Por que é importante - e como a ESET o pode ajudar

DESCARREGUE GUIA GRÁTIS
O que é o RGPD?

Está em conformidade com o RGPD?

Em Maio de 2018, entra em vigor uma nova regulamentação Europeia relativa à Proteção de Dados.

Se o afeta, necessita de começar a pensar como vai cumprir todos os requisitos. Este site foi desenvolvido para o ajudar a compreender o RGPD e oferecer soluções. O Novo Regulamento Geral de Proteção de Dados vai afetar todas as empresas europeias que lidam com todos os tipos de informações pessoais. Afeta igualmente qualquer empresa internacional que está ativa na União Europeia. As regras são complexas e as multas para quem não cumprir os requisitos são significativas (até 20 milhões de Euros).

Mas está no sítio certo para ficar informado.

calendar due date GDPR

Obtenha o seu guia grátis

A ESET e um experiente grupo jurídico desenvolveram este guia que analisa como a nova regulamentação europeia o poderá afetar.

guide general data protection regulation

Online compliance check

Este site foi desenvolvido com o objetivo de o ajudar a compreender o GDPR, quantificar os requisitos e oferecer soluções.

Conformidade com o RGPD, passo a passo

As implicações do RGPD são complexas e por esse motivo dividimos o processo de conformidade em três grupos de medidas que deve considerar, subdivididas em várias áreas e com explicações mais detalhadas. Clique nas barras presentes no diagrama abaixo para examinar as áreas que mais lhe interessam.

+Em resumo

Alguns dos princípios enunciados no RGPD são uma continuação dos estabelecidos na atual Diretiva relativa à proteção de dados, nomeadamente: a equidade, a legalidade e a transparência; Limitação de finalidade; Minimização de dados; Qualidade dos dados; Segurança, integridade e confidencialidade.

O RGPD estabelece um novo princípio de responsabilização ao tornar os controladores de dados responsáveis pela demonstração do cumprimento dos princípios. Além disso, o RGPD acrescenta novos aspectos aos princípios existentes de proteção de dados, tais como

Legalidade, equidade e transparência – Os dados pessoais devem agora ser tratados de forma transparente em relação à pessoa em causa.

Limitação de finalidade – Com algumas exceções, o armazenamento de dados pessoais de interesse público não será considerado incompatível com os propósitos originais de processamento.

Armazenamento – Os dados pessoais devem ser conservados de forma a permitir ao identificação das pessoas em causa durante um período não superior ao necessário para os fins para os quais os dados pessoais são tratados.

Responsabilidade – O responsável pelo tratamento torna-se responsável pelo cumprimento dos princípios e deve ser capaz de demonstrá-lo.

+Requisitos da estrutura organizacional

De acordo com o RGPD, deve implementar uma ampla gama de medidas que assegure uma redução significativa da possibilidade de violação das novas normas e demonstre que leva a proteção de dados muito a sério. Entre as medidas de responsabilização necessárias estão: Avaliações de impacto sobre a privacidade, auditorias, revisões de políticas, registo de atividades e (potencialmente) a nomeação de um responsável de proteção de dados (DPO).

O RGPD introduz a obrigação de certas organizações nomearem um Responsável pela Protecção de Dados (DPO). As organizações devem nomear um funcionário ou um consultor externo como seu RTD.

Se é um marketeer com uma grande base de dados de consumidores, eventualmente irá necessitar de nomear um DPO; As autoridades nacionais de proteção de dados deverão fornecer orientações sobre quem se qualifica.

O RTD será responsável pelo controlo da conformidade com o RGPD, aconselhando-o acerca das suas obrigações, sobre quando e como uma avaliação de impacto acerca da privacidade deverá ser realizada e deverá funcionar como ponto de contacto para as investigações das autoridades nacionais de protecção de dados e indivíduos.

O conceito de balcão único permite a uma organização estabelecida em vários países da UE lidar com apenas a legislação de proteção de dados de um país autoridade de proteção de dados , apesar das regras para determinar que RTD deve assumir este papel e como irão lidar com reclamações, seja complexa em alguns casos.

+Processos, procedimentos e políticas

O RGPD redefine uma fuga de dados como “uma violação de segurança que conduza à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados de outro modo processados”.

Esta é uma definição mais ampla do que antes e não leva em consideração se a violação cria danos ao indivíduo. Se sofrer uma violação de segurança de dados, tem de informar imediatamente a autoridade nacional de protecção de dados, ou o mais tardar 72 horas após a descoberta da violação .

