[Artigo] Como Ficar em Compliance com Legislações de Proteções de Dados utilizando a Elastic Stack

A Elastic, empresa por trás da solução Elastic Stack, que abrange Elasticsearch, Kibana, Beats e Logstash, acabou de liberar o artigo de nome “GDPR Compliance & The Elastic Stack”. O artigo aborda conceitos dessa regulamentação européia, oferecendo, sugestões de como usuários Elastic podem utilizar os recursos da Elastic Stack para ajudá-los no processo de conformidade com os requisitos da General Data Protection Regulation (GDPR) bem como da Lei Geral de Proteção de Dados Pessoais (LGPD), relacionados à manipulação de dados pessoais.

A Elastic Stack é uma das principais ferramentas utilizadas no Octopus SIEM, solução de segurança da informação da Clavis, o qual é um Sistema de Gerenciamento de Eventos e Informações de Segurança (SIEM).

Contexto

A GDPR foi desenvolvida em reconhecimento da crescente necessidade de proteger os direitos e dados pessoais de cada indivíduo residente da União Européia (UE). À medida que o volume, profundidade e abrangência dos dados pessoais se dissemina, é fácil ver o porquê da criação. A GDPR está se tornando cada vez mais reconhecida como a regulamentação que será responsável na contenção do crescente número de dados vazados e violados relatados em diversos setores. Embora organizações previamente compatíveis possam encontrar muitas semelhanças com a diretiva anterior, a GDPR traz algumas mudanças significativas na maneira de como os dados pessoais podem ser tratados, as regras sobre como as violações devem ser relatadas, e quão pesadas serão as multas pelo não compliance.

Com o início da aplicação da GDPR, algumas empresas afirmaram ter um longo caminho a percorrer com os preparativos. De acordo com a pesquisa publicada recentemente pelo escritório de advocacia internacional Paul Hastings, no início de janeiro de 2018, menos de 39% das organizações da UE (e 47% dos EUA) criaram “forças-tarefa” para ficar em compliance com a GDPR. Além disso, menos de 40% estão trabalhando com terceiros para realização de “gap analyses” e em aconselhamentos sobre a conformidade.

Escopo dos dados da GDPR: A GDPR usa o termo “Dados pessoais”, que significa qualquer informação relacionada a uma pessoa física identificada ou identificável (“titular dos dados”). A GDPR também define “categorias especiais” de dados pessoais que têm restrições e requisitos adicionais (racial, étnica, religiosa, política, biométrica, etc). Além disso, a GDPR compara essas categorias especiais de dados pessoais com o termo “dados sensíveis”. “Pessoa Identificável” é uma pessoa singular que pode ser identificada, direta ou indiretamente, em particular por referência a um identificador como nome, número de identificação, dados de localização, identificador on-line ou um ou mais fatores específicos à identidade física, fisiológica, genética, mental, econômica, cultural ou social dessa pessoa. [Capítulo 1, Artigo 4(1) ]

Manipulando dados pessoais na GDPR: Um processo de 3 estágios

Com um entendimento básico da GDPR em mente, nossa discussão vai para um lado mais pragmático da compliance.

  • Como Preparar uma organização/empresa para o controle ou processamento dos Dados pessoais
  • Como Proteger qualquer dado pessoal
  • Quais são os Processos de privacidade utilizados para preservar os direitos do titular sobre os próprios dados.

O diagrama a seguir ilustra um fluxo de processo típico que uma organização irá seguir para iniciar e/ou manter a iniciativa de compliance a GDPR:

O logotipo da Elastic indica as etapas da implementação da GDPR nas quais o usuário pode implementar os recursos da Elastic Stack para ajudá-los a atender aos requisitos relacionados ao manuseio dos dados pessoais. A solução Octopus SIEM, disponibilizada pela Clavis Segurança da Informação, contempla todas as etapas descritas nesse diagrama auxiliando às empresas na adequação tanto da GDPR quanto da LGPD. O design inclui três estágios, as sub-tarefas de cada um são:

Preparação para lidar com Dados pessoais

Esse estágio deve ser feito no inicio do ciclo de compliance para a GDPR e LGPD, porém deve ser documentado e integrado nos processos de Segurança da Informação da organização e repetido em intervalos regulares.

  • Mapeamento dos fluxos de dados: O processo de identificar e documentar todos os processos de fluxo de dados da organização que controla ou processa os Dados pessoais.
  • Avaliação de Impacto da Proteção de Dados: O processo de avaliação de risco deixa claro o nível de insegurança associado à perda ou divulgação de Dados pessoais dentro de um determinado fluxo.
  • Confirmação da função dos dados: Para cada fluxo de dados identificado, confirmar se é função da organização controlar os dados, processá-los ou ambos.
  • Confirmar base jurídica para processamento: No geral, esta etapa requer que, para qualquer fluxo de dados em que os Dados pessoais são coletados, exista uma expressão documentada de consentimento pelo titular dos dados, permitindo assim o uso pretendido dos Dados pessoais ou que existe uma finalidade legítima para a coleta e o processamento dos dados.
  • Planejamento de retenção de dados pessoais: Para cada fluxo de dados identificado, determinar por quanto tempo os dados pessoais serão armazenados. É um bom momento para começar a pensar em como excluir dados uma vez atingido o seu período de retenção e/ou se o titular dos dados solicitar posteriormente que sejam apagados.
  • Revisão de fornecedores e subprocessadores: As responsabilidades da organização como controlador de dados ou processador não param quando os dados são passados para um subprocessador. De fato, na GDPR, o controlador de dados ou processador permanece responsável por quaisquer atos ou omissões do subprocessador. Portanto, é importante que um organização garanta que o subprocessador possa proteger adequadamente os Dados Pessoais e que exista um contrato de processamento de dados apropriado para garantir essa proteção.

A Elastic Stack pode ser utilizada para auxiliar nas seguintes etapas para preparação da GDPR:

    • Mapeamento de fluxo de dados: É a primeira etapa na preparação da GDPR e, se uma organização não conseguir identificar fluxos de dados relevantes, a iniciativa poderá ser incompleta e/ou ineficaz. Dependendo de onde uma organização está armazenando Dados Pessoais hoje, pode fazer sentido indexar informações sobre o fluxo de dados no Elasticsearch, onde seus recursos de pesquisa de texto completo permitirão a identificação rápida de tabelas, consultas, relatórios ou aplicações que recaem sobre os Dados Pessoais.
    • Planejamento de retenção de dados pessoais: A GDPR especifica retenção limitada e as organizações afetadas são obrigadas a excluir os Dados Pessoais quando não forem mais necessários ou quando o Titular dos Dados retirar o consentimento. A retenção de dados pessoais armazenados pode ser facilmente gerenciada por meio do gerenciamento de índices, uma vez que o Elasticsearch suporta índices baseados em tempo – que podem ser excluídos após o término do período de retenção – usando ferramentas como a Elastic Cloud Enterprise (ECE), software de orquestração central do Elastic, que pode ser usado para gerenciar uma frota de clusters do Elasticsearch e resolver os desafios que vem com multi-locação, como controle de versão e retenção de dados.
    • Revisão de fornecedores e subprocessadores: As supply chains atuais podem se estender a centenas ou a milhares de subfornecedores e subprocessadores. Com a GDPR potencialmente exigindo um Contrato de Processamento de Dados com cada um deles, a capacidade de indexar e executar pesquisas de texto completo instantaneamente através de milhares de contratos pode efetivamente facilitar os relatórios de status do fornecedor e, mais importante, habilitar programas proativos do fornecedor.

Proteção dos Dados pessoais

O estágio de Proteção é sobre a implementação do nível apropriado de proteção para os Dados Pessoais associados a cada fluxo de dados identificado no estágio um acima. A segurança do processamento é o tema principal do [Capítulo IV, Seção 2] Artigo 32 da GDPR e pode ser resumida com o seguinte conjunto de etapas:

      • Proteção de dados by design e by default [Capítulo IV, Seção 1, Artigo 25]: Esta etapa envolve a verificação de cada fluxo de dados para garantir que, onde e quando possível, o anonimato e a pseudonimização dos dados pessoais sejam maximizados, enquanto a distribuição de dados pessoais seja minimizada.
      • Criptografia e Pseudonimização [Seção 28 e Capítulo IV, Seção 2, Artigo 32]: Quando os dados não podem ser anonimizados, o uso de criptografia e outras técnicas de pseudonimização devem ajudar a atender ao requisito de proteção de dados by design.
      • Controles de acesso [Capítulo IV, Seção 1, Artigo 25]: Um dos princípios centrais na proteção de dados é o uso de controles de acesso para garantir que apenas pessoas autorizadas possam acessar dados pessoais.
      • Registro e auditoria [Capítulo IV, Seção 1, Artigo 25]: Como em muitos frameworks de segurança da informação, processos recorrentes de registro e auditoria devem ser realizados para garantir que os controles de acesso acima estejam sendo implementados de forma eficaz.
      • Monitoramento e detecção: Novamente, semelhante aos frameworks existentes, esta etapa requer monitoramento e detecção de ameaças que podem afetar a segurança dos componentes e aplicativos de infraestrutura envolvidos no processamento de dados pessoais.
      • Resiliência e recuperação de desastres [Capítulo IV, Seção 2, Artigo 32]: Para se proteger contra a perda de Dados Pessoais, a infraestrutura e os processos devem ser projetados para preservar a integridade dos dados em caso de interrupção do sistema ou falhas.

Usando a Elastic Stack no estágio de Proteção

Nesta fase, existem diferentes cenários nos quais a Elastic Stack pode ser utilizada para ajudar na preparação da GDPR/LGPD:

    1. Protegendo a Elastic Stack quando usada para armazenamento de Dados pessoais
    2. Auxiliar nas medidas de segurança, agindo como uma plataforma centralizada de registro e análise de segurança quando os Dados Pessoais puderem ser armazenados em outra plataforma; nesse caso, a Elastic Stack pode ser considerada um armazenamento de informações, pois os próprios dados do log podem conter dados pessoais. É nessa opção que se encontra o Octopus SIEM, uma solução da Clavis Segurança da Informação, um Sistema de Gerenciamento de Eventos e Informações de Segurança (SIEM), que utiliza as ferramentas da Elastic.


Em ambos os casos, os recursos da Elastic Stack podem ajudar a atender aos requisitos da GDPR para a maioria das etapas do estágio de Proteção. Implantada em sistemas seguros, a versão 7 da Elastic Stack, atualmente utilizada no Octopus SIEM, configurada com extensões comerciais da Elastic pode ser utilizada para atender aos seguintes requisitos de segurança nesta fase:

    • Proteção de dados by design e by default: Se uma organização estiver pensando em usar a Elastic Stack como armazenamento para Dados pessoais, os recursos do ECE  podem colocar nos trilhos da GDPR/LGPD desde o início. O princípio da proteção de dados by design consiste em tratar os Dados Pessoais como um segredo valioso, limitando o acesso, mantendo a precisão, garantindo a segurança dos dados e a retenção. Diferentemente das arquiteturas de dados tradicionais, com um grande armazenamento e volumes de controles complexos de sobreposição de acesso (necessários para permitir o acesso a apenas determinados dados por vários projetos), o ECE torna prático instanciar novos clusters do Elasticsearch para cada projeto, além de incluir apenas dados relevantes para esse projeto em seu cluster.
    • Criptografia e pseudonimização: parte da proteção de Dados pessoais significa empregar vários níveis de proteção para garantir que os dados não sejam perdidos, destruídos, divulgados ou alterados a indivíduos não autorizados. O Elasticsearch suporta a implantação em sistemas que ativaram a criptografia baseada em disco em todo o sistema. Isso torna menos provável que uma pessoa não autorizada que acesse o sistema de arquivos subjacente possa acessar Dados Pessoais em texto não criptografado. O Logstash, um componente essencial da Elastic Stack, inclui um conjunto de recursos em seu plug-in de filtro de Fingerprint que pode ser usado para implementar pseudonimização – esse recurso é útil nos dois cenários listados acima.
    • Controles de acesso: para impedir o acesso não autorizado a dados pessoais armazenados em um cluster do Elasticsearch, deve haver uma maneira de autenticar usuários. Os recursos de segurança Elastic fornecem um mecanismo de autenticação independente que permite a proteção rápida por senha de um cluster. Os recursos de segurança Elastic também incluem filtragem baseada em IP. No entanto, para atender aos requisitos da GDPR, simplesmente autenticar usuários não é suficiente, pois é preciso haver uma maneira de controlar quais usuários de dados podem acessar e quais tarefas eles podem executar. Os recursos de segurança Elastic permitem que o controle autorize os usuários, atribuindo privilégios de acesso às funções e atribuindo essas funções aos usuários. Esse controle de acesso baseado em função  fornece a capacidade de especificar quais usuários podem executar operações de leitura e / ou gravação nos índices do Elasticsearch que possuem Dados Pessoais, além de implementar a separação de tarefas para indivíduos autorizados a acessar os dados.
    • Registro e auditoria: No cenário A, onde a Elastic Stack é usada como armazenamento de dados para dados pessoais, os recursos de segurança do Elastic permitem que uma organização mantenha uma linha de auditoria, auditando eventos de segurança. O log de auditoria produzido pela Elasticsearch facilita ver quem está acessando um cluster e o que está fazendo. No cenário B, onde a Elastic Stack não é o armazenamento principal de dados pessoais, a Elastic Stack pode ser usado como plataforma de registro centralizada para gerenciar logs relacionados à segurança de toda a infraestrutura e base de aplicações da organização. Nesse cenário, a Elastic Stack é usada como uma solução de análise de segurança.
    • Monitoramento e detecção: Nos dois cenários, a Elastic Stack pode ser um componente essencial da implementação do monitoramento e detecção de ameaças para armazenamentos de dados pessoais. Geralmente, as implementações seguem princípios básicos de monitoramento da integridade do armazenamento de dados, monitoramento da continuidade do log (garantindo que o fluxo de logs dos armazenamentos de dados e outras infraestruturas não seja interrompido), além de detectar atividades maliciosas e suspeitas no ambiente. Os recursos de monitoramento Elastic ajudam os administradores a acompanhar de perto a integridade do Elasticsearch Cluster.
    • Resiliência e recuperação de desastres: Seja como um armazenamento para Dados pessoais ou como uma plataforma de registro centralizada para ajudar na proteção de Dados pessoais, o Elasticsearch foi projetado desde o início para ser um armazenador de dados distribuído e um mecanismo de pesquisa. Ele é escalonado horizontalmente para lidar com taxas de eventos extremamente altas, enquanto gerencia automaticamente como os índices e consultas são distribuídos pelo cluster para operações mais tranquilas. A arquitetura de cluster do Elasticsearch inclui réplicas de componentes de índice (shards) para resiliência e failover. Os recursos de segurança Elastic ajudam a preservar a integridade dos dados com autenticação de mensagens e criptografia SSL / TLS.

Processos de privacidade para manipulação de dados pessoais

Esse estágio trata da parte em que uma organização define e implementa uma série de processos internos e externos que permitirá cumprir regulamentos específicos da GDPR que envolvem proteção dos direitos dos titulares de dados e transferência de dados controlados para locais internos ou subprocessadores.

      • Manutenção dos direitos do titular dos dados: Conforme listado acima, a GDPR define vários direitos para os titulares dos dados. A organização deve estabelecer pessoas, processos e tecnologia para permitir que a organização honre as solicitações do Titular dos dados para exercer seus direitos, como o direito de apagar.
      • Resposta e notificação de incidentes: Esta etapa inclui os processos internos de uma organização para comunicar incidentes detectados, bem como notificar as autoridades de processamento de dados no caso de um violação.

Usando a Elastic Stack no estágio de Processos de privacidade

    • Manutenção dos direitos do titular dos dados: Quando o titular dos dados exerce seu direito de apagar ou retira seu consentimento de permitir a coleta de seus dados pessoais, um dos maiores desafios pode ser como realmente encontrar esses dados. O Elasticsearch pode permitir a identificação rápida dos dados pessoais do titular dos dados em tabelas, consultas, relatórios ou aplicativos. Os recursos do Elasticsearch, como a API Excluir por consulta e a API Atualizar por consulta, permitem que uma equipe tome as ações apropriadas para atender a essas solicitações da GDPR.

Conclusão

Tanto para a GDPR quanto para a LGPD, a qual está prevista para entrar em vigor em agosto deste ano, começa a corrida para que as organizações entrem em conformidade. Multas altíssimas por não conformidade bem como requisitos de notificação de violação em curto prazo de tempo aumentam a necessidade de uma implementação rápida e agressiva. Isso significa que, se as organizações ainda não começaram a se preparar para ambas as leis, especialmente a LGPD, devem iniciar o quanto antes.

Como mostrado, é possível usar a tecnologia Octopus SIEM, que utiliza a Elastic Stack, para acelerar o processo e garantir que os processos de gerenciamento de dados sejam adequados ao objetivo a longo prazo. Especificamente, o uso do Octopus SIEM, como um auxiliador nas medidas de segurança de dados pessoais da GDPR e da LGPD, fornece às organizações uma forte posição inicial para a criação de um repositório de dados compatível com ambas as leis, recursos de segurança, controles de acesso, resiliência e recuperação de desastres.

Portanto, a solução Octopus SIEM, disponibilizada pela Clavis Segurança da Informação, pode auxiliar às empresas, independente de sua área de atuação, na adequação tanto da GDPR quanto da LGPD.