Você Está Preparado para o GDPR? Antonio Plais

Documentos relacionados
Os desafios. do Regulamento Geral da Proteção de Dados (RGPD) da General Data Protection Regulation (GDPR) João Paulo M. Ribeiro 28 junho 2017

Edição ou última data de revisão:

FPT_WEB_003_ALL_01 PT

AVISO DE PRIVACIDADE DO CANDIDATO DA HILL-ROM

Política de Privacidade CARSO Dispatch

GDPR (Regulamento Europeu Geral de Proteção de Dados) Implicações para a área de vigilância por vídeo

POLÍTICA DE PRIVACIDADE DOS APLICATIVOS DO CPTEC

A Virtual Softwares para Seguros como controladora de dados, está comprometida

Os sites da FATECOINS podem ser acessados em qualquer lugar do mundo e os aplicativos da FATECOINS são distribuídos apenas no Brasil.

POLÍTICA DE PRIVACIDADE

Conhecendo a GDPR e a LGPD sob o olhar de Segurança da Informação

Este documento é propriedade exclusiva da Santa Casa da Misericórdia do Porto. Data: 01/06/18 - v01 ; Classificação Doc.: Pública

VISÃO MACRO DE APLICABILIDADE DO RGPD UE 2016/679 DE 27 DE ABRIL DE 2016

Política de Privacidade e de Proteção de Dados

GDPR - GENERAL DATA PROTECTION REGULATION - CONSIDERAÇÕES INICIAIS

POLITICA DE PRIVACIDADE

Política de Protecção de Dados e Privacidade

SAM GERENCIAMENTO DE ATIVOS DE SOFTWARE

A Nova Lei Geral de Proteção de Dados Brasileira

POLÍTICA DE PRIVACIDADE DO nsmobile RESUMO DA POLÍTICA DE PRIVACIDADE POLÍTICA DE PRIVACIDADE COMPLETA

Resumo da Política de Privacidade. Política de privacidade completa

CONSELHOS ÚTEIS PARA O RGPD*

Política de Proteção de Dados e de Privacidade DreamMedia

Política de Proteção de Dados Grupo INGUI

Política de Proteção de Dados Pessoais

Política de Privacidade do mobile Cartão Virtual

POLÍTICA DE PRIVACIDADE

Lei Geral de Proteção de Dados Pessoais

POLÍTICA DE PROTEÇÃO DE DADOS PESSOAIS DO GRUPO CESPU

POLÍTICA DE PRIVACIDADE DO WEBSITE DA REFUNDOS SOCIEDADE GESTORA DE FUNDOS DE INVESTIMENTO IMOBILIÁRIO, S.A.

POLÍTICA GERAL DE PROTEÇÃO DE DADOS PESSOAIS. Mod APROVADO Joaquim Correia,Encarregado Proteção de Dados

POLÍTICA DE PRIVACIDADE


DECLARAÇÃO DE PROTEÇÃO DE DADOS DE FUNCIONÁRIOS

Notificação de Privacidade Versão : Data : Página :

DECLARAÇÃO DE PRIVACIDADE PLASTIMAR, SA

POLÍTICA DE PRIVACIDADE E DE TRATAMENTO DE DADOS PESSOAIS

Gerenciamento e Interoperabilidade de Redes. Gestão de Segurança da Informação Prof. João Henrique Kleinschmidt

Proteção de Dados Pessoais

Lei Geral de Proteção de Dados O que você precisa saber

anos Impactos da legislação europeia sobre proteção de dados no Brasil

Maio de 2018: estou em compliance com o novo Regulamento Geral de Proteção de Dados?

Os Dados Pessoais são coletados para os seguintes propósitos e usando os seguintes serviços: POLÍTICA DE PRIVACIDADE COMPLETA

Protection by design em CRM e sistemas de fidelização de clientes Jorge Xavier (CRM Product & Business Manager)

POLÍTICA DE PRIVACIDADE E TRATAMENTO DE DADOS PESSOAIS

Política de Privacidade do Sicon

WePerformYourBusiness. Política de Privacidade

terça-feira, 7 de maio de Hotel Maksoud Plaza Camunda Meetup em São Paulo Standards de BPM para governança no tratamento de dados pessoais, em

Política de Privacidade

Ações de compliance não devem ser deixadas para o último minuto, mas tratadas com a mesma seriedade que qualquer outra grande decisão estratégica

Os dados pessoais podem ser livremente fornecidos pelo usuário, ou coletados automaticamente quando se utiliza este aplicativo.