No entanto, está isento de notificar indivíduos se tiver implementado medidas técnicas e organizacionais adequadas para proteger os dados pessoais, como a encriptação.

Uma parte importante do cumprimento do RGPD é a privacidade por projeto, ou seja, desenvolver cada novo processo ou produto com requisitos de privacidade frente e centro. Esta abordagem, embora anteriormente fosse apenas uma melhor prática, é agora um requisito explícito.

Uma avaliação de impacto de protecção de dados, também conhecida como avaliação do impacto sobre a privacidade (PIA), destina-se a identificar e minimizar os riscos de incumprimento.

O RGPD torna o PIA num requisito formal; especificamente, os controladores devem assegurar que foi efetuado um PIA, antes do início, em qualquer atividade de processamento de “alto-risco”.

Se operar internacionalmente, as regras e processos para a transferência de dados para as jurisdições fora da UE será uma consideração significativa, uma vez que as sanções por incumprimento ou transferência de dados para jurisdições não reconhecidas pela Comissão Europeia como tendo uma regulamentação adequada em matéria de protecção de dados tornar-se-ão muito mais severas no âmbito do RGPD.

+Consciência para a Segurança dos Dados

Agora é a altura de começar a explicar a necessidade da conformidade RGPD aos seus próprios funcionários. Eventualmente deverá começar a planear procedimentos especiais para lidar com as novas disposições de transparência e direitos individuais do RGPD. Isto pode ter implicações financeiras significativas, de TI e de formação.

+Responsabilidade - medidas técnicas

O RGPD torna os  controladores responsáveis pela demonstração do cumprimento dos seus princípios de proteção de dados e por esse motivo deve certificar-se de que tem políticas claras em vigor para comprovar que está de acordo com os padrões exigidos, verificando, analisando e avaliando regularmente os seus procedimentos de processamento de dados e garantindo que os seus colaboradores estão treinados para entenderem as suas obrigações – e estão prontos para o demonstrar a qualquer momento, quando for exigido pela autoridade nacional de proteção de dados.

+Violação de dados - medidas técnicas

Deve estar preparado para eventuais violações de segurança de dados (definidas como “ uma violação de segurança que leva à destruição acidental ou ilegal, perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados de outra forma processados”) através de políticas claras e procedimentos testados no local, de modo a garantir que pode reagir e notificar quem de direito aquando da violação de dados.

A falta de comunicação de uma violação, pode resultar numa multa, bem como numa multa adicional referente à própria violação de dados.

+Assegurar os direitos dos titulares de dados - tecnicamente

O RGPD reforça os direitos das pessoas em causa , por exemplo, adicionando o direito de exigir informações sobre os dados que estão a ser guardados, acesso aos dados em determinadas circunstâncias e correção de dados errados.

Um dos principais objectivos do GDPR é reforçar os direitos dos indivíduos. Como resultado, as regras para lidar com solicitações de acesso a assuntos serão alteradas e irá necessitar de atualizar os seus procedimentos.

Na maioria dos casos, não será capaz de cobrar pelo cumprimento de um pedido e, normalmente, terá apenas um mês para cumprir, em vez dos atuais 30 dias.

O direito a ser esquecido (‘eliminado’ na terminologia do RGPD) permite aos indivíduos solicitarem aos controladores de dados a eliminação de todos os dados pessoais sem demora injustificada em determinadas situações, por exemplo, quando há um problema com a legalidade subjacente do tratamento ou quando retiram o seu consentimento.

Os terceiros com quem partilha dados de indivíduos também estão cobertos por estas regras.

O RGPD define profiling como “qualquer forma de tratamento automatizado de dados pessoais que consista na utilização de dados pessoais para avaliar determinados aspectos pessoais relacionados com uma pessoa singular, nomeadamente para analisar ou prever determinados aspectos relativos ao desempenho desta pessoa no local de trabalho, à situação económica, à saúde, Interesses, confiabilidade, comportamento, localização ou movimento”; no entanto, há alguma ambiguidade sobre como o direito dos sujeitos dos dados a não serem sujeitos a decisões baseadas em perfis serão aplicados.

O RGPD introduz um novo direito à portabilidade de dados, que vai além do direito dos indivíduos de exigir que forneça os seus dados num formato eletrônico que é utilizado normalmente e exige que o controlador forneça informações de forma estruturada e legível por um computador.

