AGORA É LEI! VOCÊ SABIA?
A Lei Geral de Proteção de Dados Pessoais define regras para o uso, proteção e transferência de dados pessoais coletados pelas empresas.
O texto oferece ao cidadão brasileiro mais controle sobre suas informações pessoais: exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto pela iniciativa privada, e exige que as empresas apresentem opções para o usuário visualizar, corrigir e excluir esses dados.
Estão sujeitos às penalidades da lei – que variam de advertências a multas diárias de até R$ 50 milhões – os negócios que registram informações dos clientes sem sua autorização, ou que os repassem, armazenem sem necessidade comprovada, ou que tenham esses dados vazados de alguma forma.
Apesar de ter sido sancionada em agosto de 2018, ela entrará em vigor em fevereiro de 2020.
Ou seja, as empresas têm 18 meses para se adequar à nova legislação.
COMO A LEI AFETA MEU NEGÓCIO?
A Lei de Proteção de Dados Pessoais vale para todas as empresas que, de alguma forma, coletam, armazenam e tratam informações de clientes no Brasil, independente de seu segmento de atuação, porte ou faturamento.
Ou seja, das startups a grandes empresas já consolidadas, passando por pequenos comércios que armazenam informações de clientes como CPF, RG, Telefone, Endereço, etc., todas devem contar com medidas para proteção dos dados dos clientes.
Por isso, o nível de exposição da empresa e o eventual vazamento de dados podem comprometer a saúde financeira e continuidade de seus negócios, principalmente de PMEs.
O QUE EU PRECISO FAZER PARA ESTAR EM CONFORMIDADE COM A NOVA LEI?
É preciso que as empresas façam uma análise interna de seus processos, sistemas e ferramentas para avaliar como os dados pessoais de seus clientes/usuários são tratados, reforçando a proteção, com responsabilidade e transparência.
Os Especialistas em Riscos Cibernéticos da AIG Seguros indicam os passos a seguir:
1 – Procure identificar onde, como e quando sua empresa faz a coleta de dados de seus clientes.
2 – Seu negócio online possui Termo de Uso e Termo de Confidencialidade atualizados e transparentes? É importante que o cliente esteja ciente e aceite tais termos.
3 – Como é o armazenamento desses dados? Estão seguros?
4 – Conte com o apoio de profissionais especializados em Segurança da Informação para auxiliá-lo a verificar a atualização de seus programas de antivírus, firewall, navegador e outras plataformas digitais que utiliza.
5 – Quem acessa os dados de seus clientes? Qualifique sua equipe para que todos estejam inteirados sobre os procedimentos de segurança.
6 – Já tem mapeados os principais riscos de vazamentos de dados que sua empresa pode sofrer? Esteja preparado.
A QUAIS RISCOS O MEU NEGÓCIO ESTÁ EXPOSTO?
Segundo estudo divulgado pela AIG Seguros em março deste ano, sobre o relato de seus segurados a ataques cibernéticos, os principais riscos às empresas são:
- Servidores externos com acesso remoto combinado a senhas frágeis.
Isso oferece uma oportunidade para a entrada de programas maliciosos (malware) ou sequestro de dados (ransomware). O acesso remoto deve ser controlado cuidadosamente. - Falta de conscientização do usuário, permitindo o acesso de hacker por meio de phishing. Por desconhecimento, o usuário pode acessar um email contendo um link malicioso. Ao clicar, é fisgado (daí o termo phishing) ao ser direcionado a uma página falsa que pode coletar seus dados ou expor os dados de acessos do usuário ao hacker. O usuário deve estar sempre alerta e perguntar-se: “este email é de remetente confiável?”. Caso contrário, ele deve informar a equipe de Segurança da Informação da empresa para que sejam tomadas as devidas medidas.
- Procedimentos frágeis de login. O risco de phishing é diminuído ao contar com processos mais robustos de acesso aos sistemas, como o uso de duplo fator de autenticação. Esse procedimento deve ser adotado como um padrão mínimo de segurança por usuários de empresas com acesso a informações sensíveis, como dados pessoais e bancários de funcionários e de clientes.
AMEAÇAS DIGITAIS
Ainda segundo o levantamento da AIG, o número de reclamações de clientes sobre ataques cibenérticos sofridos em 2017 foi o mesmo que o combinado dos quatro anos anteriores, o equivalente a um registro de sinistro por dia útil de trabalho.
O sequestro de dados(ransomware) segue a principal causa de ataques cibernéticos externos, por sua baixa complexidade, custo e alto poder de retorno ao hacker. Como seu impacto chave é a interrupção do negócio, empresas acabam pagando o resgate para retomar o acesso às suas operações.
Serviços financeiros, serviços profissionais e varejo são alguns dos segmentos mais afetados no mundo todo, assim como saúde e logística. No entanto, não há setor imune às ameaças digitais ou vazamento de dados, sejam eles intencionais ou causados por acidente. Só ano passado, segundo a Symantec, as perdas com crimes cibernéticos somaram mais de US$ 22 bilhões no Brasil e atingiram cerca de 62 milhões de brasileiros, isso sem contar as ocorrências em pequenas empresas, que, por serem menores e não havia a exigência de reportá-las, não são registradas.
