Os padrões do PCI DSS suportam a conformidade com a nova LGPD no Brasil

Após a entrada do Regulamento Geral sobre a Proteção de Dados (RGPD) na Europa, vários países do mundo passaram a alinhar-se a essa norma e começaram a padronizar seus regulamentos de proteção de dados pessoais com o modelo europeu.  O Brasil está entre os países pioneiros da região nessa matéria.

Em maio passado, o RGPD europeu celebrou seu primeiro ano de vigência nesse mercado comum. Segundo a Autoridade Europeia para a Proteção de Dados, as agências de proteção de dados em toda a União Europeia receberam cerca de 94.000 reclamações desde 25 de maio de 2018. 

Embora a Google tenha sido punida com uma multa de 50 milhões de euros na França, para analistas e especialistas o mais importante é que este regulamento estabelece novas políticas para a avaliação da segurança e proteção da informação pessoal dos cidadãos, salvaguardando a privacidade e impondo limites ao acompanhamento do gerenciamento da informação dos consumidores que muitos agentes públicos e privados fazem em muitos ecossistemas, incluindo transações eletrônicas.  Deve-se destacar que, no verão de 2019, começamos a notar um foco nas multas sobre o RGPD em grandes organizações, como a British Airways e o hotel Marriott, cada um deles com multas acima de US$ 100 milhões. O interessante é que a raiz de sua filtragem de informações confidenciais levou em conta os dados contidos nos cartões de pagamento.  Certamente, 2019 se estabeleceu como o ano de aplicação de multas pelo descumprimento do RGPD. 

Na América Latina, o primeiro país a dar um passo adiante foi o Brasil.  Em dezembro 2018, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), que editou a Lei Geral de Proteção de Dados Pessoais (LGPD), lei esta que deve entrar em vigor em agosto de 2020.

O regulamento de proteção de dados apresenta práticas de controle e sanções, em pelo menos três dimensões:

• Governança de dados;
• Segurança da informação;
• Atenção aos titulares de dados.

Os padrões PCI DSS são importantes para a nova estrutura da LGPD?

O Padrão de Segurança de Dados para o Setor de Cartões de Pagamento (Payment Card Industry Data Security Standard), o PCI DSS, foi desenvolvido por um comitê formado pelas empresas mais importantes de cartão (débito e crédito), em um comitê denominado PCI SSC (Payment Card Industry Security Standards Council).  Esse padrão serve como um guia para as organizações que processam, armazenam e/ou transmitem dados do portador do cartão (ou dos titulares de cartão) para garantir a proteção desses dados, a fim de evitar fraudes que envolvam cartões de pagamento de débito e crédito.

As empresas que já possuem programas eficazes e maduros de conformidade com o PCI DSS dispõem das bases necessárias para adotar as regras da nova LGPD em seus modelos de negócios.

Nesse sentido, é de grande importância que as entidades que devem ser regidas pelo cumprimento da LGPD no Brasil cumpram os processos e as metodologias definidas pelo PCI Security Council. Vale também ressaltar que para implementar efetivamente esses padrões de segurança existem empresas especializadas, como a GM Security Technologies e 1st Secure IT, que orientam e oferecem suporte na implementação bem-sucedida das normas da LGPD e do RGPD, dos padrões de segurança da informação, como PCI DSS, e de vários outros requerimentos regulatórios (HIPAA, ISO/IEC 27000, EI3PA, NIST, etc.).

Os padrões PCI DSS fornecem um direcionamento realmente útil no desenvolvimento de controles e processos para outras formas de dados de identificação pessoal (PID) até que a LGPD esteja plenamente em vigor no Brasil.  Nesse sentido, há muitos documentos que servem de base para ajudar as organizações no processo de acabar com as lacunas na segurança de seus dados.

Vale ressaltar que no dia 15 de agosto teremos a realização do Fórum Anual do PCI SSC para a América Latina.  Este evento será realizado no Hotel Unique, localizado na cidade de São Paulo.  Seguramente uma grande oportunidade para esclarecer dúvidas e obter conhecimentos objetivando o desenvolvimento de um plano de conformidade para a LGPD.  A 1st Secure IT participará deste evento como uma das patrocinadoras do mesmo.

*Por Héctor Guillermo Martínez, presidente de GM Security Technologies.