Este é um Guia Prático para as empresas que empregam nossas tecnologias de segurança. Este guia é explicado de modo prático e entendível para os profissionais de TI e TIC.

  1. Introdução:

A “GDPR brasileira”, conhecida pela sigla LGPD que é “Lei Geral de Proteção de Dados Pessoais”, foi emitida para adaptar os regulamentos sobre a proteção de pessoas e foi baseada na GPDR "General Protection Data Regulation" lançada na União Europeia. Esta Lei afeta no que diz respeito ao tratamento de dados pessoais, independentemente do local onde sejam processados, bem como a livre circulação desses dados, sem distinção dos instrumentos utilizados para o recolhimento dos dados.

A LGPD irá afetar a forma com que as empresas e organizações captam, armazenam e utilizam dados de seus clientes, tanto no meio online quanto offline.

[1] http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm

Apesar de ter sido sancionada em 2018, em 16/06/2020 a medida provisória 959/2020 define como a data de 03/05/2021 para que entre em vigor a Lei.

Atualização: Em 25/08/2020 ficou definida a data de 31/12/2020 como a data entrada de vigor da LGPD.

2. Quem está preocupado e o que isso envolve?

A LGPD obriga as empresas de todas as dimensões a adotar um novo conjunto de processos, metodologias e políticas, com regras específicas quanto à conservação de registros para empresas com garantias quanto à proteção de dados pessoais, com garantias e controles sobre como esses dados são processados, armazenados e protegidos.

A Lei detalha os papéis de quatro diferentes agentes: o titular, o controlador, o operador e o encarregado.

O titular: é a pessoa física a quem se referem os dados pessoais.
O controlador:  é a empresa ou pessoa física que coleta dados pessoais e toma todas as decisões em relação a forma e finalidade do tratamento dos dados. O controlador é responsável por como os dados são coletados, para que estão sendo utilizados e por quanto tempo serão armazenados.
O operador: é a empresa ou pessoa física que realiza o tratamento e processamento de dados pessoais sob as ordens do controlador.
O encarregado: é a pessoa física indicada pelo controlador e que atua como canal de comunicação entre as partes (controlador, os titulares e a autoridade nacional), além de orientar os funcionários do controlador sobre práticas de tratamento de dados.

3. Objetivo deste guia

Este guia, que pretende ser um exemplo não exaustivo, por motivos óbvios, não pode tratar a especificidade da empresa individual, o que naturalmente requer uma análise de segundo nível personalizada e aprofundada. Este guia pretende orientar o leitor através da introdução dos aspectos da LGPD, referentes ás implementações dos sistemas de Firewall e Roteamento utilizados pela Maila Networks que, até à data, têm sido desenvolvidos para fornecer ferramentas de primordial importância, e de forma a permitir às organizações que os adotam, respeitar as obrigações impostas pelo legislador e funcionar plenamente, de acordo com as novas disposições previstas.

Não é importante explicitar se os produtos utilizados, tais como o Cisco IOS, Huawei, Juno OS, Mikrotik, VyOS, pfSense e OPNSense, ou similares são compatíveis com a LGPD, visto que, na realidade, o principal discriminante é o tipo de instalação realizada, ou a realizar, verificando se é mais adequado e indicado para a atividade da organização.

A LGPD não especifica as medidas a serem tomadas para garantir a proteção dos dados pessoais, mas fornece indicações gerais que, uma vez implementada a solução, concorrerão para o efeito promovido pelo regulador. Por conseguinte, é necessário avaliar, para cada caso específico, os requisitos mínimos para assegurar o nível de proteção que pode ser alcançado com base na tecnologia aplicável e os custos de implementação proporcionais para esse fim.

4. Principais inovações introduzidas pela LGPD

Antes de analisar em detalhe como configurar os sistemas com os parâmetros relacionados, é necessário definir quais são as necessidades e os requisitos introduzidos pelos artigos individuais contidos na Lei.
Os principais parâmetros para o propósito deste guia, que dizem respeito principalmente às configurações dos sistemas de firewall empregados são:

4.a) A “violação de dados pessoais” é definida como “violação de segurança que envolve, de forma não intencional ou ilegal, a destruição, perda, modificação, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados ou processados ​​de outra forma.”

4.b) Tendo em conta o estado da rede e os custos de implementação, bem como a natureza, objeto, contexto e finalidade do tratamento, bem como o risco de probabilidade e seriedade variáveis ​​para os direitos e liberdades das pessoas, o tratamento do titular e o controlador devem adotar medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, que incluem, quando apropriado:

  • anonimização e criptografia de dados pessoais;
  • capacidade de garantir de forma permanente a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento;
  • capacidade de restaurar prontamente a disponibilidade e o acesso aos dados pessoais em caso de incidente físico ou técnico;
  • um procedimento para testar, verificar e avaliar regularmente a eficácia das medidas técnicas e organizacionais, a fim de garantir a segurança do tratamento.”

