Pular para o conteúdo
Compliance MSPA

Medidas De Seguranca

Definição Simples (O que é?)

Seção intitulada “Definição Simples (O que é?)”

São todas as ações, ferramentas e políticas que uma empresa implementa para proteger os Dados Pessoais contra acessos não autorizados, vazamentos, perdas ou destruição. É o “como” a empresa garante a Segurança da Informação na prática.

  • Técnicas: Referem-se a soluções de tecnologia (ex: firewall, criptografia, antivírus).

  • Administrativas: Referem-se a processos, políticas e pessoas (ex: Controlo de Acesso, treinamentos, Política de Segurança da Informação).

Definição Formal (O que diz a Lei?)

Seção intitulada “Definição Formal (O que diz a Lei?)”

A LGPD, no seu Artigo 46, estabelece que: “Os Agentes de Tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de Tratamento inadequado ou ilícito.”

Exemplos Práticos

Seção intitulada “Exemplos Práticos”

  • Medidas Técnicas:

    • Utilizar criptografia no banco de dados de clientes.

    • Instalar e manter firewalls e antivírus atualizados em todos os computadores.

    • Implementar autenticação de dois fatores (MFA) para acesso a sistemas críticos.

    • Manter backups (cópias de segurança) regulares e testados.

  • Medidas Administrativas:

    • Criar uma Política de Segurança da Informação (PSI) e garantir que todos os funcionários a leiam e assinem.

    • Definir uma política de Controlo de Acesso baseada no “princípio do menor privilégio” (cada um só acede ao que é estritamente necessário para sua função).

    • Realizar treinamentos periódicos de consciencialização sobre phishing e engenharia social.

    • Assinar contratos de confidencialidade (NDA) com funcionários e fornecedores.

Ponto de Atenção (Erro Comum)

Seção intitulada “Ponto de Atenção (Erro Comum)”

O equívoco mais grave é focar apenas nas medidas “técnicas” (comprar o melhor antivírus, o melhor firewall) e esquecer as “administrativas”. A maioria dos Incidentes de Segurança graves começa por falhas humanas (administrativas), como um funcionário sem treino que clica num e-mail de phishing ou uma política de Controlo de Acesso mal definida. A LGPD exige ambas as frentes.

Você Sabia? (Curiosidade)

Seção intitulada “Você Sabia? (Curiosidade)”

A LGPD (Art. 46, § 1º) não lista exatamente quais medidas devem ser usadas. Ela funciona com base na Responsabilização. Cabe à empresa (Controlador) avaliar os seus próprios riscos e implementar medidas proporcionais a esse risco. Um hospital que trata Dados Pessoais Sensíveis precisa de medidas muito mais robustas do que uma pequena loja que recolhe apenas e-mails para newsletter.

Termos Relacionais

Seção intitulada “Termos Relacionais”

  • Incidente de Segurança

  • Controlo de Acesso

  • Princípio da Prevenção

  • Agentes de Tratamento

  • Confidencialidade

  • Integridade

  • Disponibilidade

  • Política de Segurança da Informação - PSI