eficácia, feedback
Reforço: recorrente, lembretes
Monitoramento: ajustes contínuos

Métodos de Medição

Método	Descrição
Avaliações e Quizzes	Pré e pós-treinamento
Relatório de Incidentes	Impacto na detecção
Simulações de Phishing	Reconhecimento e resposta
Observações	Feedback de gerentes
Métricas	Incidentes, conformidade, senhas

7️⃣ Proteção de Dados

Estados de Dados

💾 Em Repouso (At Rest)

Armazenados em mídia persistente: bancos de dados, arquivos, configurações

Proteção: criptografia de disco, banco de dados, ACLs

📡 Em Trânsito (In Motion)

Transmitidos pela rede: tráfego web, acesso remoto

Proteção: TLS, IPSec, chaves efêmeras

🧠 Em Uso (In Processing)

Memória volátil: RAM, registros CPU, cache

Proteção: TEE, Intel SGX (criptografia em memória)

DLP (Data Loss Prevention)

Componentes

Servidor de Política: regras, incidentes, relatórios
Agentes de Endpoint: aplicam política em clientes
Agentes de Rede: monitoram comunicações

Mecanismos de Remediação

Alerta Apenas: cópia permitida, incidente registrado
Bloquear: usuário impedido de copiar
Quarentena: acesso negado
Lápide: arquivo substituído por descrição

8️⃣ Soberania de Dados e Considerações Geográficas

Soberania de Dados

Jurisdição impede ou restringe processamento/armazenamento
Dados devem residir fisicamente dentro da jurisdição
GDPR: proteções estendidas a cidadãos da UE
Privacy Shield (EUA): auto-certificação de proteções

Considerações Geográficas

📍 Locais de Armazenamento

Seleção de datacenters dentro de limites legais

🌍 Acesso Múltiplo

Controles baseados em geolocalização para validar acesso

9️⃣ Políticas de Retenção de Dados

Definição

Define como informações são mantidas e por quanto tempo, baseado em requisitos legais e de negócio.

Benefícios

Proteção Legal: contra acusações de destruição de evidências
Redução de Custos: discovery mais barato, menos material antigo
Redução de Exposição: menos informações que poderiam expor a litígio
Requisitos de Armazenamento: menor necessidade de hardware

Melhores Práticas

Toda informação destruída antes do descarte
Etiquetas de classificação para política específica
Automação com ferramentas de software

💡 DICAS FINAIS PARA PROVA:

GDPR: notificação 72h, direito ao esquecimento
Controlador: decide | Processador: executa
Classificação: Público, Confidencial, Crítico, Proprietário, Restrito
Dados em Repouso: criptografia de disco | Trânsito: TLS | Uso: TEE/SGX
DLP: Alert, Block, Quarantine, Tombstone
Destruição: exclusão simples não basta, usar sobrescrita ou destruição física
Onboarding: criar conta, alocar ativos, treinar
Offboarding: desabilitar conta, recuperar ativos
Phishing: treinamento contínuo e simulações
Soberania: dados devem ficar dentro da jurisdição

📘 Capítulo 13: Conformidade e Proteção de Dados