Todo usuário de internet se conecta a diversas redes sociais e sites durante a navegação e, para isso, utiliza credenciais de acesso (identificação e senha). Além, claro, de precisar realizar novos cadastros em cada novo app que queira se conectar. Mas existe um mecanismo que simplifica esse processo: open authentication ou OAuth.
OAuth é um padrão aberto para autorização, atualmente está na sua versão 2.0, e permite que usuários se conectem em sites de terceiros por meio de suas contas do Google, Facebook, etc. Atualmente, podemos citar algumas das principais bases de usuários que utilizam este padrão, são Facebook, Google, LinkedIn e WeChat e atuam como authorization servers (provedores de identidade). Juntas, detém a maior base de usuários do planeta!
Tais redes armazenam as informações do usuário e os conectam em outros sites sem que o usuário precise preencher tudo de novo. Dessa forma, utiliza-se apenas um login e uma senha para conexões em diferentes aplicativos e o usuário pode escolher quais dados são compartilhados com os aplicativos, podendo cancelar o compartilhamento das informações com estes aplicativos através de um painel de controle oferecido pelos provedores de identidade.
Na Europa, um dos padrões tecnológicos utilizados para atender a GDPR é o OAuth aplicado juntamente com OpenID Connect. Isso é, a decisão de compartilhar ou não os dados ficam com o usuário.
Por exemplo, um aplicativo permite que o usuário se conecte com a conta do Google. Então o Google informa ao usuário que tal aplicativo deseja acessar alguns dados como nome, e-mail e telefone. Se o usuário permitir, poderá acessar o aplicativo e seu aceite fica registrado sendo o “consentimento”.
O passo após o consentimento está no tratamento dos dados, ou seja, qual a garantia de que os aplicativos irão armazenar de forma correta as informações que foram solicitadas no Onboard do usuário e como o DPO (Data Protection Officer) vai controlar isso? Nesse sentido, falamos em governança do consentimento!
Esse procedimento busca responder:
As funcionalidades do OAuth mencionadas não se resumem nas linhas acima, mas nos permitem fomentar a respeito da tradicional disciplina de Segurança da Informação e seus desdobramentos atuais como a Lei Geral de Proteção de Dados sendo peça importante na estratégia apoiando a governança da privacidade.
*Por Helsen Rossi, arquiteto de soluções na SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de gestão de identidades, application security / DevSecOps, LGPD e cybersecurity atendendo segurança em transformação digital para os mais diferentes segmentos.
O IT Forum traz, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e…
A Microsoft está enfrentando críticas após um relatório revelar um aumento alarmante em suas emissões…
O Grupo Centroflora é um fabricante de extratos botânicos, óleos essenciais e ativos isolados para…
Toda semana, o IT Forum reúne as oportunidades mais promissoras para quem está buscando expandir…
Um estudo divulgado na segunda-feira (13) pela Serasa Experian mostra que a preocupação com fraudes…
A Honeywell divulgou essa semana a sexta edição de seu Relatório de Ameaças USB de…