Publicado:
Leitura 5 minutos
A Lei No. 12.414 de 9 de Junho de 2011 que disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito e o Decreto No. 7.829 de 17 de Outubro de 2012 que regulamenta esta lei, definem a obrigatoriedade de uma série de requisitos de segurança da informação para a organização que for prestar o serviço de Cadastro Positivo.
Este serviço (Cadastro Positivo) está previsto para entrar comercialmente no mercado no próximo mês de agosto e as organizações precisam garantir que possuem controles de segurança da informação sob pena de não poder prestar este tipo de serviço.
A Lei 12.413 exige define ações que exigem controles de segurança da informação, porém o Decreto No. 7.829 detalha melhor estes requisitos de segurança. A seguir destacamos os principais controles exigidos por esta legislação e o seu relacionamento com as Dimensões de Segurança da Informação que definimos no nosso livro Praticando a Segurança da Informação, Editora Brasport, 2008, baseadas na Norma NBR ISO/IEC 27002 Tecnologia da informação ? Técnicas de segurança – Código de prática para a gestão da segurança da informação, ABNT, 2005.
No seu Artigo 1º. o Decreto 7.829 exige que a Organização garanta a existência de:
1. Disponibilidade de plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados.
– Dimensão Classificação da Informação
– Dimensão Acesso à Informação
– Dimensão Continuidade de Negócio
2. Estruturas tecnológicas envolvidas no fornecimento do serviço de cadastro que sigam as melhores práticas de segurança da informação, inclusive quanto a plano de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados e das autorizações.
– Dimensão de Continuidade de Negócio
– Dimensão de Proteção Técnica
– Dimensão de Classificação da Informação
– Dimensão de Acesso à Informação
– Dimensão da Estrutura da Segurança da Informação
3. Adequabilidade da política de segurança da informação sobre a criação, guarda, utilização e descarte de informações no âmbito interno e externo, inclusive quanto à transferência ou utilização de informações por outras empresas prestadoras de serviço contratadas; – – Dimensão Política de Segurança da Informação
– Dimensão Acesso à Informação
– Dimensão de Classificação da Informação
4. Adequabilidade da política de estabelecimento da responsabilidade, principalmente nos quesitos sigilo e proteção das informações, privacidade de dados dos clientes e prevenção e tratamento de fraudes.
– Dimensão Acesso à Informação
– Dimensão Prevenção e Tratamento de Fraudes
– Dimensão Classificação da Informação
– Dimensão Estrutura da Área de Segurança da Informação
5. Controles de risco disponíveis.
– Dimensão de Gestão de Riscos
Em outros artigos o Decreto 7.829 continua a sua exigência em segurança da informação:
6. Existência de histórico (Artigo 2º.)
– Dimensão de Acesso à Informação
– Dimensão de Cópias de Segurança
7. Comprovação da autenticidade e a validade da autorização (Artigo 7º. §2º.);
– Dimensão de Acesso à Informação
8. Verificação da validade e autenticidade das autorizações (Artigo 8º.);
– Dimensão de Acesso À Informação
9. Validação e autenticação da autorização (Artigo 8º. § Único);
– Dimensão de Acesso à Informação
10. Existência de acesso exclusivo pelos consulentes (Artigo 9º.);
– Dimensão de Acesso à Informação
11. Gestão de sistemas de guarda e acesso com requisitos de segurança (Artigo 10º. IV);
– Dimensão de Acesso à Informação
12. Rastreabilidade de acessos (Artigo 10º. V);
– Dimensão de Acesso à Informação
– Dimensão de Cópias de Segurança
13. Existência de dados para fins de auditoria (Artigo 12º. §3º.);
– Dimensão de Acesso à Informação
– Dimensão de Cópias de Segurança
14. Proibição da exclusão parcial de dados em situação específica (Artigo 13º. §Único);
– Dimensão de Acesso À Informação
15. Existência de mecanismos que preservem a integridade e o sigilo de dados enviados (Artigo 15º);
– Dimensão de Acesso à Informação
– Dimensão da Classificação da Informação
A organização precisa ter o seu Plano Corporativo de Segurança da Informação, com um gestor profissional com acesso aos gestores e executivos, e principalmente aos acionistas. Afinal, se algo não acontecer ou acontecer por negligencia de controles de segurança da informação, são os acionistas receber os impactos financeiros, de imagem e conformidade legal.
Desenvolva e implante hoje os controles de segurança que serão exigidos amanhã.
Grande abraço.
Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Consultor em Segurança da Informação, Gestão de Risco e Planos de Contingência.
www.nucleoconsult.com.br
Estrategista e gestor de Segurança da Informação, Riscos, Continuidade de Negócio, Governança, e Combate a Fraude de Informação.
Login
