Gestão da conformidade com RGPD e CCPA para uma força de trabalho remota

A conformidade com as regulamentações de privacidade de dados, como o Regulamento Geral de Proteção de Dados (RGPD) da União Europeia e a Lei da Privacidade do Consumidor da Califórnia (CCPA, na sigla em inglês), requer uma postura de segurança diferente para uma força de trabalho remota. Continue a ler para ver as cinco melhores práticas comprovadas de conformidade da Splashtop quando há uma força de trabalho remota.

O trabalho remoto não vai desaparecer. De acordo com uma estimativa recente da Gartner, 51% dos trabalhadores do conhecimento irão realizar o seu trabalho remotamente no início de 2022 — e esse número é realisticamente mais alto agora com o recente surto da variante ômicron por todo o mundo.

O cumprimento torna-se mais difícil em condições de trabalho remoto. Considerem as conclusões deste artigo recente da revista de segurança que discute os resultados do Apricorn 2021 Global IT Security Survey de mais de 400 profissionais de segurança de TI em toda a América do Norte e Europa. O estudo foi sobre práticas e políticas de segurança para o trabalho remoto nos últimos 12 meses. Vários resultados resumiram muito bem os riscos:

  • 60% dos inquiridos afirmam que as condições de trabalho remoto induzidas pela Covid-19 criaram problemas de segurança de dados nas suas organizações
  • 38% afirmaram que o controle de dados tem sido muito difícil de gerenciar
  • Apesar das preocupações de controle de dados, quase 20% admitiu que os seus dispositivos de trabalho tenham sido utilizados por outros membros do seu círculo familiar

A conformidade com as regulamentações de privacidade de dados para trabalhadores remotos ainda não foi um foco para as equipes de TI. Um artigo de 2021 da Healthcare IT News apontou que apenas 2 em cada 10 equipes de TI afirmaram ter fornecido ferramentas e recursos adequados para apoiar os colaboradores que trabalham remotamente a longo prazo. Esta falta de preparação coloca as organizações em risco de violarem as leis de privacidade de dados de consumo, em particular o RGPD e o CCPA.

O Impacto da Não-Conformidade

Quando se verifica que uma organização causou potenciais danos aos consumidores por não proteger adequadamente as suas informações de identificação pessoal (PII), o resultado pode incluir multas substanciais, perda de clientes e danos significativos à marca. Certamente, a maioria das pessoas pode recordar casos de alto perfil como a UE multando a Amazon e a H&M por não ter cumprido com a RGPD em 746 milhões de euros e 35 milhões de euros, respetivamente. No entanto, em apenas 3 anos, a UE emitiu mais de 800 multas em todo o Espaço Económico Europeu (EEE) e no Reino Unido (que mantém as regras do RGPD, mesmo depois do Brexit).

Sim, as organizações mais pequenas são multadas. Veja-se, por exemplo, o prestador de cuidados de saúde sueco Capio St. Göran. Recebeu danos à marca e uma multa RGPD no valor de 2,9 milhões de euros na sequência de uma auditoria a um dos seus hospitais. A auditoria demonstrou que a empresa não utilizou avaliações de risco adequadas e não implementou controlos de acesso eficazes. Como resultado, demasiados funcionários tiveram acesso a dados pessoais sensíveis.

O mesmo tipo de aplicação vale para todas as dimensões de organizações squjeitas à CCPA da Califórnia. Um artigo da TechTarget de setembro de 2021 aponta que o Estado da Califórnia entregou recentemente multas a uma concessionária de automóveis, a uma cadeia de mercearias, a uma plataforma de encontros online e a uma agência de adoção de animais de estimação — longe de ser os titãs da indústria moderna.

Em última análise: se você estiver gerenciando equipes remotas, precisa tomar várias medidas para ajustar a sua política e práticas de segurança para se manter em conformidade com as leis de privacidade de dados pessoais.

Felizmente, o Splashtop tem permitido a milhares de organizações trabalharem remotamente. Aqui estão as 5 melhores práticas comprovadas da Splashtop para conformidade ao mesmo tempo que tem uma força de trabalho remota.

