Todo usuário de internet se conecta a diversas redes sociais e sites durante a navegação e, para isso, utiliza credenciais de acesso (identificação e senha). Além, claro, de precisar realizar novos cadastros em cada novo app que queira se conectar. Mas existe um mecanismo que simplifica esse processo: open authentication ou OAuth.
OAuth é um padrão aberto para autorização, atualmente está na sua versão 2.0, e permite que usuários se conectem em sites de terceiros por meio de suas contas do Google, Facebook, etc. Atualmente, podemos citar algumas das principais bases de usuários que utilizam este padrão, são Facebook, Google, LinkedIn e WeChat e atuam como authorization servers (provedores de identidade). Juntas, detém a maior base de usuários do planeta!
Tais redes armazenam as informações do usuário e os conectam em outros sites sem que o usuário precise preencher tudo de novo. Dessa forma, utiliza-se apenas um login e uma senha para conexões em diferentes aplicativos e o usuário pode escolher quais dados são compartilhados com os aplicativos, podendo cancelar o compartilhamento das informações com estes aplicativos através de um painel de controle oferecido pelos provedores de identidade.
Na Europa, um dos padrões tecnológicos utilizados para atender a GDPR é o OAuth aplicado juntamente com OpenID Connect. Isso é, a decisão de compartilhar ou não os dados ficam com o usuário.
Por exemplo, um aplicativo permite que o usuário se conecte com a conta do Google. Então o Google informa ao usuário que tal aplicativo deseja acessar alguns dados como nome, e-mail e telefone. Se o usuário permitir, poderá acessar o aplicativo e seu aceite fica registrado sendo o “consentimento”.
O passo após o consentimento está no tratamento dos dados, ou seja, qual a garantia de que os aplicativos irão armazenar de forma correta as informações que foram solicitadas no Onboard do usuário e como o DPO (Data Protection Officer) vai controlar isso? Nesse sentido, falamos em governança do consentimento!
Esse procedimento busca responder:
As funcionalidades do OAuth mencionadas não se resumem nas linhas acima, mas nos permitem fomentar a respeito da tradicional disciplina de Segurança da Informação e seus desdobramentos atuais como a Lei Geral de Proteção de Dados sendo peça importante na estratégia apoiando a governança da privacidade.
*Por Helsen Rossi, arquiteto de soluções na SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de gestão de identidades, application security / DevSecOps, LGPD e cybersecurity atendendo segurança em transformação digital para os mais diferentes segmentos.
O Sberbank, maior banco da Rússia, está oferecendo modelos de inteligência artificial (IA) a países…
A Palo Alto Networks registrou forte aumento na procura de clientes por orientações sobre segurança…
O iFood confirmou nesta terça-feira (03) o vazamento de dados cadastrais de aproximadamente 1,2 milhão…
O CEO da OpenAI, Sam Altman, participará da cúpula do G7 na França em junho,…
A segurança digital passou a ocupar posição central na decisão dos brasileiros ao escolher uma…
A terceirização das operações de segurança cibernética vem se consolidando como estratégia predominante entre as…