A segurança de dados é uma prioridade máxima para todas as empresas na era digital. Com a introdução de regulamentações como a Lei Geral de Proteção de Dados (LGPD) no Brasil e a Regulação Geral de Proteção de Dados (GDPR) na União Europeia, as empresas estão sob pressão para garantir que seus sistemas de TI estejam em conformidade. Na XLabs Security, oferecemos nosso Firewall de Aplicação Web (WAF) e nossa Rede de Distribuição de Conteúdo (CDN) que ajudam as empresas a proteger suas aplicações web e a cumprir essas regulamentações.
Melhores Práticas de WAF e CDN
Nossas soluções de WAF e CDN são projetadas para fornecer uma proteção robusta contra uma variedade de ameaças, incluindo ataques DDoS, injeção de SQL, Cross-Site Scripting (XSS) e outras vulnerabilidades de segurança comuns a avançadas. Utilizamos tecnologia de ponta e práticas recomendadas do setor para garantir que suas aplicações web estejam seguras.
- Implementação de Medidas Técnicas e Organizacionais Adequadas: Nossas soluções de WAF e CDN ajudam a implementar medidas técnicas e organizacionais adequadas para proteger os dados pessoais processados em suas aplicações web, conforme exigido pela LGPD e GDPR.
- Uso de Tecnologia de Última Geração: Utilizamos tecnologia de última geração para minimizar os riscos ao processar dados pessoais em aplicações web. Nossas soluções são projetadas para proteger suas aplicações web contra ataques DDoS e de camada de aplicação como injeções SQL que podem vazar dados de suas aplicações web.
- Implementação de uma Estratégia de Segurança Zero-Trust: Acreditamos na implementação de uma estratégia de segurança Zero-Trust, que isola as aplicações e os dados pessoais que elas contêm da internet. Isso ajuda a garantir que apenas usuários autorizados tenham acesso aos seus dados.
- Implementação de uma Estratégia de Monitoramento e Log: A LGPD e a GDPR orientam as empresas e instituições a estabelecerem um ambiente robusto de log e monitoramento. Isso é fundamental para o rastreamento de atividades suspeitas e anormais, permitindo uma resposta rápida e eficaz a possíveis ameaças de segurança. Na XLabs Security, implementamos essa estratégia para garantir que todas as atividades sejam devidamente registradas e monitoradas. Isso não só ajuda a detectar e mitigar potenciais ataques, mas também fornece uma trilha de auditoria detalhada que pode ser usada para demonstrar conformidade com as regulamentações de proteção de dados.
Interpretações Errôneas da LGPD e GDPR
Há uma interpretação errônea comum entre alguns analistas de segurança, DPO’s e outros profissionais, de que sistemas de segurança, como WAFs e firewalls, não devem analisar, registrar ou agir em resposta a requisições que contenham dados pessoais, como CPF. No entanto, essa interpretação é equivocada e pode abrir brechas para a exploração de vulnerabilidades. E iremos detalhar as razões para tal.
Se um WAF for configurado para não registrar, analisar ou não agir quando encontrar dados pessoais em requisições, isso criaria uma brecha explorável na proteção das aplicações web. Em vez de estar em conformidade com a LGPD e a GDPR, isso estaria criando formas de vazamento de informações e retirando a eficiência dos sistemas de proteção na hora da necessidade de "estancar vazamentos".
Seria somente necessário o atacante adicionar um CPF gerado em qualquer gerador de CPF online para anular as defesas de um WAF.
Em um pior caso, na defesa de uma API que faz consultas legítimas em CPF’s de usuários para trazer informações de clientes por exemplo, durante um ataque de Spraying, criaria na realidade um ByPass contra as defesas e dando a possibilidade do atacante extrair a maior quantidade de dados de clientes da empresa afetada.
Outro exemplo que podemos citar, é a utilização de DLP's (Data Loss Prevention), que tem por objetivo a detecção da extração ilegal de dados em redes e sistemas, se um DLP for configurado para não alertar e impedir a extração ilegal de um banco de dados contendo CPF's, somente pelo fato do Banco de Dados ter CPF's, o DLP perdeu completamente sua função, a extração de dados poderá ser eficiente e certamente a empresa terá um vazamento de informações.
Na XLabs Security, recusamos esse tipo de exceção para nossos clientes, pois entendemos que os dados obtidos durante a análise de um ataque não serão usados além do que é necessário para proteger as aplicações de nossos clientes. Nossa prioridade é garantir a segurança dos dados de nossos clientes, e estamos comprometidos em fazer isso de uma maneira que esteja em conformidade com todas as regulamentações de proteção de dados aplicáveis.
Tanto a Lei Geral de Proteção de Dados (LGPD) do Brasil quanto o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia estabelecem regras rigorosas sobre como os dados pessoais dos usuários podem ser coletados, armazenados e utilizados.
Ambas as leis têm como objetivo principal proteger a privacidade e os direitos dos indivíduos em relação aos seus dados pessoais. Elas exigem que as organizações obtenham consentimento explícito dos usuários antes de coletar ou processar seus dados pessoais. Além disso, as organizações devem ser transparentes sobre como planejam usar esses dados. Algo que acreditamos que todos nossos clientes já obtêm de seus clientes e usuários.
No que diz respeito ao rastreamento de atividades dos usuários para fins comerciais e direcionamento de propaganda, tanto a LGPD quanto a GDPR estabelecem que as organizações só podem fazer isso se tiverem obtido o consentimento explícito do usuário para tal finalidade. Isso significa que os usuários devem ser informados de que seus dados serão usados para fins de marketing e ter a opção de recusar. Quanto a isso, nós da XLabs Security estamos tranquilos, pois não utilizamos os dados coletados de usuários de nossos clientes para marketing ou direcionamento de propagandas.
Além disso, ambas as leis dão aos usuários o direito de retirar seu consentimento a qualquer momento. As organizações devem facilitar esse processo de retirada de consentimento.
Conclusão
Na XLabs Security, estamos comprometidos em fornecer soluções de segurança robustas que ajudem nossos clientes a proteger suas aplicações web e a cumprir a LGPD e a GDPR. Entendemos as nuances dessas regulamentações e estamos aqui para ajudar nossos clientes a navegar por elas. Se você tiver alguma dúvida ou preocupação sobre como nossa solução de WAF e CDN podem ajudar sua empresa a cumprir a LGPD e a GDPR, não hesite em entrar em contato conosco.