Existem alguns limites a esta regra, por exemplo, só se aplica a dados pessoais processados por meios automatizados.

Como parte do objectivo de reforçar os direitos dos indivíduos, a Comissão Europeia concede também o direito de restringir certos direitos de se oporem a que os dados pessoais sejam tratados para fins de comercialização directa, incluindo actividades de perfil para fins de comercialização directa.

As organizações devem informar os indivíduos sobre o seu direito de se oporem ao tratamento dos seus dados de uma forma explícita e separada de outras informações que também devem fornecer aos indivíduos.

+Comunicando informações de privacidade (consentimentos, avisos de processamento)

Pode necessitar de rever a forma como procura, obtém e regista o consentimento; a data subject’s consentimento para o tratamento dos seus dados pessoais deve ser tão fácil de retirar quanto dar e deve ser também uma indicação positiva de acordo não pode ser inferido do silêncio, caixas pré-marcadas ou inatividade.

O RGPD concede protecções especiais quando se trata do tratamento de dados pessoais relativos a crianças, particularmente em relação a serviços comerciais de Internet como redes sociais.

Como resultado, deve começar a pensar na implementação de sistemas robustos para verificar a idade dos indivíduos e para obter o consentimento dos pais ou responsáveis para processar tais dados.

O RGPD provavelmente aumentará o leque de coisas que tem a dizer As pessoas em causa , por exemplo a sua base jurídica para o tratamento dos seus dados, os seus períodos de retenção de dados e o seu direito de apresentar queixa à sua autoridade nacional de protecção de dados ee eles acham que há um problema com a maneira como você está lidando com seus dados; Observe que o GDPR exige que essas informações sejam fornecidas em linguagem concisa e clara.

+Segurança dos dados (integridade e confidencialidade)

O RGPD estabelece princípios de segurança de dados semelhantes aos da directiva actual, incluindo: equidade, legalidade e transparência; Limitação de finalidade; Minimização de dados; Qualidade dos dados; Segurança, integridade e confidencialidade.

Deve assegurar que dados pessoais seja processado de forma a assegurar a sua segurança, incluindo a protecção contra o processamento não autorizado ou ilícito e contra perdas, destruições ou danos acidentais: “A organização e qualquer prestador de serviços terceirizado devem implementar medidas técnicas e organizacionais apropriadas, para garantir um nível de segurança adequado ao risco”.

O regulamento sugere algumas número de medidas de segurança que podem ser utilizadas para alcançar a protecção de dados, incluindo: pseudonimização e encriptação de dados pessoais; A capacidade de assegurar a confidencialidade, a integridade, a disponibilidade e a resiliência dos sistemas e serviços que processam dados pessoais; A capacidade de restaurar a disponibilidade eo acesso a dados pessoais em tempo hábil no caso de um incidente físico ou técnico; E um processo para testar, avaliar e avaliar regularmente a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados pessoais.

O RGPD especifica a encriptação como uma abordagem que pode ajudar a garantir o cumprimento de algumas das suas obrigações. Para citar o regulamento:

Artigo 32 – Segurança do processamento

“1.   Tendo em conta o estado da tecnologia, os custos de execução e a natureza, âmbito, contexto e finalidades do tratamento, bem como o risco de variação da probabilidade e da gravidade dos direitos e liberdades das pessoas controller and the processador s implementar medidas técnicas e organizativas adequadas para assegurar um nível de segurança adequado ao risco, incluindo, inter alia, se for caso disso: a) a pseudonimização e a encriptação de dados pessoais. […]”

Artigo 34 – Comunicação de uma violação de dados pessoais à pessoa em causa

“3. A comunicação à pessoa em causa referida no n.º 1 não será exigida se estiver preenchida uma das seguintes condições: (a) O controlador Implementou medidas de protecção técnica e organizacional adequadas e essas medidas foram aplicadas aos dados pessoais afectados pela violação de dados pessoais, que tornam os dados pessoais ininteligíveis para qualquer pessoa que não esteja autorizada a acessá-la, como encriptação. […]”

+Documentação dos dados, base jurídica e auditoria

Deve documentar quais os dados pessoais que possui, de onde vieram e com quem partilha.