4.c) Notificação de uma violação de dados pessoais à autoridade de supervisão.
"Em caso de violação de dados pessoais, o responsável pelo tratamento deve notificar a autoridade de supervisão competente em conformidade, sem demora injustificada e, se possível, no prazo de 72 horas a partir do momento em que teve conhecimento, a menos que seja improvável que o a violação de dados pessoais representa um risco para os direitos e liberdades das pessoas singulares ”.

As organizações terão, portanto, de fornecer procedimentos específicos para o monitoramento constante e subsequente comunicação às autoridades nacionais de supervisão em caso de violação de dados pessoais, como acesso não autorizado.

4.d) Comunicação de violação de dados pessoais ao interessado.
“Caso a violação de dados pessoais possa representar um alto risco para os direitos e liberdades das pessoas, o controlador deve comunicar essa violação ao proprietário dos dados sem demora indevida”

4.e) Em alguns casos, ainda que não expressamente indicado na legislação, teremos que permitir a rastreabilidade das operações realizadas em dados pessoais, ou seja, os acessos à inserção, consulta, correção ou cancelamento dos referidos dados.
A auditoria não é solicitada diretamente, mas é necessário apurar o título e para qual a finalidade do feito do acesso aos dados pessoais.

Obviamente, o sistema de auditoria em um roteador / firewall é estritamente necessário apenas se, de alguma forma, representar um ponto de acesso a dados pessoais como para conexões em VPN ao sistema de computador da empresa ou caso o firewall seja colocada para em proteger um aplicativo em nuvem que hospeda dados pessoais.

Outro aspecto não secundário que pode surgir da conservação dos logs é a possibilidade de representarem dados pessoais. O ID do usuário, endereços IP, etc., eles podem deixar rastros que podem correlacionar os dados aos indivíduos. Portanto, avaliações apropriadas devem ser feitas para que esta parte esteja em conformidade.

Também neste caso os sistemas utilizados fornecem as ferramentas que nos permitem adequar às necessidades da organização e assim nos dá as possibilidades de:

  • Hospedar os logs dentro do próprio sistema.
  • Redirecionar os registros para um sistema externo.
  • Instalar os pacotes especiais para gerenciamento avançado de log, que também pode fornecer armazenamento seguro e criptografado dos logs.

5. Como e o que implementar nos Sistemas: Para excluir a priori quase todos os casos de obrigatoriedade de envio da referida comunicação à autoridade ou ao interessado (conforme ponto 4.d) e para evitar as sanções previstas, os dispositivos deverão ser devidamente configurados.

5.1 Projetar ou adaptar um sistema:
Conforme descrito na seção 4.b), um dos mais importantes aspectos para o projeto de um sistema de firewall / roteador e por este motivo merece atenção especial.

Caso o Roteador / firewall se destine a proteger um sistema que também guarde dados pessoais, será necessário verificar a implementação pontual de todas as medidas técnicas que podem ser prosseguidas com base na tecnologia aplicável e nos custos de implementação.

Analisando mais detalhadamente o referido, verifica-se que o legislador não entra no mérito de especificar detalhadamente quais as imposições técnicas a aplicar, mas indica os aspectos legais a ter em consideração na avaliação, nomeadamente:

  • O Estado da rede;
  • Custos de implementação;
  • Contexto e finalidades do tratamento; o risco de probabilidade e gravidade variáveis ​​para os direitos e liberdades das pessoas físicas. Uma vez realizadas estas avaliações e apenas após as mesmas, será possível “pôr em prática medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco”.

As medidas técnicas que recomendamos adotar são as seguintes:

a) A anonimização e a criptografia que discutiremos a seguir.

b) Capacidade de assegurar de forma permanente a confidencialidade, integridade, disponibilidade e resiliência dos sistemas e serviços de processamento.


c) A capacidade de restaurar prontamente a disponibilidade e o acesso de dados pessoais no caso de um incidente físico ou técnico.

Termos como disponibilidade e resiliência, o conceito de "capacidade de restaurar prontamente a disponibilidade e o acesso aos dados" indicam a disposição do legislador em favorecer o uso de tecnologias como redundância de hardware de componentes, alta confiabilidade entre aparelhos e redundância de conectividade para garantir que os sistemas sempre possam fornecer acesso aos dados.

