O blog da AWS
LGPD – Gerenciando a sua jornada de conformidade com o CleanCloud Score
Henrique Vaz, CEO, CleanCloud
Bruno Silveira, Partner Solutions Architect, Technology Partners, Brazil Public Sector
Thiago Pádua, Partner Solutions Architect, Consulting Partners, Brazil Public Sector
Com o objetivo de fornecer um maior controle ao cidadão sobre como seus dados pessoais são coletados, armazenados, utilizados e descartados, o Brasil passou a contar com uma legislação específica para regular essas atividades, a Lei Geral de Proteção de Dados Pessoais (LGPD). Entre os principais motivadores para essa regulação, estão o uso indiscriminado desses dados através de compartilhamento indevido e a venda dos mesmos.
Overview
A LGPD é a primeira regulamentação abrangente de proteção de dados no Brasil, e está amplamente alinhada com a General Data Protection Regulation (GDPR), adotada na Europa. Aplicável a qualquer indivíduo, seja de natureza física ou jurídica, do setor público ou privado, que em território nacional faça coleta ou processamento de dados pessoais, como as informações relacionadas a uma pessoa física identificada ou identificável.
O Desafio às Organizações Brasileiras
O conjunto de regras estabelecidos pela LGPD transformou significativamente o sistema de proteção de dados no Brasil. As organizações passaram a ter a obrigação de garantir a segurança dos dados para estarem adentes à lei, demandando com isso a implementação frequente de medidas técnicas e organizacionais robustas. Além disso, exigindo também a definição e a aplicação de políticas compatíveis cabíveis ao processamento de dados pessoais.
Sob a LGPD, controladores e processadores (conforme definidos na LGPD) necessitam adotar medidas de segurança, tanto técnicas quanto administrativas, para proteger dados pessoais contra acesso não autorizado, situações acidentais ou ilegais de destruição, perda, alteração, comunicação ou qualquer tipo de processamento inadequado ou ilegal.
Em caso de violação, a lei prevê diversas penalizações, entre elas: avisos, suspensão ou bloqueio das atividades de processamento que violam a lei, além de multas de até 2% da receita bruta do infrator no Brasil no ano anterior, além de multas de alto valor.
AWS e LGPD
A AWS desenvolveu um whitepaper para ajudar os seus clientes durante a jornada de adequação à lei de seus respectivos ambientes, apresentando práticas, papéis e serviços que compõem esse processo desafiador.
As equipes de especialistas em conformidade, proteção de dados e segurança da AWS, estão revisando as operações e as responsabilidades da AWS em relação aos requisitos da LGPD para garantir que os serviços da AWS possam ser usados em conformidade com a lei assim que ela entrar em vigor.
Função da AWS segundo a LGPD
Segundo a lei, a AWS pode atuar tanto como um controlador de dados quanto como um processador de dados. Na LGPD, um controlador de dados é definido como a pessoa física ou jurídica, pública ou privada, que é responsável por decisões relacionadas ao processamento de dados pessoais. Já um processador de dados, é definido como a pessoa física ou jurídica, pública ou privada, que executa o processamento de dados pessoais em nome do controlador.
A AWS como um Controlador de dados
Quando a AWS coleta dados pessoais e determina os fins e os meios de processamento desses dados pessoais, ela atua como um controlador de dados. Por exemplo, quando são coletadas e armazenadas informações de seus clientes diretos, para registro de contas, administração, acesso a serviços, atributos de serviço ou informações de contato para a conta da AWS, com o objetivo de fornecer auxílio por meio de atividades de suporte ao cliente.
A AWS como um Processador de dados
Quando clientes e provedores de soluções da AWS usam os seus serviços para processar dados de seus respectivos clientes, ela atua como um processador de dados. Nesse cenário eles podem, por exemplo, utilizar controles de configuração de segurança, para processar e armazenar dados pessoais. Assim, o próprio cliente e/ou parceiro do APN (AWS Partner Network) pode atuar como um controlador de dados ou processador de dados, e a AWS atua como um processador ou um sub-processador de dados.
