O Decreto 7.963 institui o Plano Nacional de Consumo e Cidadania e o Decreto 7.962 dispõe sobre a Contratação no Comércio Eletrônico, ambos publicados no dia 15 de Março de 2013. Estes decretos, dentre outros assuntos relacionados ao Consumidor e ao Comércio Eletrônico, definem regras de Segurança da Informação que a Organização precisará cumprir.
O Plano Nacional de Consumo e Cidadania no seu Artigo 5º – Define como ações a “garantia da privacidade, confidencialidade e segurança das informações e dados pessoais prestados ou coletados, inclusive por meio eletrônico”. A Organização que pratica o Comércio Eletrônico obrigatoriamente terá que garantir estas ações. Para ter este conjunto de ações a Organização precisa ter um Processo Organizacional de Segurança da Informação, baseado na Norma NBR ISO/IEC 27002:2005 – Tecnologia da Informação – Técnicas de segurança – Código de Prática para a Gestão da Segurança da Informação. Uma loja pequena que coleta dados de clientes precisa garantir o sigilo dos dados pessoais. Para tanto precisa ter um sistema de proteção para garantir o acesso apenas por funcionários autorizados e precisa garantir que estes dados não serão facilmente copiados e utilizados de maneira fraudulenta por pessoas que tenham acesso ao computador desta pequena loja.
No caso acima a questão da confidencialidade-sigilo da informação é o elemento de destaque.
Porém o Decreto 7.692/2013 exige outras características da segurança da informação como a integridade e a disponibilidade da informação. No seu Artigo 4º – O Decreto indica que o Fornecedor deverá:
- Confirmar imediatamente o recebimento e aceitação da oferta (Disponibilidade);
- Disponibilizar o contrato ao Consumidor (Disponibilidade e Controle de Acesso);
- Manter o serviço adequado e eficaz de atendimento (Disponibilidade, Integridade, Confidencialidade, Controle de Acesso, Autenticidade das partes);
- Confirmar imediatamente o recebimento das demandas do Consumidor (Disponibilidade, Controle de Acesso, Integridade, Autenticidade), e;
- Utilizar mecanismos de segurança eficazes para pagamento e para tratamento de dados do Consumidor (Disponibilidade, Confidencialidade, Autenticidade, Integridade, Técnicas de criptografia).
No Artigo 5º – Ainda exige que o arrependimento do Consumidor seja comunicado imediatamente pelo Fornecedor à instituição financeira ou administradora de cartão de crédito. Também deverá ser enviada ao Consumidor à confirmação do recebimento da sua manifestação de arrependimento. Este item contempla fortemente a Disponibilidade, mas também exige a Integridade e Autenticidade.
Em resumo, uma Organização que se propõe a vender pelo Comércio Eletrônico têm que desenvolver ou aprimorar o seu Processo Organizacional de Segurança da Informação. Com uma característica que tudo isto acontece no ambiente virtual. Neste ambiente a diferença de uma Organização de grande porte para outra de pequeno porte não existe, pois a porta de entrada de qualquer uma delas é um clique.
Proteja a informação da sua empresa antes que seu cliente de comércio eletrônico lhe ensine a lição, cobrando a Lei, e com certeza cobrando uma boa indenização por falha de segurança na sua Organização.