Pesquisar
Close this search box.
Pesquisar
Close this search box.
Facebook Instagram Linkedin

Mês: outubro 2020

Categorias
Proteção de dados

Fraudes e Roubo de Dados: 11 Dicas para Segurança do Cliente

Como as empresas podem prevenir as fraudes e roubo de dados? 11 dicas para ajudá-lo a manter a proteção de dados.

A Pesquisa Global de Identidade e Fraude 2020 da Serasa Experian, mostra que 57% das empresas estão enfrentando perdas crescentes devido a fraudes e roubo de dados ano após ano, apesar de afirmarem ser capazes de identificar seus clientes com precisão. Por isso a necessidade de investir na proteção de dados.

A realidade mostra que três em cada cinco empresas disseram que houve aumento das fraudes nos últimos 12 meses.

Ou seja, o estudo feito pela Serasa Experian mostra que as preocupações das empresas com o aumento de fraudes e roubo de dados persistem mesmo com os investimento em segurança e proteção de dados realizados nos últimos anos.

Além disso, o custo médio de uma violação de dados em 2020 é de USD 3,86 milhões, de acordo com o estudo de violação de dados feito pela IBM. Apesar da leve queda em relação ao ano de 2019 (USD 3,9 milhões), ainda é um valor muito alto a se pagar pelas fraudes e seus impactos junto aos clientes.

O que acontece quando os responsáveis ​pela proteção são comprometidos por fraudes e roubo de dados?

Em setembro de 2017, a agência de crédito ao consumidor Equifax admitiu seu terceiro ataque cibernético em dois anos, quando hackers exploraram uma vulnerabilidade de um site.

Principais fatos sobre o ciberataque sofrido pela Equifax

  • Cerca de 143 milhões de clientes dos EUA tornaram-se potencialmente vulneráveis, tendo seus dados pessoais comprometidos (com 400.000 no Reino Unido);
  • Informações confidenciais (incluindo números de previdência social, números de carteira de motorista, datas de nascimento, histórico médico e informações de contas bancárias) foram comprometidas, deixando os clientes vulneráveis ​​a fraudes e roubo de dados;
  • A Equifax foi criticada por estar mal equipada para gerenciar a violação. Demorou cinco semanas para tornar a violação pública, ela criou um site de informações e uma linha direta – onde os clientes criticavam a falta de informações e os longos atrasos;
  • Em uma gafe notável, os clientes também foram direcionados a um site falso nos tweets da empresa;
  • Ofertas de um ano de serviço gratuito de monitoramento de crédito e roubo de identidade foram consideradas inadequadas;
  • Um processo judicial foi aberto acusando a Equifax de negligência com os dados do cliente, com implicações de custo potenciais de US $ 68,6 bilhões.

Os consumidores cujos dados foram vazados, roubados ou utilizados em fraudes nem mesmo sabem que suas informações pessoais estão em risco por meses ou até anos. Mas que escolha as pessoas têm: não viaje, não compartilhe, não use a mídia social? 

Ok, podemos fazer essas escolhas se for necessário, mas ainda precisamos obter serviços de saúde, usar um banco ou uma cooperativa de crédito, ser segurado ou mesmo obter nossos benefícios da Previdência Social.

Como as empresas podem dar os primeiros passos para prevenir as fraudes e o roubo de dados?

Estas são as principais dicas de especialistas para ajudá-lo a manter as informações confidenciais de sua empresa protegidas contra as fraudes e roubo de dados.

1. Livre-se do papel

Se você tiver que guardar arquivos de papel, destrua-os assim que não forem mais necessários. Na prática, há nove coisas que as empresas devem destruir:

  • Qualquer correspondência com um nome e endereço;
  • Etiqueta de bagagem;
  • Itinerários de viagem;
  • Cartões de embarque extras;
  • Ofertas de crédito;
  • Lista de preços;
  • Recibos de pagamento do fornecedor e faturas pagas;
  • Cheques cancelados;
  • Recibos.
2. Avalie quais dados você mais precisa proteger contra as fraudes e roubo de dados

Faça uma auditoria ou avaliação de seus dados. Cada empresa é diferente. Cada uma delas têm regulamentações diferentes, tipos de dados diferentes, necessidades diferentes desses dados e uma cultura empresarial diferente. 