CONTE COM UM SEGURO DE RISCOS CIBERNÉTICOS
Segundo a empresa especializada em Segurança da Informação, Kaspersky, o Brasil é hoje o sétimo país mais atacado por hackers no mundo. Por isso, o Seguro de Riscos Cibernéticos atua hoje como uma camada extra de proteção, com coberturas específicas para diferentes situações em que os dados de sua empresa são expostos a terceiros.
Coberturas
O Seguro de Riscos Cibernéticos da AIG oferece ampla cobertura em caso de vazamento de dados armazenados por uma empresa, inclusive contempla o pagamento de multas, como será agora exigido pela nova legislação. Outras coberturas do Seguro de Riscos Cibernéticos AIG também são os custos de notificação da empresa a seus clientes, e responsabilidade pela segurança de dados, ato, erro ou omissão que resulte na divulgação dessas informações devido a uma violação de segurança, e ressarcimento por lucros cessantes.
fonte: cybermap.kaspersky
CONHEÇA AS PRINCIPAIS SITUAÇÕES E AS COBERTURAS AIG
VAZAMENTO DE INFORMAÇÕES (Interno ou externo)
Consequências: Perda de confiança dos clientes, impacto negativo na reputação da organização
Transferência para a Apólice:Gastos relacionados com a gestão da crise, custo de equipe de relações públicas que atuará na definição de estratégias, bem como o custeio das notificações a serem realizadas aos indivíduos que tiveram dados vazados
PERDAS CAUSADAS A TERCEIROS EM DECORRÊNCIA DE ATAQUE CIBERNÉTICO (Interno ou externo)
Consequências possíveis: Reclamação de terceiros por prejuízos sofridos em decorrência de um ataque cibernético, que podem envolver a violação de privacidade, roubo de código de acesso ou a contaminação por malware
Transferência de risco e resposta da apólice: Pagamento das perdas devido a terceiros | Acordos e/ou indenizações | Custo de defesa
EXTORSÃO OU RANSOMWARE (Interno ou externo)
Consequências possíveis: Indisponibilidade de ativos e sistemas críticos da organização por conta de ataque cibernético em que o atacante exige pagamentos em dinheiro (ou criptomoedas ou outros ativos de valor) para cessar a ameaça
Transferência de risco: A seguradora pagará ao segurado o custo de realizar uma investigação pra determinar a causa de uma ameaça de segurança e/ou quantia paga em conformidade com os requisitos legais e com prévio consentimento da Seguradora para encerrar uma ameaça de segurança que poderia resultar em um dano ao Segurado
VIOLAÇÃO DE PRIVACIDADE (Interno ou externo)
Consequências possíveis: Danos à imagem da organização e à reputação dos responsáveis pela proteção de dados, investigações administrativas de órgãos reguladores, multas e penalidades previstas nas leis de proteção de dados
Transferência para a apólice: Os custos decorrentes de investigações administrativas e regulatórias, assim como o custo com peritos forenses computacionais e o pagamento de multas relacionadas à violação de leis de proteção de dados podem ser transferidos para a apólice de seguros
DESTRUIÇÃO DE BASE DE DADOS (Interno ou externo)
Consequências possíveis: Prejuízo operacional e financeiro da empresa
Transferência de risco e resposta da apólice: Custos e despesas para determinar se os dados eletrônicos podem ser ou não restaurados, restabelecidos ou recriados; ou restaurar, restabelecer ou recriar os dados eletrônicos, quando possível
VIOLAÇÃO DE SEGURANÇA E VAZAMENTO DE DADOS (Interno ou externo)
Consequências possíveis Caso II: Investigação Administrativa
Transferência de risco e resposta da apólice: Honorário, custos e gastos que o segurado incorra, para o assessoramento legal e a representação relacionados a uma investigação
DESTRUIÇÃO OU CONTAMINAÇÃO DE BANCOS DE DADOS (Interno ou externo)
Consequências:Destruição de bases de dados cadastrais ou transacionais em decorrência de ataque cibernético, causando prejuízos operacionais e/ou financeiros à organização
Transferência de risco:Os custos para restaurar ou recriar os bancos de dados danificados ou destruídos são pagos pela apólice do CyberEdge
INTERRUPÇÃO DE REDE DECORRENTE DE VIOLAÇÃO DE SEGURANÇA (Interno ou externo)
Consequências possíveis:Lucros cessantes do segurado
Transferência de risco e resposta da apólice:A seguradora pagará o lucro líquido que teria sido ganho; ou despesas operacionais contínuas incorridas durante a interrupção material, incluindo gastos com folhas de pagamento
VIOLAÇÃO DE SEGURANÇA E VAZAMENTO DE DADOS (Interno ou externo)
Consequências possíveis: Reclamação de terceiros por prejuízos sofridos
Transferência de risco e resposta da apólice:Pagamento das perdas devido a terceiros | Acordos e/ou indenizações | Custo de defesa
Fonte: AIG Seguros.
Quer saber mais?
Clique aqui e fale conosco.