O que significa conformidade de dados no RGPD e CCPA

Tanto o RGPD como a CCPA exigem que as empresas mantenham as informações pessoais privadas e seguras. Os processos comerciais que tratam dados pessoais devem ser concebidos e construídos com medidas de segurança para proteger os dados (por exemplo, utilizando pseudonimização ou anonimização total, quando adequado). As organizações que controlam dados devem desenhar sistemas de informação tendo a privacidade em mente.

Também semelhante ao RGPD, o Capítulo 55 da lei da Califórnia Consumer Privacy Act de 2018 (CCPA, na sigla em inglês) define as informações pessoais como as informações que identificam, se relacionam com, descrevem, são razoavelmente capazes de ser associadas ou podem razoavelmente ser associadas, ou ligadas (direta ou indiretamente) a um determinado consumidor ou agregado, tal como um nome real, apelido, endereço postal, identificador pessoal único, identificador online, endereço do Protocolo Internet, endereço de e-mail, nome da conta, número de segurança social, número da carteira de habilitação, número da placa do veículo, número do passaporte ou outros identificadores semelhantes.

Os regulamentos aplicam-se aos funcionários de qualquer organização que trabalhem em qualquer local, seja no escritório ou remotamente. O que é importante é que não interessa onde os empregados trabalham no mundo. Os regulamentos aplicam-se quando os consumidores estão protegidos pelos regulamentos vivem na zona da UE, no Reino Unido e/ou na Califórnia. (Note que inúmeros outros países, como Brasil, África do Sul, Coreia do Sul, Japão e muitos outros também instituíram regulamentações semelhantes a partir de 2019-2021).

Boas Práticas #1: Atualize a sua política de cibersegurança para refletir a realidade do “trabalho remoto”

Como os dados acima mostram, muitos funcionários não estão familiarizados com questões de segurança de dados e privacidade dos titulares de dados e simplesmente não reconhecem como as suas ações podem levar a uma violação de dados que expõe os dados pessoais que a sua organização deve proteger.

A melhor forma de informar os colaboradores é estabelecer e compartilhar uma política de cibersegurança que instrua os colaboradores sobre como manter os dados da sua empresa seguros. A boa notícia é que a sua política de segurança de TI pode ser um documento simples. Deve explicar as razões pelos quais a mesma existe e fornecer os protocolos de segurança específicos (em termos não técnicos) que todos os colaboradores devem seguir. Deve também fornecer uma fonte de contato (e-mail ou número de telefone) para os funcionários que necessitem de ajuda adicional para compreenderem o assunto.

Boas Práticas #2: Treinar os funcionários e garantir que o TI pode dar suporte a eles

Os funcionários são muitas vezes o elo mais fraco na cibersegurança. O treinamento regular de segurança ajuda a manter os funcionários atualizados sobre como proteger a organização de ataques maliciosos.

  • Políticasde conta e palavra-passe: atribua a todos os utilizadores os seus próprios inícios de sessão e conceda acesso através de palavras-passe fortes e autenticação de dois fatores/múltiplos factores.
  • Controle de Segurança de Dados: os controles de segurança dos dados incluem acesso baseado em funções com base no princípio de “menos privilégios”, monitoramento de acessos, revisão/inventário e registro de contas. Isto significa que todos os usuários têm um nível mínimo de acesso aos dados.
  • Controle de Acessos: Os controles de acesso gerem o acesso eletrônico a dados e sistemas e baseiam-se nos níveis de autoridade, parâmetros necessários, e uma clara separação de deveres para as pessoas que acessam o sistema.
  • Resposta a Incidentes de Segurança: os procedimentos de “Resposta a Incidentes de Segurança” permitem que uma organização investigue, responda, mitigue e notifique eventos relacionados com serviços Splashtop e ativos de informação.

