O GDPR e o trabalho em casa | GDPR política de acesso remoto

As empresas com forças de trabalho remotas devem tomar medidas extras para proteger seus dados e gerenciar o acesso dos funcionários.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Entender como o GDPR afeta as forças de trabalho remotas
  • Saber o que incluir em uma política de acesso remoto

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é RGPD?

O Regulamento Geral sobre a Proteção de Dados (RGPD) é uma lei de privacidade de dados abrangente que estabelece uma estrutura para a coleta, processamento, armazenamento e transferência de dados pessoais. Exige que todos os dados pessoais sejam processados de maneira segura e inclui multas e penalidades para as empresas que não cumprirem esses requisitos.

Cumprir o RGPD pode ser um desafio para qualquer empresa, e usar uma força de trabalho remota apresenta complexidades adicionais. Quando alguns ou todos os funcionários e contratados de uma empresa trabalham em casa, as equipes internas de proteção de dados podem ter menos controle e visibilidade da segurança dos dados. Políticas de segurança de acesso remoto consistentes podem ajudar a proteger os dados pessoais e confidenciais protegidos pelo RGPD.

O que é uma política de acesso remoto?

Uma política de acesso remoto é o conjunto de padrões de segurança para funcionários e dispositivos remotos. A equipe de TI ou de segurança de dados de uma empresa normalmente definirá a política. Uso de rede privada virtual (VPN) , instalação antimalware em dispositivos de funcionários e autenticação multifator (MFA) são todos exemplos de coisas que podem ser incluídas em uma política de segurança para acesso remoto.

O que o GDPR exige?

O GDPR é um conjunto muito amplo de regulamentos. Entre outras coisas, requer várias ações específicas que os controladores e processadores de dados precisam realizar. Algumas delas incluem:

  • Manutenção de registros: os processadores de dados devem manter registros de suas atividades de processamento.
  • Medidas de segurança: os controladores e processadores de dados devem usar e testar regularmente as medidas de segurança adequadas para proteger os dados que coletam e processam.
  • Notificação de violação de dados: os controladores de dados que sofrem uma violação de dados pessoais devem notificar as autoridades competentes dentro de 72 horas, com algumas exceções. Normalmente, também devem notificar as pessoas cujos dados pessoais foram afetados pela violação.
  • Data Protection Officer (DPO): As empresas que processam dados podem precisar contratar um Data Protection Officer (DPO). O DPO lidera e supervisiona todos os esforços de conformidade com o GDPR.

Os requisitos completos para controladores e processadores de dados são descritos no GDPR.

Como a segurança de dados é a principal preocupação do GDPR, as empresas que permitem que seus funcionários trabalhem em casa precisam ter certeza de que estão tomando as medidas corretas para proteger os dados que seus funcionários acessam remotamente.

O que as empresas com forças de trabalho remotas devem fazer para garantir a segurança dos dados?

Portanto, as etapas a seguir são uma parte muito importante de qualquer política de acesso remoto (esta não é uma lista completa):

Proteger dados em trânsito e em repouso.

Dados em trânsito referem-se aos dados que estão viajando do ponto A para o ponto B — por exemplo, dados que passam entre um aplicativo SaaS e um dispositivo do usuário. Dados em repouso referem-se a dados armazenados, tais como dados no disco rígido de um notebook de um usuário. Em ambos os casos, os dados devem ser protegidos.

Controle de acesso e criptografia são as principais tecnologias de proteção de dados. Os funcionários remotos, como todos os funcionários, precisam ter um bom motivo para ter acesso aos dados pessoais e seu acesso a esses dados deve ser rastreado e gerenciado. As tecnologias de Gerenciamento de Identidade e Acesso (IAM) ajudam a evitar que pessoas não autorizadas vejam e alterem dados.

Além disso, os dados que passam por redes, incluindo a internet, devem ser criptografados com HTTPS, uma VPN ou outro método (os aplicativos baseados em nuvem podem complicar essa regra para os funcionários remotos: leia esse artigo sobre VPNs para empresas para saber mais). Além disso, os dados também precisam ser criptografados quando estão armazenados ou "em repouso" nos servidores e discos rígidos. Para conseguir isso, as equipes de TI precisam aplicar suas políticas de segurança para criptografia a todos os dispositivos, mesmo nos dispositivos pessoais dos funcionários em alguns casos.

Proteger os endpoints dos funcionários.

Dispositivos de endpoint de funcionários remotos (como notebooks, computadores desktop e smartphones) devem ser protegidos contra ataques cibernéticos porque uma infecção por malware pode resultar em violação de dados. Os dispositivos devem ter, no mínimo, um software antimalware instalado. Um gateway de web seguro também pode ajudar a proteger os funcionários enquanto navegam na internet.

Porém, ainda mais comuns do que infecções por malware são os dispositivos perdidos: notebooks ou smartphones com dados sensíveis armazenados localmente, que os funcionários deixam acidentalmente em uma área pública. Esse é outro motivo pelo qual a criptografia do dispositivo é extremamente importante.

Proteger contra ataques de phishing e outras formas de invasão de contas.

Ataques de Phishing ainda são uma das causas mais comuns de violações de dados. Um ataque de phishing ocorre quando um invasor engana um usuário para que ele forneça suas credenciais de login, permitindo que ele invada a conta do usuário. As implicações de uma invasão podem ser desastrosas para uma empresa que tenta permanecer em conformidade, pois o invasor pode se infiltrar na organização e visualizar, vazar ou roubar dados do consumidor.

Os ataques de força bruta e de pulverização de senha também podem resultar em invasão de conta, portanto as empresas devem aplicar uma forte política de senha. Ninguém deve ser capaz de adivinhar a senha de nenhum funcionário e a senha deve ser capaz de resistir à maioria dos ataques de bots. Se possível, as empresas devem implementar autenticação de dois fatores em todos os aplicativos corporativos em uso.

Saiba mais sobre como evitar ataques de controle de conta.