CleanCloud Score: Gerenciando a conformidade com a LGPD
Arquitetura do Score
A CleanCloud, AWS Advanced Technology Partner, oferece um produto chamado Score que faz mais de 100 verificações de conformidade, para validar se o ambiente do cliente na AWS está em linha com as exigências das principais regulações do mercado, dentre as quais destaca-se a LGPD.
Para que o Score execute o assessment no ambiente do cliente, é necessário uma IAM Role com acesso de leitura à conta AWS. O Score é desenvolvido utilizando serviços com arquitetura serverless e entregue no modelo SaaS, oferecendo assim uma solução escalável e evitando a necessidade de recursos adicionais no ambiente do cliente.
A Experiência do Usuário
O usuário pode escolher a data e hora da verificação no Score e ele irá mostrar qual a pontuação, do ponto de vista de conformidade com a lei, que o ambiente AWS está naquele momento. Além da pontuação, mostrará também as vulnerabilidades identificadas (classificadas por grau de criticidade), a evolução da conformidade através do histórico de verificações e um mapa de riscos para cada região AWS, conforme mostrado na figura a seguir.
O usuário também pode ver os detalhes de cada vulnerabilidade, incluindo o artigo da lei a que se refere, nome do recurso e passo a passo para remediar. Dessa forma, é possível monitorar constantemente a conformidade com a lei e criar políticas para evoluir continuamente, imprimindo políticas de governança como a lei exige.
Cliente AWS se beneficiando do Score
A Cogna Educação é o líder do seu mercado e um cliente AWS há alguns anos. No início de 2020 começou a usar o CleanCloud Score para evoluir nos processos e conformidade com LGPD.
Como conta Alex Amorim, CISO e DPO (Data Protection Officer) do Grupo Cogna, a experiência tem sido muito positiva:
“Hoje o CleanCloud Score contribui de uma forma muito prática com o monitoramento de controles efetivos para proteção do ambiente de cloud da AWS, uma vez que traz uma abordagem simples e precisa do nível de maturidade do ambiente.
Com este produto conseguimos ter visibilidade, por exemplo, com acesso de usuários ao ambiente, encriptação de dados e gerenciamento de portas.
Com o advento da LGPD é essencial ser assertivo no controle do ambiente na nuvem para mostrar diligência e responsabilidade frente à nova lei, e com o CleanCloud Score evoluímos todos os dias neste sentido.”
Conclusão e próximos passos
Neste blog post mostramos como a solução de um parceiro AWS pode ajudar na adaptação aos novos desafios que a Lei Geral de Proteção de Dados do Brasil impõe às empresas públicas e privadas brasileiras. Além disso, mostramos como a AWS se encaixa nesse processo, detalhando seus papéis e materiais disponíveis para auxiliar nossos clientes durante essa jornada.
Sobre os autores
Henrique Vaz
Co-fundador e CEO da CleanCloud, formado em direito pela PUC-SP, com pós-graduação e finanças corporativas na FIA/USP e MBA no Insper, deixou a vida corporativa para empreender em 2012, tendo fundado outras três empresas antes da CleanCloud.
Bruno Silveira
Arquiteto de Soluções da AWS no time de Setor Publico com foco em ISV Partners e Startups. Com carreira prévia em instituições como Globalweb, Hepta Tecnologia, Caixa, Itaipu Binacional, Parque Tecnológico Itaipu, Ministério de Minas e Energia e Ministério da Cultura, Bruno é entusiasta em práticas ágeis como Lean e Scrum e gosta muito de um bom rock’n roll com uma boa cerveja.
Thiago Pádua
Arquiteto de Soluções da AWS, atua com o desenvolvimento e apoio aos parceiros do Setor Público. Trabalhou anteriormente com desenvolvimento de software e integração de sistemas, principalmente na indústria de Telecomunicações. Tem um interesse especial em arquitetura de microserviços, serverless e containers.