Lei do Cadastro Positivo também exige Segurança da Informação!

8 de julho de 2013
Compartilhe

A Lei nº 12.414, de 9 de junho de 2011, que disciplina a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito e o Decreto nº 7.829, de 17 de outubro de 2012, que regulamenta esta lei, definem a obrigatoriedade de uma série de requisitos de segurança da informação para a organização que for prestar o serviço de Cadastro Positivo.

Este serviço (Cadastro Positivo) está previsto para entrar comercialmente no mercado no mês de agosto, e as organizações precisam garantir que possuem controles de segurança da informação sob pena de não poderem prestar este tipo de serviço.

A Lei nº 12.413 define ações que exigem controles de segurança da informação, porém o Decreto nº 7.829 detalha melhor estes requisitos de segurança. A seguir, destacamos os principais controles exigidos por esta legislação e o seu relacionamento com as Dimensões de Segurança da Informação que definimos no nosso livro ? Praticando a Segurança da Informação, Editora Brasport, 2008 ?, baseadas na Norma NBR ISO/IEC 27002 Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação, ABNT, 2005.

No seu Artigo 1º, o Decreto 7.829 exige que a organização garanta a existência de:

1. Disponibilidade de plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados.

 Dimensão Classificação da Informação

– Dimensão Acesso à Informação

– Dimensão Continuidade de Negócio

 

2. Estruturas tecnológicas envolvidas no fornecimento do serviço de cadastro que sigam as melhores práticas de segurança da informação, inclusive quanto a planos de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados e das autorizações.

 Dimensão de Continuidade de Negócio

– Dimensão de Proteção Técnica

– Dimensão de Classificação da Informação

– Dimensão de Acesso à Informação

– Dimensão da Estrutura da Segurança da Informação

 

3. Adequabilidade da política de segurança da informação sobre a criação, guarda, utilização e descarte de informações nos âmbitos interno e externo, inclusive quanto à transferência ou utilização de informações por outras empresas prestadoras de serviço contratadas

 

 Dimensão Política de Segurança da Informação

– Dimensão Acesso à Informação

– Dimensão de Classificação da Informação

 

4. Adequabilidade da política de estabelecimento da responsabilidade, principalmente nos quesitos sigilo e proteção das informações, privacidade de dados dos clientes e prevenção e tratamento de fraudes.

– Dimensão Acesso à Informação

– Dimensão Prevenção e Tratamento de Fraudes

– Dimensão Classificação da Informação

– Dimensão Estrutura da Área de Segurança da Informação

 

5. Controles de risco disponíveis.

– Dimensão de Gestão de Riscos

 

Em outros artigos, o Decreto 7.829 continua a sua exigência em segurança da informação:

6. Existência de histórico (Artigo 2º)

– Dimensão de Acesso à Informação

– Dimensão de Cópias de Segurança

 

7. Comprovação da autenticidade e a validade da autorização (Artigo 7º, §2º):

– Dimensão de Acesso à Informação

 

8. Verificação da validade e autenticidade das autorizações (Artigo 8º):

– Dimensão de Acesso à Informação

 

9. Validação e autenticação da autorização (Artigo 8º, § Único):

– Dimensão de Acesso à Informação

 

10. Existência de acesso exclusivo pelos consulentes (Artigo 9º):

 

– Dimensão de Acesso à Informação

 

11. Gestão de sistemas de guarda e acesso com requisitos de segurança (Artigo 10º, IV):

– Dimensão de Acesso à Informação

 

 

12. Rastreabilidade de acessos (Artigo 10º, V):

– Dimensão de Acesso à Informação

– Dimensão de Cópias de Segurança

 

13. Existência de dados para fins de auditoria (Artigo 12º, §3º):

– Dimensão de Acesso à Informação

– Dimensão de Cópias de Segurança

 

 

14. Proibição da exclusão parcial de dados em situação específica (Artigo 13º, § Único):

– Dimensão de Acesso à Informação

 

 

15. Existência de mecanismos que preservem a integridade e o sigilo de dados enviados (Artigo 15º):

– Dimensão de Acesso à Informação

– Dimensão da Classificação da Informação

 

 

A organização precisa ter o seu Plano Corporativo de Segurança da Informação, com um gestor profissional com acesso aos gestores e executivos, e principalmente aos acionistas. Afinal, se algo não acontecer ou acontecer por negligência de controles de segurança da informação, são os acionistas que recebem os impactos financeiros, de imagem e conformidade legal.

Desenvolva e implante hoje os controles de segurança que serão exigidos amanhã.

*Edison Fontes. Mestre em Tecnologia; possui as certificações internacionais de CISM, CISA e CRISC. É consultor, gestor e professor de Segurança da Informação dos cursos de pós-graduação da FIAP. Compartilha seu conhecimento como colunista do site Information Week. Autor dos livros: Políticas e Normas para a Segurança da Informação (Editora Brasport), Clicando com Segurança (Editora Brasport), Praticando a Segurança da Informação (Editora Brasport), Segurança da Informação: o usuário faz a diferença! (Editora Saraiva) e Vivendo a Segurança da Informação (Editora Sicurezza). Atua na área de Segurança da Informação desde 1989.

 

Últimas Notícias
Inclusão de IA em MBAs capacita profissionais para carreiras do futuro Leia mais
UMBLOCO, STARTUP ACELERADA PELA ROCK NEW VENTURES É SELECIONADA PARA PARTICIPAR DO WEB SUMMIT LISBON 2024 Leia mais
MAIS DE 80 PROJETOS SÃO PREMIADOS NO NEXT 2024, EVENTO PROMOVIDO PELA FIAP Leia mais
MBA em Tecnologia potencializa carreira de líderes em diversos setores Leia mais

Nosso site armazena cookies para coletar informações e melhorar sua experiência. Gerencie seus cookies ou consulte nossa política.

Prosseguir

Configure seus cookies

Pensando em nossos alunos, fazemos o uso de cookies para melhorar a experiência de navegação em nosso site e otimizar constantemente os nossos serviços. Os cookies armazenam temporariamente algumas informações básicas da sua interação com as nossas páginas.

Cookies indispensáveis

Estes cookies não podem ser desativados pois são necessários para que o site funcione corretamente ou para melhorar o desempenho funcionalidades diversas. Eles estão relacionados com a realização de login no Portal do Aluno, o preenchimento de formulários, contagem de visitas para a medição de performance de páginas, entre outros. Todos armazenados sem a possibilidade de identificação pessoal. Ao configurar seu navegador para bloquear esses cookies, algumas partes do site podem não funcionar.

Cookies de publicidade

Habilitado

Estes cookies são estabelecidos por nossos parceiros de publicidade e podem ser usados para compor um perfil sobre seus interesses e, a partir disso, mostrar anúncios relevantes para você em outros sites. As informações armazenadas são baseadas na identificação exclusiva do seu navegador e dispositivo de internet, sem armazenar diretamente informações pessoais. Ao configurar seu navegador para bloquear esses cookies, você terá menos publicidade direcionada.