O Banco Central do Brasil informou ontem (19) a ocorrência de mais um incidente de segurança com dados pessoais vinculados a chaves Pix. Desta vez, as informações expostas estavam sob a guarda e a responsabilidade da SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA, a Shopee. Como em outras das 14 vezes em que casos semelhantes foram relatados pelo órgão, a notícia veio acompanhada da tentativa de tranquilização pelo fato de que os dados em questão não trouxeram prejuízos aos consumidores uma vez que não são relacionados a processos que afetam a movimentação de dinheiro. Apesar disso, especialistas alertam que este tipo de abordagem pode levar a uma diminuição do entendimento sobre a gravidade do assunto e permitir que as pessoas caiam em golpes futuros com o uso destes dados.
A sócia da DeServ Academy, Bruna Fabiane da Silva, eleita uma das 50 Melhores Mulheres em Segurança Cibernética das Américas pela WOMCY (LATAM Women in Cybersecurity, afirma que mesmo as informações expostas sendo apenas de natureza cadastral, como nome, CPF, instituição de relacionamento, agência, número e tipo da conta, as pessoas que tiveram esses dados vazados precisam ficar atentas porque elas podem ser vítimas de golpes como o phishing e outros que utilizam engenharia social. É importante considerar que isso é uma quebra importante da confidencialidade da informação que é a segurança dos dados”, comenta.
Segundo ela, normalmente estes casos acontecem pela existência de falhas nas práticas do privacy by design e privacy by default, que são, inclusive, requisitos das legislações de privacidade de dados. Quando acontece esse incidente temos uma violação de dados que atinge os direitos garantidos pela LGPD.
“Logo no mês de setembro, quando a LGPD completa 4 anos, esse tipo de situação precisa servir como uma lição aprendida no sentido de que todas as empresas precisam ter estratégias para mitigar risco de vazamento de dados. A LGPD vai além dos aspectos de segurança da informação e jurídico. Quando se busca um procedimento dentro das organizações de dados pessoais é importante considerar a segurança da informação como uma forma de planejamento de qualquer projeto ou serviço. Porque durante todo o ciclo de vida dessa informação as proteções devem acompanhar até a destruição de dados que também precisa ser segura”, afirma.
Segundo ela, para evitar a ocorrência de falhas pontuais em sistemas é fundamental observar toda a esteira de desenvolvimento das aplicações e dos sistemas desde a fase de programação e testes até quando ele vai para a produção. Este acompanhamento é exigido justamente para prevenir os possíveis problemas e falhas antes mesmo de acontecerem.
A especialista orienta a todas as empresas que tratam de dados pessoais e desenvolverem processos de melhoria contínua abrangendo tanto o aspecto jurídico quanto o de segurança da informação. Durante todas as etapas de tratamento de dados, é fundamental buscar uma adequação imediata com a LGPD. A própria legislação exige que se faça um relatório de impacto à proteção de dados e a empresa precisa se estruturar para que tenha esses processos bem encaminhados para conseguir gerenciar possíveis riscos”, afirma.