Se tiver dados pessoais imprecisos e os tiver partilhado com outra organização, o RGPD exige que informe a outra organização sobre a inexatidão para que ela possa corrigir os seus próprios registos. Para fazer isso, pode exigir uma auditoria de informações em toda a sua organização ou em áreas de negócio específicas. Isso também irá ajudá-lo a cumprir o princípio de responsabilidade do GDPR.

De acordo com o RGPD, deve examinar como processa dados pessoais e identifica a base legal na qual executa e documenta esses processos.

Isto é necessário porque os direitos de alguns indivíduos serão modificados pelo RGPD, dependendo da sua base legal para o processamento dos seus dados pessoais. Um exemplo é que as pessoas terão um direito mais forte de terem os seus dados excluídos quando usar o consentimento como a sua base legal para processamento. No entanto, o consentimento é apenas uma das várias maneiras de legitimar a atividade de processamento e pode não ser o melhor (como pode ser retirado).

As informações apresentadas nesta página web não constituem uma opinião jurídica, e os utilizadores não devem confiar na sua exactidão quando tomam decisões financeiras ou empresariais. A ESET não será responsável pelos resultados resultantes de tais ações. Procure sempre aconselhamento jurídico independente.

Junte-se ao webinar GDPR

Fale com os nossos especialistas acerca do novo RGPD e a forma como vai afetar as empresas. A ESET está a efetuar diversos webinars para explicar os objetivos e funcionamento do RGPD. Estes webinars são grátis: registe-se abaixo e será convidado para o próximo evento.

A Encriptação como solução

O que é a encriptação?

A encriptação é o processo de codificar informação tornando-a inacessível para utilizadores não autorizados.

Dimensão da chave e força da encriptação

A força da encriptação deriva da dimensão da chave (bits) e do algoritmo utilizado. A forma mais simples de contornar a encriptação é experimentar todas as chaves possíveis. Este método é conhecido por ataque de brute-force, sendo que em muitos casos é ineficaz quando se tratam de chaves de grande dimensão.

Para contornar uma chave AES de 128-bit, cada habitante do nosso planeta teria de verificar mil milhões de chaves por segundo durante 1.5 triliões de anos.

É por este motivo que os atacantes normalmente não efetuam engenharia reversa ao algoritmo, nem utilizam ataques brute-force. Ao invés disto procuram por vulnerabilidades no software de encriptação, ou tentam infetar os sistemas com malware para obterem palavras-passe à medida que elas são digitadas.

Para minimizar estes riscos, deve utilizar um produto um produto de encriptação independente e seguro e ter instalado no sistema uma solução anti-malware.

Como funciona?

A encriptação normalmente é aplicada de duas formas distintas:

Armazenamento encriptado – é normalmente utilizada para encriptar na totalidade um disco ou um dispositivo.

Este tipo de encriptação apenas se torna eficaz quando o sistema é parado, o disco ejetado ou a chave de encriptação bloqueada.

Conteúdo encriptado também conhecido por encriptação granular – significa que os ficheiros ou o texto são encriptados ao nível da aplicação.

O exemplo mais comum é a encriptação por email, onde o formato da mensagem deve permanecer intacto para a aplicação de email cliente ser capaz de lidar com a mesma, mas o corpo da mensagem permanecer encriptado, bem como todos os anexos.

eset data encryption example

O que necessito da encriptação?

Apesar da dimensão da chave e das funcionalidades do software serem importantes, não lhe dizem como um produto irá funcionar da perspetiva do utilizador – ou do administrador.

FIPS – Validação 140

O sistema de validação independente e mais comum é o standard FIPS-140. Se um produto tem validação FIPS-140 então oferece mais segurança do que é muitas vezes necessário e será aceite na regulamentação RGPD e outras.

Facilidade de utilização para utilizadores não técnicos

Irão ocorrer sempre situações onde os colaboradores terão de decidir acerca de encriptar ou não um documento, email, etc. É vital que eles tenham a capacidade de utilizar o software disponibilizado e estejam seguros de ao encriptarem os dados não os estarão a bloquear de utilizadores autorizados.

Gestão remota de chaves, definições e políticas de segurança

Para evitar que a equipa tome decisões de segurança, a encriptação pode ser reforçada em qualquer lugar – porém isto tende a restringir os processos legítimos de negócio e pode ter impacto na produtividade. A inclusão da capacidade de gestão remota permite a alteração das chaves de encriptação, a definição de funcionalidades ou definições das políticas de segurança para utilizadores remotos, o aumento dos níveis da encriptação, tudo sem limitar os processos normais ou ter impacto na produtividade.