Contrate um especialista externo para avaliar quais dados você possui, como você os está protegendo (não como você pensa que está protegendo) e para onde esses dados estão indo. 

Embora você possa pensar que é um custo desnecessário, se você relatar aos clientes e clientes em potencial que fez uma avaliação de dados externa, pode descobrir que isso o coloca em vantagem sobre seus concorrentes.

3. Restrinja o acesso aos seus dados confidenciais

Nem todos na empresa precisam de acesso a tudo. O gerente de projeto precisa de informações sobre preços? O vendedor precisa de informações sobre as operações?

Ao restringir os dados aos quais cada pessoa tem acesso, você limita sua exposição quando um funcionário decide o que deseja roubar ou quando a conta do funcionário é comprometida por alguém de fora.
4. Aplique controles de privacidade de dados internos e externos

Faça com que terceiros e prestadores de serviço contratados pela sua empresa sigam os mesmos controles rígidos de privacidade de dados que você implementa em sua própria organização. 

Audite-os periodicamente para garantir a conformidade com seus padrões de segurança e reduzir o risco das fraudes e roubo de dados.

5. Use senhas fortes para proteger computadores e dispositivos

Torne difícil para terceiros acessarem os dispositivos e computadores de sua empresa e funcionários, caso eles sejam perdidos ou roubados, protegendo-os com senhas fortes e habilitando a limpeza remota em todos os dispositivos.

6. Instale ou habilite um firewall

Mesmo pequenas empresas com poucos funcionários têm dados valiosos que precisam ser protegidos. Certifique-se de ter um firewall instalado para evitar que estranhos acessem a rede da sua empresa.

7. Proteja sua rede sem fio

Use uma senha forte e criptografia e segurança para ocultar sua rede sem fio de estranhos. Não deixe vizinhos ou transeuntes entrarem na sua rede ou mesmo ver que ela existe. Você está aumentado o risco de fraudes e roubo de dados.

8. Combater às fraudes e manter o bom relacionamento com clientes de acordo com a LGPD

A adesão aos princípios fundamentais da Lei Geral de Proteção de Dados (LGPD) e a prevenção de fraudes e roubo de dados e ainda ter bom relacionamento com clientes podem andar de mãos dadas. 

Minimizar a quantidade de dados pessoais coletados, colocar esses dados em anonimato e adotar princípios de privacidade desde o projeto, não apenas garantirá que o direito de seus clientes à privacidade dos dados seja preservado, mas também ajudará a mitigar seus riscos sob a ótica da LGPD.

9. Minimização de dados

Independentemente de você confiar ou não no interesse legítimo para adquirir dados, você deve coletar apenas os dados mínimos necessários para atingir seu objetivo. 

Se você pode combater as fraudes e roubo de dados apenas com a menor quantidade de informações de identificação não direta será melhor. Isso significará menos dados para proteger mais tarde.

10. Anonimização

Certifique-se de que todos os dados estão protegidos usando tokenização ou criptografia. 

Além do aumento da segurança, um benefício claro é que os requisitos obrigatórios de relatório de violação são significativamente reduzidos para dados anonimizados, pois o risco de danos ao titular dos dados é bastante reduzido, desde que a chave não seja comprometida.

11. Privacidade desde o projeto

Torne a privacidade de dados uma parte integrante do processo de pensamento de sua organização em todos os níveis. 

Faça com que todos os departamentos tenham o hábito de fazer perguntas sobre quais dados você precisa, como irá protegê-los e se você precisa ou não de consentimento. Sem mencionar que uma estratégia de privacidade bem pensada provavelmente criará uma melhor experiência do usuário.

