A maioria das organizações, públicas e privadas, concentra-se em dois aspectos específicos da Lei Geral de Proteção de Dados (LGPD): como os dados pessoais são coletados e como são processados.
Isso faz com que as equipes de marketing se preocupem com a funcionalidade de inclusão e as equipes de TI preocupadas com a segurança dos dados.
Mas a conformidade com a LGPD também afeta os esforços da recuperação de dados. São elementos que envolvem backups, dados pessoais, segurança e arquivamento e que fazem a convergência entre a nova legislação e a preocupação com a garantia pela alta disponibilidade através da recuperação de desastres.
A estratégia para atender aos requisitos da lei de proteção de dados certamente não é um tipo de processo para se definir e depois esquecer. As empresas e organizações públicas devem monitorar e atualizar continuamente seus processos para permanecerem em conformidade.
Seguindo as regras do jogo
As regras para adequação da LGPD são tão aplicáveis aos seus sistemas de recuperação de desastres (DR) como são seus sistemas de produção, portanto, garantir que eles sejam compatíveis é fundamental.
Se você gerencia sua DR internamente ou usa um provedor externo, há uma grande chance de que você precise fazer as coisas de maneira diferente.
Para isso, a organização deve ser capaz de demonstrar processos relacionados à segurança, disponibilidade, recuperação e teste de seus sistemas de TI, que engloba a recuperação de desastres.
Além disso, esses processos precisam ter um padrão adequado para garantir a recuperação oportuna e efetiva, sem risco para a confidencialidade e integridade das informações do consumidor.
1 – Segurança
A segurança é composta de três blocos principais: confidencialidade, disponibilidade e integridade.
As empresas e órgãos públicos precisam oferecer uma estrutura abrangente para o desenvolvimento, implementação e manutenção de um sistema de gerenciamento de segurança de informações auditáveis de forma independente, alinhado com as políticas definidas pela lei de proteção de dados.
Se nem sua organização nem seu provedor de DR possuem essa visão prática da relação da compatibilidade com a nova legislação, então você corre o risco que sua adequação a LGPD seja comprometida e seu negócio corra riscos.
A LGPD vem com regras mais rigorosas sobre a transferência de dados, portanto você deve verificar onde seus dados são mantidos. Se forem transferidos para fora do Brasil, as condições definidas pelos requisitos da lei de proteção de dados também precisam ser atendidas.
Um processo completo em torno de violações de dados deve ser disponibilizado pelo seu provedor e alinhado ao seu para garantir que não haja buracos que possam ser vistos como uma vulnerabilidade ou falta de aderência à legislação.
2 – Recuperação
Vale a pena verificar os compromissos de recuperação do seu provedor. Existem dois elementos de desempenho para a recuperação de TI que devem ter prioridade:
- Quanto tempo levará para atingir o retorno total ao serviço.
- Quantos dados poderão ser perdidos durante o processo de recuperação.
Você terá, sem dúvida, objetivos de tempo de recuperação e objetivos de pontos de recuperação estabelecidos. Mas há garantias ou consequências para eles, caso não sejam cumpridos, ou são apenas “alvos esperançosos”?
Para que sua recuperação atenda aos requisitos da LGPD, você deve exigir resultados assertivos, como garantias de fornecedores, comprovando que os dados não estejam em risco.
3 – Testes
O teste de seus sistemas de DR deve ser documentado para que você prove que seus procedimentos estão alinhados com a conformidade.
Com que frequência os testes de recuperação de desastres são executados e como eles verificam se os dados foram submetidos a backup ou se eles testam a capacidade de recuperação de sistemas, aplicativos e dados?
Esse teste é, provavelmente, a principal área para as empresas direcionarem seus esforços. Eles irão, sem dúvida, protegê-lo contra todos os riscos e comprovar a conformidade com a LGPD.
4 – Contrato de serviços
Contratualmente, você deve confirmar com todos os provedores de DR e de backup se eles são um ‘processador de dados’ e buscar novos contratos com eles que declarem isso.
De acordo com as regras da lei de proteção de dados, qualquer pessoa ou empresa que obtenha, detenha ou recupere dados é considerada como um ‘processador de dados’ e está, portanto, sujeita à conformidade.
Você também deve ter um contrato de compartilhamento de dados elaborado para confirmar como os dados podem ser usados junto com as políticas de divulgação. Isso garantirá que seu provedor de DR tenha pensado em todos os requisitos da LGPD.
Como você mudou seus planos de recuperação após a implementação da Lei Geral de Proteção de Dados?
Com mais de 3 décadas de experiência, a MW Microware tem ajudado seus clientes dos mais diversos segmentos a superarem seus desafios tecnológicos através de suas competências de consultoria, implantação e gerenciamento de TI, soluções de segurança, cloud e SaaS. Somos um dos principais provedores de soluções do mercado nacional.