A Lei nº 12.414 de 9 de Junho de 2011, que disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito e o Decreto nº 7.829 de 17 de Outubro de 2012, que regulamenta esta lei, definem a obrigatoriedade de uma série de requisitos de segurança da informação para a organização que for prestar o serviço de Cadastro Positivo.
Este serviço (Cadastro Positivo) está previsto para entrar comercialmente no mercado no próximo mês de agosto e as organizações precisam garantir que possuem controles de segurança da informação sob pena de não poder prestar este tipo de serviço.
A Lei 12.413 define ações que exigem controles de segurança da informação, porém o Decreto 7.829 detalha melhor estes requisitos de segurança. A seguir, destacamos os principais controles exigidos por esta legislação e o seu relacionamento com as Dimensões de Segurança da Informação que definimos no nosso livro Praticando a Segurança da Informação, Editora Brasport, 2008, baseadas na Norma NBR ISO/IEC 27002 Tecnologia da Informação – Técnicas de Segurança – Código de Prática para a Gestão da Segurança da Informação, ABNT, 2005.
No seu Artigo 1º o Decreto 7.829 exige que a Organização garanta a existência de:
1. Disponibilidade de plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados.
- Dimensão Classificação da Informação
- Dimensão Acesso à Informação
- Dimensão Continuidade de Negócio
2. Estruturas tecnológicas envolvidas no fornecimento do serviço de cadastro que sigam as melhores práticas de segurança da informação, inclusive quanto a plano de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados e das autorizações.
- Dimensão de Continuidade de Negócio
- Dimensão de Proteção Técnica
- Dimensão de Classificação da Informação
- Dimensão de Acesso à Informação
- Dimensão da Estrutura da Segurança da Informação
3. Adequabilidade da política de segurança da informação sobre a criação, guarda, utilização e descarte de informações no âmbito interno e externo, inclusive quanto à transferência ou utilização de informações por outras empresas prestadoras de serviço contratadas.
- Dimensão Política de Segurança da Informação
- Dimensão Acesso à Informação
- Dimensão de Classificação da Informação
4. Adequabilidade da política de estabelecimento da responsabilidade, principalmente nos quesitos sigilo e proteção das informações, privacidade de dados dos clientes e prevenção e tratamento de fraudes.
- Dimensão Acesso à Informação
- Dimensão Prevenção e Tratamento de Fraudes
- Dimensão Classificação da Informação
- Dimensão Estrutura da Área de Segurança da Informação
5. Controles de risco disponíveis.
- Dimensão de Gestão de Riscos
Em outros artigos o Decreto 7.829 continua a sua exigência em segurança da informação:
6. Existência de histórico (Artigo 2º).
- Dimensão de Acesso à Informação
- Dimensão de Cópias de Segurança
7. Comprovação da autenticidade e a validade da autorização (Artigo 7º §2º).
- Dimensão de Acesso à Informação
8. Verificação da validade e autenticidade das autorizações (Artigo 8º).
- Dimensão de Acesso à Informação
9. Validação e autenticação da autorização (Artigo 8º §Único).
- Dimensão de Acesso à Informação
10. Existência de acesso exclusivo pelos consulentes (Artigo 9º).
- Dimensão de Acesso à Informação
11. Gestão de sistemas de guarda e acesso com requisitos de segurança (Artigo 10º IV).
- Dimensão de Acesso à Informação
12. Rastreabilidade de acessos (Artigo 10º V).
- Dimensão de Acesso à Informação
- Dimensão de Cópias de Segurança
13. Existência de dados para fins de auditoria (Artigo 12º §3º).
- Dimensão de Acesso à Informação
- Dimensão de Cópias de Segurança
14. Proibição da exclusão parcial de dados em situação específica (Artigo 13º §Único).
- Dimensão de Acesso à Informação
15. Existência de mecanismos que preservem a integridade e o sigilo de dados enviados (Artigo 15º).
- Dimensão de Acesso à Informação
- Dimensão da Classificação da Informação
A organização precisa ter o seu Plano Corporativo de Segurança da Informação, com um gestor profissional com acesso aos gestores e executivos, e principalmente aos acionistas. Afinal, se algo não acontecer ou acontecer por negligência de controles de segurança da informação, são os acionistas a receber os impactos financeiros, de imagem e conformidade legal.
Desenvolva e implante hoje os controles de segurança que serão exigidos amanhã.