Gestão das Chaves de Encriptação

Um dos maiores problemas ao nível da utilização é a forma como os utilizadores pretendem partilhar as informações encriptadas. Existem dois métodos tradicionais:
Passwords partilhadas, que são simples de lembrar e inseguras, ou impossíveis de lembrar e seguras, mas que necessitam de ser escritas em algum lado, ou;
Encriptação de chaves públicas, que funcionam bem em grupos mais pequenos, mas se tornam complexas ou problemáticas com equipas dinâmicas.
Utilizar chaves de encriptação geridas de forma central evita estes problemas, com o bónus adicional de fazer mirror da forma como as chaves físicas são utilizadas para trancar as nossas casas, apartamentos, carros, etc. Os colaboradores já entendem este conceito e apenas necessita de ser explicado uma vez. Juntamente com uma solução premium de gestão remota, as chaves de encriptação representam o melhor equilíbrio entra segurança e um funcionamento prático.

Experimente grátis o ESET DESlock+

Apesar da dimensão da chave e das funcionalidades do software serem importantes, não lhe dizem como um produto irá funcionar da perspetiva do utilizador – ou do administrador.

Como a ESET pode ajudar

A nossa solução:
DESlock Encryption by ESET

Encriptar os dados pessoais nos seus sistemas pode ajudar a satisfazer muito dos requisitos no RGPD. A solução da ESET é poderosa, simples de implementar e pode encriptar com segurança discos rígidos, drives amovíveis, ficheiros e email.

A Encriptação DESlock ajuda-o a estar em conformidade com as obrigações de segurança de dados ao reforçar as políticas de encriptação ao mesmo tempo que mantem a produtividade elevada. Com um baixo impacto no departamento de TI e ciclos curtos de implementação, nenhum outro produto consegue atingir a flexibilidade e a facilidade de utilização do DESlock.

Do lado do cliente a interação com o utilizador é mínima, o que aumenta a conformidade e a segurança dos dados da sua empresa com a instalação de um simples pacote MSI. Do lado do servidor torna simples a tarefa de gerir utilizadores e estações de trabalho e alargar a proteção da sua empresa para além da rede empresarial.

O que oferece a Encriptação do Deslock

Encriptação simples e segura para organizações de todas as dimensões que protege todos os ficheiros nos discos rígidos, dispositivos portáteis e os enviados por email

Certificação: Validação FIPS 140-2 com encriptação 256 bit AES para maior segurança

Servidor hibrído de gestão baseada na cloud para um controlo remoto total das chaves de encriptação e políticas de segurança

Suporte para for Microsoft® Windows® 10, 8, 8.1 incluindo UEFI e GPT, 7, Vista, XP SP 3; Microsoft Windows Server 2003-2012; Apple iOS

Algoritmos standard: AES 256 bit, AES 128 bit, SHA 256 bit, SHA1 160 bit, RSA 1024 bit, Triple DES 112 bit, Blowfish 128 bit

DESlock+ Pro – os benefícios em detalhe

Encriptação total do disco
Segurança pré-arranque rápida e transparente

Encriptação de dispositivos amovíveis
Encriptação de dispositivos amovíveis baseada em políticas que se adequa a qualquer empresa

Plugin para o Outlook (email e anexos)
Envie e receba com facilidade mensagens e anexos encriptados através do Outlook

Discos virtais e ficheiros encriptados
Crie um volume seguro e encriptado no seu PC ou noutra localização, ou uma cópia encriptada de uma pasta e todos os ficheiros

Encriptação de pastas e ficheiros
Rápida e transparente, garantindo uma camada extra de segurança

Encriptação de texto e área de transferência
Encripte a totalidade ou parte de uma janela de texto – browsers web, bases de dados ou webmail

Compatibilidade com gestão centralizada
Controlo total do licenciamento e funcionalidades ao nível do software, política de segurança e chaves de encriptação

Encriptação em mobilidade DESlock+ Go
Software on-device simples de utilizar para implementação em sistemas não licenciados

Experimente grátis o ESET DESlock+

Preencha o formulário e receba uma versão de teste para experimentar os benefícios da encriptação ESET

Utilizamos cookies para garantir a melhor experiência de navegação. Mais informações.

OK