Como você faz uma avaliação objetiva para determinar se uma organização precisa de um sistema completamente redundante ou se é suficiente ter um sistema simples?

Por exemplo, se a inacessibilidade dos dados implica um risco para o indivíduo, para a sua liberdade ou para a sua saúde, então, em conformidade com a lei, devo pelo menos propor todas as soluções tecnológicas necessárias para garantir o serviço. Não só é necessário garantir a segurança dos dados pessoais, utilizando criptografia avançada e anonimização conforme referido acima, mas também é necessário permitir que a pessoa identificada pelos dados recolhidos os acesse, modifique e exerça os direitos adicionais previstos.

d) A implementação de: procedimento de ensaio, verificação e avaliação periódica da eficácia das medidas técnicas e organizacionais para garantir a segurança do tratamento.

Também neste caso, do ponto de vista técnico, o legislador abstém-se de definir claramente os métodos de cumprimento dos requisitos, cabendo às organizações o encargo de avaliar as medidas técnicas que garantam a segurança do tratamento.

É claro para todos os especialistas em TI que: O considerado seguro (ou mais corretamente “parece seguro”) e com total eficiência, amanhã pode não ser.

Fica obviamente à sua disposição para estudar em detalhe todas as possibilidades oferecidas pelos sistemas.

Outro aspecto importante que diz respeito aos prestadores de serviços de TI e ao controlador de dados são os contratos de assistência que, estipulados com organizações que detenham competências técnicas nesta matéria, visam proteger o controlador em caso de violações.

Portanto, é necessário fornecer a assistência necessária à organização para definir:

  • Quais as tecnologias devem ser implementadas no dispositivo referido no ponto anterior para garantir o cumprimento da Lei;
  • Como configurar o dispositivo para uma realidade específica;
  • Quais são os melhores procedimentos para testar e verificar a segurança do sistema;
  • Quais dados devem ser rastreados para verificar se o acesso aos dados pessoais é realizado apenas por pessoas autorizadas e autorizadas.
  • Obviamente, não pode haver uma solução única e generalizada que atenda a todos os requisitos estabelecidos neste artigo. O quanto certamente será fornecido ao cliente, dependendo se você está no lugar de um consultor de TI ou de um controlador de dados, é a documentação adequada para comprovar, de acordo com os critérios estabelecidos acima, o cumprimento dos requisitos estabelecidos pelo “Lei Geral de Proteção de Dados” com base nas escolhas feitas e soluções tecnológicas devidamente fornecidas e implementadas.

5.2 “O controlador de dados deve usar apenas operadores de dados que forneçam garantias suficientes, em particular em termos de conhecimento especializado, confiabilidade e recursos, para implementar medidas técnicas e organizacionais que atendam aos requisitos deste regulamento, inclusive para a segurança do tratamento. ”

“A execução do processamento por um responsável pelo tratamento deve ser regida por um contrato ou outro ato jurídico ao abrigo da legislação da União ou dos Estados-Membros que restrinja o controlador pelo tratamento ao responsável.”

O Sistema Operacional utilizado, através de soluções concebidas especificamente para o cliente, a par do controle contínuo da segurança dos sistemas instalados com particular referência aos dados pessoais, permitirá comprovar, através de documentação atualizada periodicamente, o cumprimento integral das obrigações estabelecidas pela Lei Geral de Proteção de Dados e que será objeto do contrato entre o responsável pelo tratamento e o responsável pelo tratamento dos dados.

5.3 Dados contidos no sistema de arquivos do firewall / roteador.
Você pode prosseguir para analisar quais dados pessoais podem estar presentes em um sistema do tipo Cisco / Huawei / Juniper / Mikrotik / pfSense / OPNsense / VyOS.

Dada a definição de "dados pessoais":

“« Dados pessoais »” significa qualquer informação relativa a uma pessoa natural identificada ou identificável (“« em causa »”); um indivíduo é identificado como identificável, direta ou indiretamente, com referência particular a um identificador, como um nome, um número de identificação, dados de localização, um identificador online ou um ou mais elementos característicos de sua identidade física, fisiológica, genética, psicológica, econômico, cultural ou social “podemos enfrentar os diferentes casos em que, por exemplo, o primeiro poderia ser o nome atribuído a um usuário e / ou o certificado VPN digital de um possível road warrior. Neste caso, a “Lei Geral de Proteção de Dados” recomenda o uso da anonimização  sugerida.