E não se esqueça da autenticação! Credenciais violadas e roubadas são uma ameaça real à segurança dos dados de seus usuários. Esse vetor de ameaça torna a autenticação mais forte um componente essencial na luta contra as fraudes e roubo de dados, além da defesa do direito de seus usuários à privacidade de dados.

Como a EVAL pode ajudar sua empresa no combate as fraudes e roubo de dados

A EVAL tem com soluções de criptografia de aplicações, tokenização de dados, anonimização, proteção em cloud, database encryption, big data encryption, proteção de arquivos estruturados e não estruturados em file server e cloud e key management para atender diferentes demandas na área de segurança de dados. 

São soluções para que os negócios estejam em conformidade e protegidos contra vazamento de dados.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Novidades

Benefícios da Internet das Coisas (IoT)

Benefícios da Internet das Coisas IoT

Os entusiastas da tecnologia têm falado sobre a chegada da Internet das Coisas (IoT) há anos. Em 2018, com produtos como Google Home e Amazon Echo ganhando popularidade, a IoT começou a decolar.

Mesmo que as estimativas originais considerassem que veríamos 50 bilhões de dispositivos “conectados” até este ano, as estimativas revisadas ainda atingem 20 bilhões, representando uma indústria no valor de bilhões de dólares no futuro próximo.

Em um hospital, em uma clínica médica ou em um laboratório de análises clínicas, os dispositivos terão um enorme impacto sobre o dia a dia de seus atendimentos, mesmo que você não lide diretamente com a tecnologia.

Você está pronto para essas transformações da Internet das Coisas? 

Acompanhe esse artigo e conheça alguns impactos!

Dados mais inteligentes

Os dispositivos inteligentes serão capazes de rastrear e registrar padrões de comportamento dos pacientes. Além disso, possivelmente, vão até mesmo aprender com eles, fazer recomendações de produtos inteligentes e customizar pesquisas de maneira inovadora.

Dessa forma, as instituições de saúde podem começar a aproveitar usando esses insights baseados em dados para obter publicidade mais eficaz e conhecer seus dados demográficos em um nível qualitativo mais específico. As possibilidades são muitas! 

Atualmente, a maioria das instituições de saúde conta com sistemas de rastreamento de código de barras para gerenciamento de estoque.

Mas quando quase todos os seus equipamentos, dispositivos e até mesmo produtos estão integrados na mesma rede, o gerenciamento de inventário e o rastreamento se tornarão tão intuitivos que você talvez não tenha que pensar nisso.

Afinal, os números de atualização instantânea estarão à sua disposição em todos os momentos. Assim você terá a capacidade de acessar essas métricas sempre que quiser.

Dados coletados permitem um melhor entendimento sobre a saúde da população e podem ser transformados em objetos que auxiliam nos cuidados com a saúde na prática. Além de ajudar a diminuir custos de empresas com saúde, consegue ajudar na promoção da saúde.

Veja, por exemplo, um projeto da Pfizer em parceria com a IBM. Com a combinação de sensores, dispositivos móveis e aprendizado de máquinas, eles acompanham e recebem informações em tempo real sobre pacientes que tratam a doença de Parkinson.

A partir disso, novas informações podem surgir para melhorar a qualidade de vida dos pacientes e controlar melhor os sintomas.

A energia e a produção serão mais baratas com IoT

Graças à coordenação da rede inteligente, a energia será mais barata. Não só isso! Suas máquinas serão capazes de encontrar maneiras novas e mais suaves de operar. Além disso, suas rotinas de manutenção também podem se tornar mais fáceis.

Ao conectar muitos dados médicos a partir de acessórios, como desempenho cardíaco, níveis de glicose e temperatura, é possível enviar alertas em tempo real para o paciente ou profissional da saúde.

Dessa forma, o fluxo de trabalho é otimizado e o paciente garante um atendimento mais confortável.