POLÍTICA DE PROTEÇÃO DE DADOS E DE PRIVACIDADE

Entre os tipos de dados pessoais que este aplicativo recolhe, por si só ou por meio

DPO ENCARREGADO DE PROTEÇÃO DE DADOS DATA PRIVACY OFFICER

Política de Proteção de Dados, Privacidade e Segurança da Informação

Política de Privacidade e Proteção de Dados Pessoais

Política de Privacidade

DECLARAÇÃO SOBRE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Futbolista FC FUTBOLISTA FC. Política de privacidade. Futbolista Todos os direitos reservados

Política de Privacidade Este aplicativo coleta alguns dados pessoais de seus usuários. Resumo

Informações sobre proteção de dados para Clientes, partes interessadas e parceiros de distribuição da BASF

Política de Privacidade

Os primeiros passos para o RGPD. Regulamento Geral de Proteção de Dados

Política de Privacidade

Política de Protecção de Dados Pessoais

LGPD. Cristina Sleiman. O que é a LGPD LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS. A quem se aplica. O que fazer. LEI 13.

abril 2018 veja como a BMS o pode ajudar.

Política de Privacidade e Proteção de Dados Pessoais

ÍNDICE. 3 of A quem se aplica essa Política de Privacidade. 2. Informações pessoais que coletamos. 3. Como usamos seus dados pessoais

Política de Privacidade

de Dados Pessoais a Pessoas Singulares, aprovado pela Lei nº 133/V/2001 de 22 de Janeiro e restante

POLÍTICA DE PROTEÇÃO DE DADOS. PRF - Gás Tecnologia e Construção, S.A.

Política de Privacidade

Controles de acordo com o Anexo A da norma ISO/IEC 27001

Data Protection 360º Regulamento Geral de Proteção de Dados

Gerenciamento e Interoperabilidade de Redes

Repositório. de Componentes em Delphi. Josiane Gianisini Orientador Marcel Hugo

A Associação Smart Waste Portugal (doravante, por facilidade e economia identificada, pelo

CYBERSECURITY: IMPACTOS DA REGULAÇÃO GERAL DE PROTEÇÃO DE DADOS. Aspectos Jurídicos Responsabilidades e Consequências

Politica de Privacidade e de Proteção de Dados Last Lap Eventos Lda.

Marketing Promocional Ao abrigo do novo acordo ortográfico.

POLÍTICA DE PRIVACIDADE E DE SEGURANÇA DA INFORMAÇÃO REVISÃO 00

Aviso Legal da HG PT Unipessoal, Lda. (Hipoges)

Público-Alvo (Áreas envolvidas)

DECLARAÇÃO DE PRIVACIDADE PARA DADOS DE PARCEIRO DE NEGÓCIOS (CLIENTES E FORNECEDORES)

Dados pessoais como insumo. Sociedade orientada por dados (Data-Driven-Society)

POLÍTICA DE PROTEÇÃO DE DADOS E DE PRIVACIDADE

Regras de privacidade corporativa vinculantes da Adient

Regulamento Geral de Proteção de Dados (UE) GDPR. Lei Geral de Proteção de Dados Pessoais (BR) LGPD

POLÍTICA DE PRIVACIDADE

POLÍTICA SEGURANÇA CIBERNÉTICA COMPUTAÇÃO EM NUVEM

As obrigações do responsável pelo tratamento de dados

Proteção de dados RECOLHE ARMAZENA UTILIZA DADOS? O que são dados pessoais? Regras melhores para as pequenas empresas.

O que é uma conta do Microsoft Exchange?

Transcrição:

Você Está Preparado para o GDPR? Antonio Plais

Antonio Plais Analista de negócios, arquiteto de negócios, professional certificado TOGAF 9.1 e ArchiMate 3 Mais de 40 anos de experiência em TI, marketing, desenvolvimento de produtos e negócios Professor experiente e palestrante internacional Membro do Fórum ArchiMate do The Open Group 2

Sobre a Centus Consultoria Arquitetura Corporativa Gerenciamento de Decisões Análise de Negócios 3

BiZZdesign é uma empresa de software que suporta as organizações no Desenho e Realização de Mudanças nos Negócios 4

Isenção de responsabilidade: Este não é um aconselhamento jurídico Todos os diagramas nesta apresentação foram modelados usando a extensão de Segurança, Risco e Conformidade da linguagem ArchiMate, através da ferramenta BiZZdesign Enterprise Studio 5

Mensagem de Hoje O GDPR está chegando, e é melhor você prestar atenção! Uma regulamentação rigorosa e abrangente sobre a proteção de dados Arquitetos podem desempenhar um papel fundamental para assegurar a conformidade Aproveite a sua arquitetura de forma eficaz Analise e melhore a proteção de dados usando modelos de arquitetura Suportado pela linguagem ArchiMate 6