“ Anonimização: o tratamento de dados pessoais de tal forma que estes não possam mais ser atribuídos a um determinado titular dos dados sem o uso de informações adicionais, desde que tais informações adicionais sejam armazenadas separadamente e sujeitas a medidas técnicas e organizacionais destinadas a garantir que tais dados pessoais não sejam atribuídos a uma pessoa física identificada ou identificável; “

Um tema de primordial importância diz respeito à configuração de um Portal criado com o Sistema de Firewall utilizado, utilizando um Portal Cativo como exemplo, que coleta os dados do usuário. Em um sistema configurado para realizar esta tarefa, o problema se torna mais complicado, pois os dados pessoais dos usuários podem residir no sistema.

Este é o único caso, até o momento razoavelmente concebível, em que em um sistema de Firewall, os dados pessoais dos usuários podem estar presentes. A principal ação a ser tomada é recorrer novamente à anonimização para que, em caso de violação, o atacante não consiga correlacionar os dados que adquiriu com a pessoa singular a quem esses dados pertencem.

Se a situação exigir, também será possível comprar um roteador de firewall com disco criptografado dentro.

5.4 Quais dados trafegam em um firewall / roteador?
Sendo um firewall ou roteador um sistema que, por definição, combina dois ou mais segmentos de rede, é importante chamar a atenção para o tipo de dados que podem transitar entre dois ou mais segmentos. É óbvio que informações de vários tipos podem transitar, como dados pessoais, dados biométricos, dados genéticos, etc ... todos abrangidos pela Lei. Este tipo de informação deve, portanto, ser protegida da forma mais eficiente possível e viável com base na tecnologia aplicável e nos custos de implementação.

Conforme descrito no ponto 4, o regulamento contém numerosas referências a dados criptográficos, úteis para fornecer uma orientação adicional e importante a ser adotada para as configurações dos nossos aparelhos.

Deve-se presumir que, para proteger um sistema, qualquer conexão deve ocorrer usando um protocolo criptografado.

É um exemplo de incentivo ao uso de VPNs em detrimento de portas RDP externas que antes da entrada em vigor da Lei já representavam uma abominação na segurança da informação e a partir de hoje não estarão mais em linha com os novos requisitos.

Raciocínio semelhante pode ser aplicado a todos os protocolos como, para citar apenas alguns dos mais famosos, http, ftp, pop3, imap, smtp, etc… que, lembre-se, têm sua própria versão “segura” e depois criptografada.

Felizmente, em nível internacional, aqueles serviços que não são baseados em criptografia serão abandonados no curto prazo: por exemplo, o Google não vai mais confiar em sites que não implementam o protocolo https e, consequente, o problema terá que ser tratado globalmente.

5.5 Acesso ao sistema:
Embora não previsto nas indicações explícitas da Lei, a organização, após avaliação adequada, pode encontrar a necessidade de regulamentar e / ou limitar o acesso e as atividades de administradores e usuários no dispositivos de Firewall.

É uma prática comum de TI usar o acesso de administrador sem discriminar o indivíduo que acessa o sistema. Os Sistemas utilizados oferecem os recursos apropriados para limitar as informações no painel de administração, definindo diferentes usuários com várias permissões de acesso.

Assim, será possível definir quais usuários acessam as informações e qual será a mesma natureza para integrar um sistema de auditoria operacional.

5.6 Uso de IDS
Todos os Sistemas utilizados integram ferramentas que podem ajudar a equipe de TI a entender se houve uma violação. Estes são o IDS ou Sistema de Detecção de Intrusão.

Em nosso caso específico, um IDS é uma ferramenta de software ou pacote que pode ser instalado em nosso sistema usado para identificar o acesso não autorizado a computadores, servidores ou redes locais.

Especificamente, o pfSense adota o SNORT como um sistema IDS e Suricata, enquanto no OPNsense ele integra Suricata dentro dele próprio. Já os Sistemas tipo Mikrotik e VyOS podem fazer uso do FastNetMon, enquanto as Soluções proprietárias como Cisco, Huawei e Juniper possuem licenças para cada um dos serviços.

5.7 Multas e sanções
Consequências criminais e multas podem ocorrer ás empresas que não se adaptarem ás regras.

5.8 Conclusões.
A “Lei Geral de Proteção de Dados” não é apenas um passo em frente para a proteção de dados pessoais e direitos das pessoas a quem pertence, mas exige um grande esforço de segurança de cada organização, a fim de contribuir para uma melhoria geral de toda a rede.

Analisada, portanto, a lei não impõe requisitos técnicos precisos, mas o objetivo do legislador é estabelecer os princípios pelos quais atuar e que cada organização deve cumprir para chegar à solução mais adequada ao caso concreto.