Boas Práticas #3: Mantenha os dados encriptados quando em trânsito e em repouso

O Considerando 83 do RGPD exige que os dados pessoais sejam protegidos — tanto em trânsito como em repouso. Você deve considerar que os dados estão em trânsito a qualquer momento em que alguém acessa os mesmos, como quando viajam de um servidor do website para um dispositivo do usuário. 'Dados em repouso' refere-se a dados no armazenamento, como dados no disco rígido de um dispositivo ou uma unidade flash USB.

As duas chaves para manter a proteção de dados quando os seus funcionários trabalham remotamente são a encriptação e o controle de acesso.

  • Encriptação: o Splashtop encripta todos os dados do utilizador em trânsito e em repouso, e todas as sessões de utilizador são estabelecidas com segurança através do TLS. O conteúdo acedido em cada sessão é sempre encriptado através de AES de 256 bits.
  • Controle de Acessos: O Splashtop implementou controles de acesso para gerir o acesso eletrônico a dados e sistemas. Os nossos controles de acesso baseiam-se nos níveis de autoridade, nos níveis de necessidade de conhecer, bem como na segregação de deveres para aqueles que acessam o sistema.

A Splashtop evita propositadamente a recolha excessiva de dados — algo que muitas empresas fazem sem uma razão legítima de serviço comercial. Nos alinhamos mais facilmente com os regulamentos, não recolhendo dados/informações sensíveis. Apenas recolhemos, armazenamos e processamos PII limitadas, tais como nome de usuário (e-mail), senha e registos de sessão (para os clientes analisarem, resolução de problemas, etc.), e a Splashtop não vende informações de clientes de acordo com as diretrizes do GDPR e CCPA.

Boas práticas #4: Trate dados específicos de geografia dentro da sua própria pilha

Se a sua empresa servir os usuários numa zona regulada, o jeito mais seguro de atuar é criando uma pilha de dados/tecnologia específica para cada zona regulamentada. A Splashtop aproveita uma pilha da UE sediada na Alemanha. Isto garante que as transferências de dados relacionadas com os residentes da UE permanecem dentro da soberania da UE (uma regra rigorosa do RGPD).

Best Practice #5: Utilizar um acesso remoto seguro

As pessoas que trabalham remotamente usam VPNs e RDP (remoto desktop protocol) para aceder às aplicações e dados de que necessitam para executar o seu trabalho. Isto levou os cibercriminosos a explorar a fraca segurança das senhas e vulnerabilidades VPN para aceder à rede corporativa, roubando informações e dados.

A solução de acesso remoto da Splashtop não depende de uma VPN. Além disso, segue uma abordagem Zero Trust. Quando os funcionários acedem remotamente ao seu computador de escritório ou estação de trabalho, entram através de uma ligação especial Splashtop. Uma ligação que não faz parte da rede corporativa. Isto significa que só podem ver e trabalhar com os dados (ou seja, documentos Word) no seu desktop remoto, e os dados nunca viajam fora da rede corporativa. Os líderes de segurança de TI também têm a opção com o Splashtop para ativar ou desactivar as funções de transferência e impressão de ficheiros. Estas escolhas são altamente recomendadas para a conformidade, mas não existem com uma estratégia RDP/VPN.

O acesso remoto Splashtop apresenta ainda mais recursos de segurança, como autenticação de dispositivo, autenticação de dois fatores (2FA), logon único (SSO) e muito mais. Essas medidas de segurança modernas não existem na arquitetura VPN.

Prevenção é mais fácil do que curar

Como estas melhores práticas demonstram, pode tomar cinco passos de bom senso para se alinhar com regulamentos de privacidade de dados sem um esforço enorme. Com o trabalho remoto aqui para ficar, a vantagem em proteger os dados dos consumidores no seu ambiente de trabalhadores remotos supera em muito os efeitos negativos de ser encontrado “fora de conformidade”.

Para saber como sua organização pode obter rapidamente acesso remoto seguro e seguro alinhado com CCPA, GDPR e outros regulamentos de privacidade do consumidor, visite a nossa página de Compliance.


Conteúdo Relacionado

Banner de avaliação gratuita no final desta página