O que é o GDPR? Um monstro ameaçador 7

O que é o GDPR? Regulamento Geral sobre Proteção de Dados: Regulamento rigoroso da UE (com poder de lei) sobre proteção da privacidade Entrará em vigor em 25 de Maio de 2018 Se aplica a todas as organizações que operam na União Européia ou processam dados de residentes da UE, e não apenas aquelas localizados na UE muitas empresas americanas e estrangeiras, incluindo brasileiras! Multas de até 20 milhões de Euros ou 4% da receita anual a nível mundial 8

O que são Dados Pessoais? "Qualquer informação relativa a uma pessoa natural identificada ou identificável ('sujeito de dados'); uma pessoa natural identificável é uma que possa ser identificada, direta ou indiretamente, em particular através de referência a um identificador como nome, número de identificação, dados de localização, identificador on-line, ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, econômica, cultural ou social desta pessoa natural" Desta forma, configurar um cookie ou armazenar um endereço IP de um visitante da UE já pode tornar você responsabilizável 9

Princípios-chave do GDPR 1. Legalidade, equidade e transparência 2. Limitação da finalidade 3. Minimização de dados 4. Precisão 5. Limitação de armazenamento 6. Integridade e confidencialidade 7. Responsabilização 10

Requisitos do GDPR (1) Você é sempre responsável, mesmo se tiver terceirizado o processamento de dados Proteção de dados por desenho e por padrão para assegurar a confidencialidade, integridade, disponibilidade e resiliência Ter um processo para testar, apreciar e avaliar regularmente as medidas técnicas e organizacionais Designar um Responsável pela Proteção de Dados Demonstrar a conformidade! 11

Requisitos do GDPR (2) Manter o controle de todos os dados pessoais que você armazene e de todas as suas atividades de processamento, incluindo a finalidade deste processamento, localização dos dados, terceiros que os recebem Nenhum processamento ou perfilamento, sem permissão explícita do sujeito (salvo em condições aplicáveis específicas) e não é permitido enterrar o consentimento no fundo de EULAs ou amarrá-lo desnecessariamente ao uso de serviços Remover dados pessoais a pedido do sujeito 12

Requisitos do GDPR (3) Realizar avaliações de impacto na proteção de dados para abordar os riscos aos direitos e liberdades das pessoas antes de implementar novos sistemas Para a tomada de decisões e perfilamento automatizados, fornecer informações significativas sobre a lógica envolvida Reportar uma quebra de segurança para as autoridades e as pessoas afetadas num prazo de 72 horas 13

O Papel dos Arquitetos Como a Arquitetura Pode Ajudar a Assegurar a Conformidade 14

Por que a Arquitetura é a Chave Você precisa de uma visão geral ampla do uso de dados pessoais Por que razão foi coletada, como ela é processada, quem tem acesso, onde é armazenada, que terceiros estão envolvidos, que ameaças internas e externas existem... A arquitetura é a principal fonte de informações Segurança por desenho é essencial para um estado futuro seguro e conforme 15

Passos a Dar (1) 1. Colabore com colegas para atender à conformidade Trabalhe com seu DPO, CISO, CRO e assessoria jurídica 2. Reúna um inventário de privacidade : Classifique todos os seus dados e avalie se eles se qualificam como pessoais Descreva a finalidade para a qual foram coletados; você tem o consentimento do sujeito para usá-los? Preste especial atenção às categorias especiais de dados pessoais (por exemplo, relacionados à saúde, biometria, política, religião, etnia). Seu uso só é permitido em circunstâncias muito específicas! 16

Passos a Dar (2) 3. Analise o uso de dados pessoais Comece com áreas de alto risco e os dados mais sensíveis Modele fluxos de dados: quais aplicativos, processos, pessoas e partes usam este dados, em quais locais, para qual finalidade? 4. Avalie os riscos para os dados confidenciais Onde você está vulnerável? O que poderia dar errado? 5. Defina os controles e medidas mitigadoras Use padrões como ISO/IEC 27001 como base 17

Passos a Dar (3) 6. Priorize os riscos, atribua orçamentos e planeje as mudanças Avalie o custo das medidas versus o risco (perda esperada) Integre com o seu portfólio e roteiros de projetos/mudanças 7. Implemente e teste medidas e controles Evidentemente, isso é o mais importante! 8. Demonstre a conformidade! E, naturalmente, atualize regularmente tudo isso! 18

Análise e Controle Usando Modelos de Arquitetura para Mitigar Riscos e Garantir a Conformidade 19

