Lei do Cadastro Positivo também exige Segurança da Informação!

A Lei nº 12.414 de 9 de Junho de 2011, que disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito e o Decreto nº 7.829 de 17 de Outubro de 2012, que regulamenta esta lei, definem a obrigatoriedade de uma série de requisitos de segurança da informação para a organização que for prestar o serviço de Cadastro Positivo.

Este serviço (Cadastro Positivo) está previsto para entrar comercialmente no mercado no próximo mês de agosto e as organizações precisam garantir que possuem controles de segurança da informação sob pena de não poder prestar este tipo de serviço.

A Lei 12.413 define ações que exigem controles de segurança da informação, porém o Decreto 7.829 detalha melhor estes requisitos de segurança. A seguir, destacamos os principais controles exigidos por esta legislação e o seu relacionamento com as Dimensões de Segurança da Informação que definimos no nosso livro Praticando a Segurança da Informação, Editora Brasport, 2008, baseadas na Norma NBR ISO/IEC 27002 Tecnologia da Informação – Técnicas de Segurança – Código de Prática para a Gestão da Segurança da Informação, ABNT, 2005.

No seu Artigo 1º o Decreto 7.829 exige que a Organização garanta a existência de:

1. Disponibilidade de plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados.

  • Dimensão Classificação da Informação
  • Dimensão Acesso à Informação
  • Dimensão Continuidade de Negócio

2. Estruturas tecnológicas envolvidas no fornecimento do serviço de cadastro que sigam as melhores práticas de segurança da informação, inclusive quanto a plano de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados e das autorizações.

  • Dimensão de Continuidade de Negócio
  • Dimensão de Proteção Técnica
  • Dimensão de Classificação da Informação
  • Dimensão de Acesso à Informação
  • Dimensão da Estrutura da Segurança da Informação

3. Adequabilidade da política de segurança da informação sobre a criação, guarda, utilização e descarte de informações no âmbito interno e externo, inclusive quanto à transferência ou utilização de informações por outras empresas prestadoras de serviço contratadas.

  • Dimensão Política de Segurança da Informação
  • Dimensão Acesso à Informação
  • Dimensão de Classificação da Informação

4. Adequabilidade da política de estabelecimento da responsabilidade, principalmente nos quesitos sigilo e proteção das informações, privacidade de dados dos clientes e prevenção e tratamento de fraudes.

  • Dimensão Acesso à Informação
  • Dimensão Prevenção e Tratamento de Fraudes
  • Dimensão Classificação da Informação
  • Dimensão Estrutura da Área de Segurança da Informação

5. Controles de risco disponíveis.

  • Dimensão de Gestão de Riscos

Em outros artigos o Decreto 7.829 continua a sua exigência em segurança da informação:

6. Existência de histórico (Artigo 2º).

  • Dimensão de Acesso à Informação
  • Dimensão de Cópias de Segurança

7. Comprovação da autenticidade e a validade da autorização (Artigo 7º §2º).

  • Dimensão de Acesso à Informação

8. Verificação da validade e autenticidade das autorizações (Artigo 8º).

  • Dimensão de Acesso à Informação

9. Validação e autenticação da autorização (Artigo 8º §Único).

  • Dimensão de Acesso à Informação

10. Existência de acesso exclusivo pelos consulentes (Artigo 9º).

  • Dimensão de Acesso à Informação

11. Gestão de sistemas de guarda e acesso com requisitos de segurança (Artigo 10º IV).

  • Dimensão de Acesso à Informação

12. Rastreabilidade de acessos (Artigo 10º V).

  • Dimensão de Acesso à Informação
  • Dimensão de Cópias de Segurança

13. Existência de dados para fins de auditoria (Artigo 12º §3º).

  • Dimensão de Acesso à Informação
  • Dimensão de Cópias de Segurança

14. Proibição da exclusão parcial de dados em situação específica (Artigo 13º §Único).

  • Dimensão de Acesso à Informação

15. Existência de mecanismos que preservem a integridade e o sigilo de dados enviados (Artigo 15º).

  • Dimensão de Acesso à Informação
  • Dimensão da Classificação da Informação

A organização precisa ter o seu Plano Corporativo de Segurança da Informação, com um gestor profissional com acesso aos gestores e executivos, e principalmente aos acionistas. Afinal, se algo não acontecer ou acontecer por negligência de controles de segurança da informação, são os acionistas a receber os impactos financeiros, de imagem e conformidade legal.

Desenvolva e implante hoje os controles de segurança que serão exigidos amanhã.