Como o SQL Server pode ajudar na adequação a LGPD?
Os sistemas utilizados para criar, armazenar, analisar e gerenciar dados podem ser distribuídos em uma ampla variedade de ambientes de TI. Sendo assim, a maior parte da infraestrutura pode estar sujeita aos requisitos da LGPD.
Esforços para atender aos requisitos da LGPD serão melhor alcançados, observando os requisitos de maneira geral e dentro do contexto de todas as suas obrigações de privacidade regulamentares e legais.
Por exemplo, muitos dos controles de segurança para impedir, detectar e responder a vulnerabilidades e violações de dados exigidas pela LGDP são similares aos controles esperados por outros padrões de proteção de dados, como o padrão de privacidade de nuvem ISO 27018, e a ISO27001 principalmente, padrão para sistema de gestão da segurança da informação.
Em vez de rastrear os controles exigidos por normas ou regulamentos individuais, caso a caso, a melhor prática é identificar um conjunto geral de controles e recursos para atender a esses requisitos. Da mesma forma, em vez de avaliar tecnologias e soluções individuais em relação a uma regulamentação abrangente, como a LGPD, a outros requisitos relevantes.
Conformidade com a LGPD
É de extrema importância a identificação de quais dados pessoais fazem parte do legado e onde e como estão armazenados, por quem podem ser acessados, por quanto tempo precisam ser armazenados, quais são as informações que precisam ser mantidas, independentemente de qualquer solicitação da pessoa a quem o dado se refere (informações sobre operações da pessoa com a empresa, por exemplo), seguindo as orientações legais e de órgãos reguladores, e quais informações poderiam ser excluídas ou portadas, caso a pessoa solicite
Um dos pontos importantes para que a empresa esteja em conformidade com a LGPD é ter o mapeamento dos dados armazenados, seja onde for, e sua classificação, considerando as regulações do setor em que a empresa atua. A partir deste mapeamento, estabelecer as políticas de armazenamento, retenção e acesso de cada dado. É importante que a empresa utilize um arcabouço tecnológico que facilite o mapeamento, proteção e gestão dos dados que armazena e o SQLServer tem um papel fundamental nesse contexto, pois usualmente armazena grande quantidade desses dados. O SQLServer possui uma suite de ferramentas, que aliada a políticas e processos, auxiliam a conformidade com a Lei.
Há 3 pontos importantes para que se possa alcançar a conformidade com a LGPD:
Gerenciamento – controle sobre como os dados pessoais são usados e acessados.
Proteção – estabelece controles de segurança para impedir, detectar e responder a vulnerabilidades e violações de dados.
Report – execução de solicitação de dados, denuncia violações de dados e manutenção de documentação exigida. A LGPD estabelece novos padrões de transparência, responsabilização e manutenção de registros. As organizações que processam dados pessoais precisarão manter registros detalhados para garantir a conformidade.
Gerenciamento, Proteção e Report com SQL Server
O SQL Server fornece controles para gerenciar o acesso e a autorização do banco de dados em vários níveis:
A autenticação do SQL Server
Ajuda a garantir que somente usuários autorizados com credenciais válidas possam acessar seu servidor de banco de dados. A autenticação do Windows oferece segurança integrada e é recomendada como a opção mais segura, em que o processo de autenticação é totalmente criptografado.
O DDM (Dynamic Data Masking)
Mascaramento dinâmico de dados é um recurso integrado que pode ser usado para limitar a exposição a dados confidenciais, mascarando os dados quando acessados por usuários ou aplicativos sem privilégios.
Row-level security (RLS)
É um recurso interno adicional que permite aos clientes do SQL Server e do banco de dados SQL implementar restrições no acesso a linhas de dados. Pode ser usado para habilitar acesso refinado sobre linhas em uma tabela de banco de dados, para maior controle sobre quais usuários podem acessar quais dados.
O SQL Server e o Banco de Dados SQL também fornecem um poderoso conjunto de recursos integrados que protegem os dados e identificam quando uma violação de dados ocorre:
Transparent data encryption
Protege os dados, criptografando os arquivos dos bancos de dados, os backups associados e os arquivos de log de transações na camada de armazenamento físico, protegendo os dados em repouso.
Transport Layer Security (TLS)
Fornece proteção de dados em trânsito nas conexões do Banco de Dados SQL.
Always Encrypted
É um recurso projetado para proteger dados altamente confidenciais no SQL Server e no banco de dados SQL. Permite que os clientes criptografem dados confidenciais em aplicativos e nunca revelem as chaves de criptografia ao mecanismo do banco de dados. Protege os dados criando uma separação entre aqueles que detêm os dados e podem exibi-lo e aqueles que gerenciam os dados, mas que não devem ter acesso, como DBAs, por exemplo.
Auditing for SQL Database e a SQL Server audit
Rastreiam os eventos do banco de dados e os gravam em um log de auditoria. A auditoria permite que você entenda as atividades contínuas do banco de dados, o que ajuda a identificar possíveis ameaças ou suspeitas de violações de abuso e segurança.
SQL Database Threat Detection
O banco de dados SQL detecta atividades anômalas, indicando potenciais ameaças de segurança ao banco de dados.
Como vimos, o SQL Server dispõe de várias ferramentas para ajudar a criar a adequação a LGPD. Porém, alcançar este objetivo não diz respeito somente a implementação das partes tecnológicas, existe também a necessidade de adoção de um processo com melhoria contínua.
Fale com nosso time de consultores e entenda como a Arbit pode te ajudar a se adequar na LGPD.
Pingback: Migrando o SQL Server para nuvem: IaaS ou PaaS? Qual escolher?