regina@cryptoid.com.br

Estamos em novo endereço. Encontre-nos lá!

Faça parte desse projeto você também!

Conteúdo

O objetivo desse Blog é apresentar essa fantástica e importante tecnologia, de forma simples, para que pessoas que não dominam aspectos técnicos também possam acompanhar a evolução da adoção da Certificação Digital e o universo que gira ao seu redor:

Certificado Digital para Assinatura e Sigilo, Certificado de Atributo, Carimbo do Tempo, Documentos Eletrônicos, Processos Eletrônicos, Nota Fical Eletrônica, TV Digital, Smart Card, Token, Assinador de Documento, Gerenciador de Identidades etc..

Este Blog publica matérias e artigos extraídos da mídia que expressam a opinião dos respectivos autores e artigos escritos por mim que expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Matérias organizadas por data de publicação

quarta-feira, 4 de maio de 2011

Penalizar empresas por vazamentos de dados é polêmica entre especialistas


Especialistas divergem se as multas aplicadas a empresas com bases de dados de clientes, por roubo ou vazamento de dados, protegem realmente o consumidor.

Por Redação da CIO
Publicada em 04 de maio de 2011 às 07h00Share




Nos Estados Unidos, à medida que várias multas começam a ser cobradas contra as organizações já atacadas ou com empregados que violaram políticas de privacidade de dados, alguns especialistas sobre a matéria questionam-se sobre se o governo não estará penalizando uma das vítimas dos crimes – em vez de mitigar riscos de roubo de identidade e de dados, objetivo maios da implantação das leis.

A prática começa a preocupar também as empresas brasileiras, em função da iniciativa do ministério da Justiça de criação de uma Lei para Proteção de Dados Pessoais. Nos últimos meses, a sociedade brasileira teve a oportunidade de debater o texto do projeto de lei que será submetido ao Congresso. Entre os pontos cobertos pela Lei estarão o monitoramento online, a interconexão entre os bancos de dados, o papel e a competência da “autoridade de garantia”, das propostas para fiscalizar e regulamentar as atividades relacionadas à coleta, tratamento e armazenamento de dados pessoais, bem como requisitos para a coleta, gestão e segurança no tratamento dos dados pessoais.

A proposta de formalizar um marco regulatório para a proteção de dados pessoais, sobretudo na Internet, apoia-se em experiências internacionais da União Européia, dos EUA e alguns países da América Latina, que já possuem legislação específica sobre o tema. Ademais, acompanha a movimentação legislativa recente para instituir um Marco Civil da Internet no país.

Vejamos alguns exemplos práticos do que poderá ocorrer aqui. Considere-se a acão da Procuradoria-Geral do estado de Massachusetts contra o dono do restaurante da cadeia Briar Group. Algumas semanas atrás, o procurador-geral anunciou ter fechado um acordo com a organização, levando-a a pagar 110 mil dólares em multas.

O acordo decorre de alegações de que a cadeia de restaurantes não protegeu adequadamente os dados de pagamentos feitos por clientes após uma aplicação nociva ter sido instalada nos seus sistemas. O malware esteve instalado na rede de Abril a Dezembro de 2009.

O grupo é acusado de não alterar as informações de autenticação dos funcionários e continuar aceitando cartões de crédito e de débito, mesmo depois de descobrir a vulnerabilidade, explicou o Procurador-Geral do Massachusetts. Os queixosos também acusam a cadeia de negligência quanto à segurança dos meios de acesso remoto e das redes sem fios.

Não são práticas de segurança que mereçam aplauso. No entanto, especialistas afirmam – devido ao elevado estado de insegurança de aplicações e sistemas de TI – que as empresas podem ter todas as tecnologias de segurança adequadas, políticas e procedimentos em vigor, e ainda acabar processadas. “Essas leis sobre notificação de violações de bases de dados não tinham a intenção de definir normas de prevenção “, diz Mark Rasch, director da consultora de segurança informática e protecção da privacidade Computer Sciences Corporation.

“Destinavam-se a ajudar os consumidores cujos dados foram roubados e para evitar o roubo de dados de identidade”, explica. “O fato é que as empresas podem fazer tudo bem e terem as suas infraestruturas violadas, e podem prescindir de tomar medidas e não sofrer qualquer violação reconhecível”, acrescenta.

O director-executivo da Enloe Medical Center (Califórnia), Mike Wiltermood, concorda. A Enloe decidiu lutar contra a aplicação de uma multa a que foi sujeita no ano passado, depois de ter informado as autoridades sobre a descoberta de que os registos médicos de um paciente foram indevidamente acedidos em várias instâncias.

O centro médico diz que descobriu as violações através das suas próprias ações de monitoramento e investigação. O resultado? O Departamento de Saúde Pública da Califórnia (CDPH) optou por multar a Enloe. O centro médico achou que as ações do Estado não tinham justificativa.

“O Enloe Medical Center vai além das exigências da lei para proteger a privacidade dos pacientes, razão pela qual fomos capazes de detectar o vazamento”, diz Wiltermood num comunicado. “Da nossa perspectiva, a detecção precoce da violação de privacidade das informações do paciente, juntamente com as nossas medidas de precaução de longa data e os processos de garantia de privacidade, não foram tidos em consideração, como a lei prevê quando a CDPH optou por aplicar a multa de 130 mil dólares “, argumenta Wiltermood.

“Se o objetivo dos reguladores aqui é aumentar a divulgação de vazamentos, falharam, e se é elevar a segurança, também falharam”, diz Pete Lindstrom, diretor de investigação da Spire Security. “A lição para outras organizações é que mais vale esconder os seus incidentes”, diz ele.

Fonte:IDGNOW! 

Eu particularmente acredito que as empresas devam ser responsáveis pela guarda dos dados dos clientes e devem sim responder por isso.

Regina Tupinambá
Para operar na internet uma empresa deve estar preparada e utilizar processos e recursos tecnológicos  já disponíveis para segurança de suas informações, senão que continue vendendo no balcão. 

Acredito também que as autoridades governamentais deveriam exigir no mínimo a identificação inequívoca dos sites e criar mecanismo de auditoria em relação a segurança das informações.

Se não estiverem devidamente  em conformidade  com as normas de segurança, além de multa será que as empresas não deveriam ser suspensas  e seus sites retirados do ar até que a situação seja regularizada?

Do contrário o que os consumidores e usuários de serviços online devem fazer?

Esquecer a internet? Só fazer pagamentos em dinheiro? E quem não tem outra alternativa, pois suas informações estão sendo enviadas para sevidores online para cumprimento de alguma obrigatoriedade? Precisam torcer os dedos e fazer um pedido para que suas informações não sejam violadas?

Regina Tupinambá

Artigos escritos por mim  expressam, exclusivamente, minha opinião pessoal sem vínculo a nenhuma organização.

Leia também
Cristina De Luca Vazamento de informações pode custar US$ 2 bilhões à Sony http://folha.com/me911080 #folha
 

Nenhum comentário:

Postar um comentário

Agradecemos sua participação.