Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
IBLISS – Consultoria em Segurança Cibernética
  • Home
  • A IBLISS
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
    • Teste de Intrusão
    • Conscientização e Cultura
    • AppSec & DevSecOps
  • Blog
  • Oportunidades
  • Contato
IBLISS – Consultoria em Segurança Cibernética
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Blog Minuto Proteção
  • Contato
  • Home
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Conscientização e Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
  • Parceiros
  • Política de Alto Nível
  • Política de Privacidade

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Ameaças
  • Quais violações de dados pessoais se aplicam ao GDPR?
Ameaças Estratégia em Segurança GDPR Notícias IBLISS RGPD Segurança Digital
_ 26 de fevereiro de 2018

Quais violações de dados pessoais se aplicam ao GDPR?

Com a proximidade da data limite da conformidade com o Regulamento Geral de Proteção de Dados, ainda existem muitas dúvidas práticas sobre quando uma violação de dados pessoais deve ser notificada aos indivíduos impactados.

A sua empresa sofreu um ataque de ransomware e os dados pessoais foram criptografados, seu portal web sofreu um ataque cibernético onde os dados pessoais foram extraviados, uma empresa enviou um e-mail de marketing com identificação de dados pessoais para um conjunto de indivíduos, será que preciso notificar a autoridade administrativa responsável pelos dados pessoais, assim como os indivíduos impactados?

Essas e outras dúvidas foram respondidas nas diretrizes de violações de dados pessoais definido pela Comissão Europeia, veja alguns desses exemplos abaixo.

Exemplo Notificar a autoridade administrativa? Notificar o indivíduo em questão? Observações / Recomendações
O administrador armazenou dados pessoais em um arquivo de backup criptografados com uma chave USB. A chave é roubada durante um incidente. Não Não Enquanto os dados estão criptografados com um algoritmo forte, os backups dos dados e a chave não foram comprometidos, sendo assim os dados podem ser restaurados.
No entanto, se for posteriormente comprometida, a notificação é necessária.
O administrador mantém um serviço on-line. Após um ataque cibernético no serviço, os dados pessoais dos indivíduos são extraviados.
O administrador tem clientes em um único Estado Membro da União Europeia.		 Sim, reporte para a autoridade administrativa se existem consequências prováveis para indivíduos Sim, informe aos indivíduos, dependendo da natureza dos dados pessoais afetados e se a gravidade das prováveis consequências para os indivíduos é alta.
O administrador sofre um ataque de ransomware que resulta em todos os dados serem criptografados. Não há backups disponíveis e os dados não podem ser restaurados. Na investigação, fica claro que a única funcionalidade do ransomware era criptografar os dados e que não havia outro malware presente no sistema. Sim, informe à autoridade administrativa, se houver prováveis consequências para os indivíduos, pois esta é uma perda de disponibilidade. Sim, informe aos indivíduos, dependendo da natureza dos dados pessoais afetados e do possível efeito da falta de disponibilidade dos dados, bem como de outras consequências prováveis. Se houvesse um backup disponível e os dados pudessem ser restaurados em tempo útil, isso não precisaria ser reportado à autoridade administrativa ou aos indivíduos, pois não haveria perda permanente de disponibilidade ou confidencialidade. No entanto, se a autoridade administrativa tomou conhecimento do incidente por outros meios, pode considerar uma investigação para avaliar o cumprimento dos requisitos de segurança mais amplos do Artigo 32.
Um indivíduo telefona para o centro de atendimento de um banco para denunciar uma violação de dados, onde o mesmo recebeu uma declaração mensal de outra pessoa.
O administrador realiza uma breve investigação (por exemplo,  dentro de 24 horas) e identifica que ocorreu uma violação de dados pessoais e possui uma falha sistêmica que pode significar que outras pessoas foram ou podem ser afetadas.		 Sim Somente os indivíduos afetados são notificados caso o risco seja alto, sendo os demais não foram afetados. Caso após uma investigação mais profunda, identificar-se que mais indivíduos foram afetados, a autoridade administrativa deve ser atualizada e notificar os demais indivíduos se houver risco alto para os mesmos.
Um e-mail de marketing é enviado aos destinatários nos campos “para:” ou “cc:”, permitindo que cada destinatário veja o endereço de e-mail de outros destinatários. Sim, notificar a autoridade administrativa pode ser obrigatório se um grande número de indivíduos for afetado, se os dados confidenciais forem revelados (por exemplo, uma lista de correspondência de um psicoterapeuta) ou se outros fatores apresentam riscos elevados (por exemplo, o e-mail contém parte das senhas). Sim, informe aos indivíduos, dependendo do escopo e tipo de dados pessoais envolvidos e da gravidade das possíveis consequências. A notificação pode não ser necessária se nenhum dado confidencial for revelado e se apenas um número menor de endereços de e-mail for revelado.

 

Referência:
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612052

♥3
Maio 2018, sua empresa está preparada para a diretiva NIS?
11 de fevereiro de 2018
Analista de Segurança da Informação – Pentester
28 de fevereiro de 2018

Leave a comment Cancelar resposta

Você precisa fazer o login para publicar um comentário.

Postagens Recentes

  • Como manter a segurança de nossas crianças na Internet?
  • Seus colaboradores estão prontos para os desafios trazidos pela Segurança da Informação e Privacidade?
  • Resiliência Cibernética: como está sua resposta ao incidente?
  • IBLISS Digital Security anuncia parceria com a empresa INVIRON
  • IBLISS conquista certificação GPTW pelo terceiro ano consecutivo

Categorias

  • Acontece na IBLISS
  • Ameaças
  • AppSec & DevSecOps
  • Ataques Cibernéticos
  • Blog
  • Cibersegurança
  • Consciencialização
  • Conscientização
  • Cyber Protection
  • Diário de Um Pentester
  • eBook
  • Education
  • Estratégia em Segurança
  • Eventos
  • GDPR
  • Gestão de vulnerabilidades
  • LGPD
  • Notícias IBLISS
  • Privacidade
  • RGPD
  • Risk e compliance
  • root
  • Segurança Digital
  • Segurança no E-Commerce
  • Sensibilização
  • Technology
  • Testes de invasão
  • Uncategorized
  • Vagas
  • Vulnerabilidades

Contato

Av. Angélica, 2582
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

IBLISS_Parcerias_Certificado-1536x512-1-pm727zz2jah6fbi8ty4ggbgwzzn3clcj1wf0235qf4

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Política de Privacidade

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.