A tecnologia não tem a intenção de substituir o atendimento médico. Mas quer ajudá-lo para que o paciente siga as recomendações, previna doenças e trate problemas de saúde da melhor forma.

Além disso, com os dados fornecidos, diagnósticos serão mais precisos e tratamentos terão melhores resultados.

Trabalho Remoto pode envolver a internet das coisas

O trabalho remoto já é uma opção sólida para muitas posições profissionais. Isso ocorre graças ao software hospedado na nuvem e dispositivos facilmente portáteis como tablets.

Quando a tecnologia IoT se tornar comum e todos os dispositivos forem gerenciáveis ​​em uma rede, será ainda mais fácil gerenciar tudo de forma remota.

Afinal, com um tablet e uma conexão com a Internet, administradores poderão gerenciar seus respectivos hospitais, clínicas médicas ou laboratórios. A maioria dos profissionais não estará preparada para atravessar essa lacuna imediatamente, mas estará lá como uma possibilidade.

>

Eficiência e produtividade

Não se trata de velocidade — sua empresa também poderá fazer mais em menos tempo. Além da gratificação instantânea, a evolução tecnológica também favorece a produtividade e a eficiência.

Os últimos e melhores desenvolvimentos da IoT provavelmente permitirão que você e seus funcionários realizem tarefas de grande escala com maior precisão, incluindo análise e gerenciamento de dados.

Você pode achar que precisa de menos membros da equipe, ou então você poderá escalar as operações em novas áreas que lhe permitem expandir sua empresa.

O gerenciamento de dispositivos pode se tornar mais complicado

Existem algumas desvantagens potenciais para a integração do IoT. Um dos mais difíceis de se adaptar será o gerenciamento geral de dispositivos.

Você pode ter dificuldade em manter todos os seus dispositivos integrados atualizados com o software mais recente e conectados à rede. Isso será caro e intenso em termos de necessidades de TI.

Ainda assim, os benefícios do aumento da produtividade e da redução dos custos trabalhistas devem equilibrar isso.

Prevenção de doenças

Ter acesso em tempo real a dados sobre a saúde, como por exemplo qualidade do sono e frequência cardíaca a partir de um smartwatch, ou seja, um relógio inteligente, ajuda as pessoas a tomarem decisões para ter uma vida mais saudável. Isso, junto com um acompanhamento médico, leva à prevenção de doenças.

Satisfação e engajamento do paciente

Com dados mais detalhados e assertivos que a Internet das Coisas consegue fornecer,um atendimento médico otimizado, Além disso, é possível promover a conscientização do paciente para que ele siga todas as recomendações médicas. 

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Gestão de Chaves Criptográficas na Saúde: Um Desafio Real

Como gerenciar chaves de criptografia no setor de saúde

O uso de criptografia e a gestão de chaves criptográficas na saúde para proteção de dados em repouso ou de meios de comunicação é uma realidade para as instituições médicas e os usuários de serviços como armazenamento em nuvem, troca de mensagens e muitos outros.

Entretanto, para os responsáveis por estes serviços são apresentadas muitas opções de mecanismos criptográficos e, consequentemente, há muitas escolhas a serem feitas.

Escolhas inadequadas na gestão de chaves criptográficas na saúde podem resultar em pouco ou nenhum ganho, até mesmo perdas, criando uma falsa sensação de segurança nos dados de uma instituição de  saúde.

Por exemplo: criptografar uma base de dados e manter a chave criptográfica em um arquivo no servidor.

Neste artigo pretendemos abordar alguns aspectos relevantes para a segurança da informação de dados na área da saúde que estão relacionados às chaves criptográficas. 

Com isso mostraremos a importância do correto gerenciamento delas para a programação dos serviços criptográficos.

Para facilitar o entendimento, dividiremos o artigo em três partes. Iniciando com os conceitos básicos sobre criptografia, serviços criptográficos e, por último, gerenciamento de chaves criptográficas.

Gestão de Chaves Criptográficas na saúde e Criptografia de Dados

A criptografia consiste em um conjunto de princípios utilizados para garantir a segurança da informação de uma instituição na área da saúde.

Para isso, a gestão de chaves criptográficas na saúde emprega técnicas para transformar uma informação (cifrar) em outra (criptograma) que é legível apenas para quem conheça o segredo (chave secreta).

Mantendo este segredo seguro, impedimos que pessoas não autorizadas tenham acesso à informação original (decifrar).

  • Segredo

A segurança dos serviços criptográficos é baseada no segredo da chave criptográfica, que permite cifrar e decifrar, e não no método de transformar a informação, ou seja o algoritmo utilizado, que deve ser público.

  • Chaves simétricas e assimétricas

Em criptografia existem dois tipos básicos de algoritmos: os de chave simétrica e assimétrica. Os primeiros utilizam uma única chave para cifrar e decifrar os dados, enquanto os segundos adotam par de chaves, sendo uma para cifrar e a outra para decifrar.

Serviços criptográficos

Não há, de fato, um método 100% nem para área da saúde ou qualquer outra, mas algumas orientações podem ajudar a reduzir ou prevenir ataques.

Um dos primeiros passos a ser levado em consideração é a confidencialidade dos dados de cada paciente. Usar uma rede em que somente pessoas autorizadas tenham acesso.

A busca por um armazenamento especial dos seus dados também é uma das formas de evitar o vazamento de dados. Existem armazenamentos que podem ajudar a segurança digital na área da saúde neste quesito.

Como citamos acima, fica claro que a criptografia e a gestão de chaves criptográficas na saúde são as maneiras mais eficientes de prevenção a roubos de dados na área da saúde.

Seja para proteger os dados em repouso, ou seja, que estão armazenados, ou mesmo para proteger dados em trânsito, ou seja, que trafegam na rede, aliados a um rígido controle de acesso são essenciais para ajudar o hospital a manter os dados protegidos.

Vale lembrar que é super importante a proteção de perímetro com firewall em sua rede e também a proteção de desktop/servidores com antivírus, dentre tantas outras ferramentas.

  • Confidencialidade

Segundo estudos ataques por email cresceram 473% de 2017-2019 só para a área da saúde. A manutenção de sistemas legados desatualizados é uma das razões para esse volume intenso de ataques.

Já outro estudo realizado estima que os gastos apenas com publicidade, por conta do risco de imagem, aumenta 64% em hospitais que sofrem vazamento de dados.

A confidencialidade  tem que  começar com a adoção de um Prontuário Eletrônico do Paciente (PEP), que além de centralizar os dados médicos de cada atendimento (histórico completo), facilita o alcance de acreditações de prestígio no setor, como HIMSS (Health Information and Management Systems Society), ligada às boas práticas de TI em saúde.

É preciso de treinar sua equipe permanentemente para evitar acessos indevidos e usos inadequados das aplicações fornecidas dentro da instituição.

A confidencialidade dos dados por meio de criptografia, da gestão de chaves criptográficas na saúde e com o devido controle de acesso, também garante que as informações não possam ser visualizadas por terceiros e que apenas pessoas autorizadas tenham acesso a elas.

  • Integridade

O técnica para garantir a integridade é em resumo, quando uma determinada informação não seja modificada de maneira não autorizada após a sua criação, durante a transmissão ou o armazenamento.

Seja a alteração acidental ou intencional, a inserção, remoção ou substituição de dados deve ser detectada. Mecanismos criptográficos como o resumo criptográfico, também conhecido como hash e a assinatura digital fornecem o suporte para este serviço.

  • Autenticação

O serviço de autenticação verifica a identidade de um usuário com objetivo de ter uma certa segurança de que a pessoa é quem diz que ela é mesmo. Existem diversos mecanismos de autenticação, usuário e senha é um modelo bem conhecido, mas também é a autenticação utilizando um certificado digital.

No modelo de certificado digital, pode-se utilizar o protocolo SSL, ou mesmo as assinaturas digitais do login como um modelo de autenticação. O certificado digital é interessante que use do modelo ICP-Brasil ou outra que a organização confie, tal como, Autoridade Certificadora Interna.

Nas Autoridades Certificadoras ICP-Brasil, é no processo de emissão do certificado digital que a pessoa necessita comparecer a uma validação presencial, agora também há a modalidade remota, com documentos originais que comprovem a identidade do requerente.
  • Irretratabilidade

O serviço de irretratabilidade fornece os meios para garantir que quem criou uma informação não possa negar a autenticidade dela, ou pelo menos que seja difícil de negar.

Neste sentido, está ligada à assinatura digital, na qual o proprietário da chave privada não pode negar que a realizou para um determinado fim.

  • Autorização

Adicionalmente, após a autenticação, é possível utilizar a informações do usuário autenticado no sistema para definir a autorização as informações. O serviço de autorização fornece a aprovação ou permissão para a execução de uma atividade.

Como exemplo, o serviço de autorização pode ser empregado para definir as permissões de uso de uma chave criptográfica que, consequentemente, permitiria o acesso a uma determinada informação.

Gestão de chaves criptográficas na saúde

As chaves criptográficas são o fundamento da criptografia e nestas reside a segurança dos dados cifrados. Brechas podem levar ao comprometimento das chaves e, consequentemente, ao vazamento de informações sigilosas como o prontuários de pacientes.

O aumento no uso da criptografia para proteção de dados nas instituições da área de saúde, principalmente devido à regulamentação do governo, faz com que estas  tenham que lidar com múltiplas soluções para cifrar dados, vide a LGPD.

Por conta da diversidade de fornecedores, as organizações também precisam definir vários procedimentos para gerenciar as chaves criptográficas, sendo que nem sempre eles são adequados.

O gerenciamento de chaves criptográficas consiste em armazenar, proteger, organizar e garantir o uso adequado delas, gerir seu ciclo de vida e manter cópias de segurança de forma segura e consistente.

  • Armazenamento seguro das chaves

As chaves devem ser armazenadas de forma segura, ou seja, cifradas e com controle de acesso.

A criptografia deve ser preferencialmente realizada por meio de chaves (KEY) protegidas em um hardware criptográfico, de preferência.

  • Identificação das chaves

Deve ser possível identificar uma chave, seu tipo, sua finalidade, quem está autorizado a utilizá-la e o período de uso.

Ciclo de vida das chaves criptográficas

O ciclo de vida das chaves criptográficas deve ser controlado para que elas sejam utilizadas de forma adequada durante o período de validade — ou seja, somente pessoas ou sistemas autorizados podem utilizá-las durante um tempo pré-definido e com mecanismos seguros para que não haja comprometimento.

Assim descreveremos o ciclo de vida das chaves, segundo recomendação NIST.

O ciclo de vida de uma chave inicia com a geração e finaliza com a destruição, passando por um ou mais dos estados descritos a seguir:

  • geração: momento de criação da chave, que ainda não está pronta para uso;
  • pré-ativação: a chave foi gerada, mas ainda não está pronta para uso, porque aguarda o período de utilização ou a emissão de um certificado;
  • ativada: a chave está disponível para uso;
  • suspensa: o uso da chave está suspenso temporariamente. Neste estado, ela não pode mais realizar operações de cifra ou assinatura, mas pode ser utilizada para recuperação de dados ou verificação de assinaturas realizadas anteriormente.
  • inativada: a chave não pode ser mais utilizada para cifra ou assinatura digital, sendo mantida para o processamento de dados cifrados ou assinados antes da inativação.
  • comprometida: indica que a chave tem a sua segurança afetada e não pode mais ser usada em operações criptográficas. Em alguns casos, como nas chaves simétricas, pode ser utilizada para recuperar os dados cifrados para posterior cifra com outra chave.
  • destruída: este estado indica que uma chave não é mais necessária. A destruição da chave é o estágio final e pode ser atingido devido ao fim do ciclo de uso dela ou do comprometimento de sua segurança.

De uma maneira geral, tanto as  instituições de saúde e todas as organizações devem se concentrar na melhoria contínua e, ao mesmo tempo, gerenciar seus riscos a um preço compatível com sua realidade.

As empresas devem avaliar criticamente a forma como proteger seus sistemas. Devem também considerar as “causas-raiz” dos incidentes de segurança em seus ambientes como parte de uma avaliação de riscos.

À medida que os sistemas se tornam mais seguros e as instituições adotam medidas efetivas para gerenciar seus processos, a gestão de chaves se torna cada vez mais essencial. Proteger os dados de uma instituição de saúde é fundamental para a segurança das informações de seus pacientes.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Categorias
Proteção de dados

Diferença entre tipos de criptografia para proteção de dados

As empresas podem reduzir a probabilidade de violação de dados e, assim, reduzir o risco de multas no futuro pela Lei Geral de Proteção de Dados (LGPD), se optarem por usar criptografia para proteção de dados

O tratamento de dados pessoais está naturalmente associado a um certo grau de risco. Especialmente hoje em dia, onde os ataques cibernéticos são quase inevitáveis ​​para empresas.

Portanto, a criptografia para proteção de dados desempenha um papel cada vez maior na segurança de TI para grande parte das empresas.

Em geral, a criptografia se refere ao procedimento que converte texto não criptografado, conhecido também como texto em claro, em uma informação que é ilegível, de forma de interpretação usando uma chave, em que as informações de saída só se tornam legíveis novamente usando a chave correta.

Isso minimiza o risco de um incidente durante o processamento de dados, pois o conteúdo criptografado é basicamente ilegível para terceiros que não possuem a chave correta. 

A criptografia é a melhor maneira de proteger os dados durante a transferência e é uma forma de proteger os dados pessoais armazenados. Também reduz o risco de abuso dentro de uma empresa, pois o acesso é limitado apenas a pessoas autorizadas com a chave certa.

Criptografia para proteção de dados e a LGPD: o que você deve saber

Na era atual dos computadores, a criptografia é frequentemente associada ao processo em que um texto simples comum é convertido em texto cifrado, que é o texto feito de forma que o destinatário pretendido do texto possa apenas decodificá-lo e, portanto, esse processo é conhecido como criptografia.

O processo de conversão de texto cifrado em texto simples é conhecido como descriptografia.

Os principais usos de criptografia são as seguintes:

  • Confidencialidade: as informações só podem ser acessadas pela pessoa a quem se destinam e nenhuma outra pessoa, exceto ela, pode acessá-la;
  • Assinatura Digital: no qual as informações são assinadas para que seja possível identificar o remetente da informação, com integridade e não repúdio.
  • Integridade: as informações não podem ser modificadas no armazenamento ou na transição entre o remetente e o destinatário pretendido sem que qualquer adição à informação seja detectada;
  • Autenticação: as identidades do remetente e do destinatário são confirmadas. Bem como o destino / origem das informações é confirmado.

Tipos de criptografia para proteção de dados:

Em geral, existem três tipos de criptografia para proteção de dados:

  • Criptografia de chave simétrica

É um sistema de criptografia onde o remetente e o receptor da mensagem usam uma única chave comum para criptografar e descriptografar as mensagens.

Os sistemas de chave simétrica são mais rápidos e simples, mas o problema é que o remetente e o destinatário precisam de alguma forma trocar a chave de maneira segura.

O sistema de criptografia de chave simétrica mais popular é o Data Encryption System (DES) e o Advanced Encryption Standard (AES);

  • Funções Hash

Não há uso de nenhuma chave neste algoritmo. Um valor hash com comprimento fixo é calculado de acordo com o texto simples, o que torna impossível que o conteúdo do texto simples seja recuperado. Muitos sistemas operacionais usam funções hash para criptografar senhas;

  • Criptografia de chave assimétrica

Neste sistema, um par de chaves é usado para criptografar e descriptografar informações. Uma chave pública é usada para criptografar e uma chave privada é usada para descriptografar.

A chave pública e a chave privada são diferentes. Mesmo que a chave pública seja conhecida por todos, o receptor pretendido só pode decodificá-la porque só ele conhece a chave privada.

Para manter o sigilo no armazenamento e trânsito de dados

A criptografia permite armazenar os dados criptografados, permitindo que os usuários fiquem longe dos ataques realizados por hackers.

Confiabilidade na transmissão

Uma abordagem convencional que permite confiabilidade é realizar a criptografia do canal de transmissão, seja ela simétrica ou assimétrica ou mesmo uma combinação das duas criptografias. 

Caso seja o uso da criptografia simétrica, precisar de uma chave para cifrar a informação, depois precisa-se encontrar alguma forma de trocar a chave, que acaba sendo um problema a ser resolvido, que é a troca de chaves de forma segura.

Vale lembrar que esse método tem um bom desempenho.

Outro modo é utilizar de criptografia assimétrica, no qual pode-se utilizar a chave pública do destinatário para que a mensagem possa ser aberta apenas pelo destinatário que possui a chave correspondente, a chave privada.

O problema desse tipo de uso é o desempenho.

Autenticação de Identidade

Já para autenticidade, no qual visa-se conhecer se o remetente da mensagem é ele mesmo, faz uso de PKI, (Public Key Infrastructure).

Para isso basta cifrar a mensagem com a chave privada do remetente, assim como qualquer um pode ter a sua chave pública correspondente, ela pode ser verificado que a mensagem foi gerada pelo remetente adequado.

Por que a criptografia para proteção de dados é crucial para a conformidade com a LGPD?

Embora não haja requisitos de criptografia para proteção de dados explícitos na Lei Geral de Proteção de Dados (LGPD), a nova legislação exige que você aplique medidas de segurança e salvaguardas.

A LGPD destaca a necessidade de uso de medidas técnicas e organizacionais adequadas de segurança de dados pessoais.

Como a criptografia para proteção de dados torna as informações ilegíveis e inutilizáveis ​​para pessoas sem uma chave criptográfica válida, as estratégias de criptografia para proteção de dados podem ser extremamente benéficas para sua empresa no caso de uma violação de dados e nos requisitos previstos pela LGPD. 

Lembra da exigência feita pela LGPD de notificar os clientes afetados por um incidente de segurança?

Ao criptografar seus dados, você reduz a chance de cumprir essa obrigação devido a problemas de ataques virtuais ou outros tipos de problemas.

Nenhuma informação será tecnicamente “violada” se os dados forem ininteligíveis para o invasor.

Como escolher a forma mais adequada para garantir a segurança de dados?

A plataforma CipherTrust Data Security da Thales garante toda a estrutura e a integridade dos dados de sua empresa, e o formato dos campos no banco de dados, seja ele qual for: Oracle, SQL, MySQL, DB2, PostGrid, enfim.

De forma simples, abrangente e efetiva, a solução Cipher Trust oferece recursos para proteger e controlar o acesso a bancos de dados, arquivos e containers — e pode proteger ativos localizados em nuvem, virtuais, big data e ambientes físicos.

Com a CipherTrust, é possível proteger os dados de sua empresa e tornar anônimos seus ativos sensíveis, garantindo segurança para sua empresa e evitando problemas futuros com vazamento de dados.

Sobre a Eval

A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.

Eval, segurança é valor.

Onde Estamos

Rua Paulistânia, nº 381, 2º andar,
Sumarezinho, São Paulo - SP,
CEP: 05440-000

Contato

(11) 3670 - 3825
(11) 3865 - 1124
[email protected]

Facebook Instagram Linkedin
Política de Privacidade

Copyright © 2023, EVAL TECNOLOGIA EM INFORMÁTICA. Todos os direitos reservados - CNPJ 05.278.889/0001-97