As empresas podem reduzir a probabilidade de violação de dados e, assim, reduzir o risco de multas no futuro pela Lei Geral de Proteção de Dados (LGPD), se optarem por usar criptografia para proteção de dados.
O tratamento de dados pessoais está naturalmente associado a um certo grau de risco. Especialmente hoje em dia, onde os ataques cibernéticos são quase inevitáveis para empresas.
Em geral, a criptografia se refere ao procedimento que converte texto não criptografado, conhecido também como texto em claro, em uma informação que é ilegível, de forma de interpretação usando uma chave, em que as informações de saída só se tornam legíveis novamente usando a chave correta.
Isso minimiza o risco de um incidente durante o processamento de dados, pois o conteúdo criptografado é basicamente ilegível para terceiros que não possuem a chave correta.
A criptografia é a melhor maneira de proteger os dados durante a transferência e é uma forma de proteger os dados pessoais armazenados. Também reduz o risco de abuso dentro de uma empresa, pois o acesso é limitado apenas a pessoas autorizadas com a chave certa.
Criptografia para proteção de dados e a LGPD: o que você deve saber
Na era atual dos computadores, a criptografia é frequentemente associada ao processo em que um texto simples comum é convertido em texto cifrado, que é o texto feito de forma que o destinatário pretendido do texto possa apenas decodificá-lo e, portanto, esse processo é conhecido como criptografia.
O processo de conversão de texto cifrado em texto simples é conhecido como descriptografia.
Os principais usos de criptografia são as seguintes:
- Confidencialidade: as informações só podem ser acessadas pela pessoa a quem se destinam e nenhuma outra pessoa, exceto ela, pode acessá-la;
- Assinatura Digital: no qual as informações são assinadas para que seja possível identificar o remetente da informação, com integridade e não repúdio.
- Integridade: as informações não podem ser modificadas no armazenamento ou na transição entre o remetente e o destinatário pretendido sem que qualquer adição à informação seja detectada;
- Autenticação: as identidades do remetente e do destinatário são confirmadas. Bem como o destino / origem das informações é confirmado.
Tipos de criptografia para proteção de dados:
Em geral, existem três tipos de criptografia para proteção de dados:
- Criptografia de chave simétrica
É um sistema de criptografia onde o remetente e o receptor da mensagem usam uma única chave comum para criptografar e descriptografar as mensagens.
Os sistemas de chave simétrica são mais rápidos e simples, mas o problema é que o remetente e o destinatário precisam de alguma forma trocar a chave de maneira segura.
O sistema de criptografia de chave simétrica mais popular é o Data Encryption System (DES) e o Advanced Encryption Standard (AES);
- Funções Hash
Não há uso de nenhuma chave neste algoritmo. Um valor hash com comprimento fixo é calculado de acordo com o texto simples, o que torna impossível que o conteúdo do texto simples seja recuperado. Muitos sistemas operacionais usam funções hash para criptografar senhas;
- Criptografia de chave assimétrica
Neste sistema, um par de chaves é usado para criptografar e descriptografar informações. Uma chave pública é usada para criptografar e uma chave privada é usada para descriptografar.
A chave pública e a chave privada são diferentes. Mesmo que a chave pública seja conhecida por todos, o receptor pretendido só pode decodificá-la porque só ele conhece a chave privada.
Para manter o sigilo no armazenamento e trânsito de dados
A criptografia permite armazenar os dados criptografados, permitindo que os usuários fiquem longe dos ataques realizados por hackers.
Confiabilidade na transmissão
Uma abordagem convencional que permite confiabilidade é realizar a criptografia do canal de transmissão, seja ela simétrica ou assimétrica ou mesmo uma combinação das duas criptografias.
Caso seja o uso da criptografia simétrica, precisar de uma chave para cifrar a informação, depois precisa-se encontrar alguma forma de trocar a chave, que acaba sendo um problema a ser resolvido, que é a troca de chaves de forma segura.
Vale lembrar que esse método tem um bom desempenho.
Outro modo é utilizar de criptografia assimétrica, no qual pode-se utilizar a chave pública do destinatário para que a mensagem possa ser aberta apenas pelo destinatário que possui a chave correspondente, a chave privada.
O problema desse tipo de uso é o desempenho.
Autenticação de Identidade
Já para autenticidade, no qual visa-se conhecer se o remetente da mensagem é ele mesmo, faz uso de PKI, (Public Key Infrastructure).
Para isso basta cifrar a mensagem com a chave privada do remetente, assim como qualquer um pode ter a sua chave pública correspondente, ela pode ser verificado que a mensagem foi gerada pelo remetente adequado.
Por que a criptografia para proteção de dados é crucial para a conformidade com a LGPD?
Embora não haja requisitos de criptografia para proteção de dados explícitos na Lei Geral de Proteção de Dados (LGPD), a nova legislação exige que você aplique medidas de segurança e salvaguardas.
A LGPD destaca a necessidade de uso de medidas técnicas e organizacionais adequadas de segurança de dados pessoais.
Como a criptografia para proteção de dados torna as informações ilegíveis e inutilizáveis para pessoas sem uma chave criptográfica válida, as estratégias de criptografia para proteção de dados podem ser extremamente benéficas para sua empresa no caso de uma violação de dados e nos requisitos previstos pela LGPD.
Lembra da exigência feita pela LGPD de notificar os clientes afetados por um incidente de segurança?
Ao criptografar seus dados, você reduz a chance de cumprir essa obrigação devido a problemas de ataques virtuais ou outros tipos de problemas.
Nenhuma informação será tecnicamente “violada” se os dados forem ininteligíveis para o invasor.
Como escolher a forma mais adequada para garantir a segurança de dados?
A plataforma CipherTrust Data Security da Thales garante toda a estrutura e a integridade dos dados de sua empresa, e o formato dos campos no banco de dados, seja ele qual for: Oracle, SQL, MySQL, DB2, PostGrid, enfim.
De forma simples, abrangente e efetiva, a solução Cipher Trust oferece recursos para proteger e controlar o acesso a bancos de dados, arquivos e containers — e pode proteger ativos localizados em nuvem, virtuais, big data e ambientes físicos.
Com a CipherTrust, é possível proteger os dados de sua empresa e tornar anônimos seus ativos sensíveis, garantindo segurança para sua empresa e evitando problemas futuros com vazamento de dados.
Sobre a Eval
A EVAL está a mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria, Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presente nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias.
Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos.
Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível.
Eval, segurança é valor.