Analise e Mitigue os Riscos Sistematicamente analise ameaças e vulnerabilidades Desenvolva medidas mitigadoras em conformidade com a classificação de segurança dos dados No caso de sua segurança ser violada, avalie rapidamente o impacto potencial e tome as contramedidas adequadas Ativamente, demonstre a conformidade para os reguladores 20

Processo de Gerenciamento de Riscos Incorporado Com base em padrões internacionais como Open FAIR e ArchiMate 21

Use Modelos de Arquitetura Classifique seus dados com atributos de segurança e privacidade relevantes Use modelos de arquitetura para mostrar o fluxo, locais e processamento de dados pessoais através do panorama corporativo e de TI, e com terceiros Modele a finalidade de utilização para avaliar a proporcionalidade do uso de dados por organizações, aplicativos e indivíduos 22

Modelo de Arquitetura de Fluxos e Dados 23

Modelo de Arquitetura de Fluxos e Dados 24

Mapa de Calor do Panorama Aplicativos coloridos conforme o nível de proteção necessário, baseado na classificação de privacidade dos dados que eles usam Alta visibilidade proporcionada por uma ferramenta e repositório de arquitetura corporativa 25

Análises Mais Avançadas 26

Analise as Vulnerabilidades Você pode, também, importar dados a partir de análises externas, por exemplo, testes de penetração 27

Atribua Perfis de Segurança aos Ativos 28

Defina as Medidas de Controle Use, por exemplo, ISO/IEC 27001 como base para controles 29

Realize as Medidas de Controle Como você deve realizar as medidas de controle definidas na etapa anterior? 30

Avalie o Efeito das Medidas de Controle 31

Mapas de Calor Fornecem Percepções Quais são as minhas vulnerabilidades mais críticas? O que devo fazer sobre isso? 32

Apóie as Decisões da Gerência Crie painéis de controle para suportar a visualização de risco e conformidade, priorizar os problemas e definir as medidas apropriadas Use funcionalidade de gerenciamento de portfólios para ajudar você a decidir sobre investimentos em segurança Ligue estes investimentos com o ciclo de vida e a evolução dos aplicativos, para criar roteiros integrados 33

Destacando Aplicações de Alto Risco Gráfico do ciclo de vida de aplicativos filtrado para aplicativos de alto custo, alto risco 34

O Que se Segue? Esteja Preparado a Tempo, Comece Hoje Mesmo! 35

Teste GDPR Participe do nosso teste para ver quão pronto para o GDPR você está: http://www.surveygizmo.com/s3/3241516/how-readyare-you-for-the-gdpr Dá a você uma primeira ideia das coisas que você pode precisar pensar a respeito Os resultados agregados estão disponíveis através de nosso blog, fique atento 36

"Você está ciente do GDPR?" 37

"Você conhece a localização de seus dados?" Isto não é bom o suficiente! 38

Próximos Passos Comece agora: Monte uma equipe, avalie o que você precisa fazer e vá em frente Maio de 2018 está mais perto do que você imagina, e você pode precisar fazer um monte de trabalho Bom suporte de ferramenta é essencial, você não pode fazer isso nas costas de um guardanapo A Centus-BiZZdesign está aqui para ajudar você! 39

Como a BiZZdesign Suporta Você Conteúdo pré-preenchido o para o GDPR, tais como: Exemplo de ameaças e riscos Medidas de controle, por exemplo, com base no padrão ISO/IEC 27001 Análises aplicáveis Consultoria empacotada Ajuda com o que você precisa para modelar, e como fazer isso Ajuda a configurar as análises de risco e definir as medidas mitigadoras corretas 40

Benefícios da Solução BiZZdesign Pro-ativamente engajar os riscos de segurança e privacidade com uma abordagem de segurança por desenho Aproveitar os modelos existentes para a análise de risco Investir em segurança onde ela é importante Assegurar e demonstrar a conformidade Evitar pesadas multas e a perda de reputação 41

E Finalmente Algumas Sugestões O texto do GDPR: eur-lex.europa.eu/legalcontent/en/txt/?uri=consil:st_5419_2016_init Nosso teste GDPR: www.surveygizmo.com/s3/3241516/how-ready-areyou-for-the-gdpr Modeling Enterprise Risk Management and Security with the ArchiMate Language https://www2.opengroup.org/ogsys/catalog/w172 An Introduction to the Open FAIR Body of Knowledge https://www2.opengroup.org/ogsys/catalog/w148 42

Antonio Plais +55 31 99279-0290 antonioplais@centus.com.br br.linkedin.com/in/antonioplais/pt www.centus.com.br 43

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback