1. Home >
  2. Colunas >

Lei do Cadastro Positivo também exige Segurança da Informação!

Author Photo
9:51 am - 14 de agosto de 2013

A Lei No. 12.414 de 9 de Junho de 2011 que disciplina a formação e consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito e o Decreto No. 7.829 de 17 de Outubro de 2012 que regulamenta esta lei, definem a obrigatoriedade de uma série de requisitos de segurança da informação para a organização que for prestar o serviço de Cadastro Positivo.

Este serviço (Cadastro Positivo) está previsto para entrar comercialmente no mercado no próximo mês de agosto e as organizações precisam garantir que possuem controles de segurança da informação sob pena de não poder prestar este tipo de serviço.

A Lei 12.413 exige define ações que exigem controles de segurança da informação, porém o Decreto No. 7.829 detalha melhor estes requisitos de segurança. A seguir destacamos os principais controles exigidos por esta legislação e o seu relacionamento com as Dimensões de Segurança da Informação que definimos no nosso livro Praticando a Segurança da Informação, Editora Brasport, 2008, baseadas na Norma NBR ISO/IEC 27002 Tecnologia da informação ? Técnicas de segurança – Código de prática para a gestão da segurança da informação, ABNT, 2005.

No seu Artigo 1º. o Decreto 7.829 exige que a Organização garanta a existência de:

1. Disponibilidade de plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados.

Dimensão Classificação da Informação

– Dimensão Acesso à Informação

– Dimensão Continuidade de Negócio

2. Estruturas tecnológicas envolvidas no fornecimento do serviço de cadastro que sigam as melhores práticas de segurança da informação, inclusive quanto a plano de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados e das autorizações.

Dimensão de Continuidade de Negócio

– Dimensão de Proteção Técnica

– Dimensão de Classificação da Informação

– Dimensão de Acesso à Informação

– Dimensão da Estrutura da Segurança da Informação

3. Adequabilidade da política de segurança da informação sobre a criação, guarda, utilização e descarte de informações no âmbito interno e externo, inclusive quanto à transferência ou utilização de informações por outras empresas prestadoras de serviço contratadas;     –           Dimensão Política de Segurança da Informação

– Dimensão Acesso à Informação

– Dimensão de Classificação da Informação

4. Adequabilidade da política de estabelecimento da responsabilidade, principalmente nos quesitos sigilo e proteção das informações, privacidade de dados dos clientes e prevenção e tratamento de fraudes.

– Dimensão Acesso à Informação

– Dimensão Prevenção e Tratamento de Fraudes

– Dimensão Classificação da Informação

– Dimensão Estrutura da Área de Segurança da Informação

5. Controles de risco disponíveis.

– Dimensão de Gestão de Riscos

Em outros artigos o Decreto 7.829 continua a sua exigência em segurança da informação:

6. Existência de histórico (Artigo 2º.)

– Dimensão de Acesso à Informação

– Dimensão de Cópias de Segurança

7. Comprovação da autenticidade e a validade da autorização (Artigo 7º. §2º.);

– Dimensão de Acesso à Informação

8. Verificação da validade e autenticidade das autorizações (Artigo 8º.);

– Dimensão de Acesso À Informação

9. Validação e autenticação da autorização (Artigo 8º. § Único);

– Dimensão de Acesso à Informação

10. Existência de acesso exclusivo pelos consulentes (Artigo 9º.);

– Dimensão de Acesso à Informação

11. Gestão de sistemas de guarda e acesso com requisitos de segurança (Artigo 10º. IV);

– Dimensão de Acesso à Informação

12. Rastreabilidade de acessos (Artigo 10º. V);

– Dimensão de Acesso à Informação

– Dimensão de Cópias de Segurança

13. Existência de dados para fins de auditoria (Artigo 12º. §3º.);

– Dimensão de Acesso à Informação

– Dimensão de Cópias de Segurança

14. Proibição da exclusão parcial de dados em situação específica (Artigo 13º. §Único);

– Dimensão de Acesso À Informação

15. Existência de mecanismos que preservem a integridade e o sigilo de dados enviados (Artigo 15º);

– Dimensão de Acesso à Informação

– Dimensão da Classificação da Informação

A organização precisa ter o seu Plano Corporativo de Segurança da Informação, com um gestor profissional com acesso aos gestores e executivos, e principalmente aos acionistas. Afinal, se algo não acontecer ou acontecer por negligencia de controles de segurança da informação, são os acionistas receber os impactos financeiros, de imagem e conformidade legal.

Desenvolva e implante hoje os controles de segurança que serão exigidos amanhã.

Grande abraço.

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor em Segurança da Informação, Gestão de Risco e Planos de Contingência.

[email protected]

www.nucleoconsult.com.br

Notícias relacionadas

Notícias
Executivos de alto escalão deixam a Tesla em meio a ondas de demissões
Notícias
Marcelo Carreras assume novo cargo na Accenture
Notícias
Emnify anuncia expansão na América Latina
Notícias
Meta quer revolucionar a educação com a Realidade Virtual
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.