A LGPD (Lei Geral de Proteção de Dados Pessoais) impacta diretamente na maneira que organizações do mundo todo devem lidar com dados que os seus usuários fornecem a qualquer momento da jornada. Isso ocorre porque, mais do que nunca, é esperada total transparência sobre todos os processos que envolvem não somente a coleta, mas também o uso e o armazenamento dos dados.
Mas afinal de contas, o que IAM (Identity Access Management ou gestão de identidades e acessos) tem a ver com uma lei que prevê a proteção dos dados que circulam entre os sistemas operacionais das empresas? Primeiramente, vamos rever os conceitos de LGPD e de IAM.
O que é LGPD?
A Lei Geral de Proteção de Dados Pessoais surgiu para assegurar aos usuários o direito de que os seus dados pessoais sejam protegidos e mantidos em privacidade e que toda a qualquer manipulação seja feita com base em regras claras e previamente acordadas entre as partes. Resumidamente, trata-se de uma regulamentação que se aplica também aos meios digitais e que zelam tanto por pessoa física quanto jurídica.
O que é IAM?
É uma disciplina que compõe a segurança da informação, certificando-se que acessos sejam dados de forma consciente e rigorosa dentro de ambientes tecnológicos e sempre em alinhamento com os requisitos de conformidade adotados pelo mercado.
Como LGPD e IAM se relacionam?
Se a LGPD zela pela proteção e privacidade dos dados de usuários, é a IAM que garante que apenas os perfis adequados os manipulem – e aqui estão incluídos colaboradores de empresas e demais usuários. Por esse motivo, é correto afirmar que a gestão de identidades e acessos faz parte do compliance (conformidade) das empresas que levam a Lei Geral de Proteção de Dados Pessoais à sério.
IAM e Conformidade
Para que as organizações cedam o acesso de dados pessoais apenas a quem deve manejá-los e, consequentemente sigam as premissas da LGPD, as seguintes práticas de IAM devem ser adotadas:
- Utilizar soluções que auxiliem na implementação bem-sucedida da separação de tarefas (SoD), a qual prega o recrutamento de mais de uma pessoa para concluir uma tarefa completamente;
- Gerenciar o ciclo de vida de dados pessoais;
- Operar sob o Princípio do Menor Privilégio (PoLP) para que se saiba tudo sobre o acesso do cliente, bem como o momento e a localização do acesso dado;
- Manter o ambiente sob monitoramento constante, pois assim é mais fácil mapear eventuais erros que geram transtornos;
- Verificar frequentemente o status de acesso aos dados pessoais dos usuários (há alguém que precisa ter acesso mais amplo ou alguém que deveria ter o acesso suspenso?);
- Acompanhar rigorosamente aqueles que possuem acesso privilegiado aos dados pessoais dos usuários;
- Adotar técnicas de autenticação eficazes, evitando que terceiros se passem pelos usuários reais.
O que mais IAM faz pela LGPD?
Um dos passos mais importantes para se adequar às exigências da Lei Geral de Proteção de Dados Pessoais é implementar um com sucesso um sistema efetivo de gestão de identidades e acessos. Veja a seguir alguns exemplos de como ambos os conceitos se relacionam.
- Governança de identidade
Para enriquecer a governança de identidade dentro de uma empresa, IAM se manifesta como um provedor de informações sobre o acesso a aplicações, que podem ser realizadas pelos próprios colaboradores ou pelos usuários externos do seu sistema.
- Consentimento
A aplicação de IAM é baseada no consentimento cedido pelo dono dos dados, que também pode remover ou solicitar a remoção de quaisquer informações que tenham sido fornecidas anteriormente.
- Segurança de processamento
Graças à IAM, os riscos de acesso não-autorizado e perda de dados são drasticamente reduzidos. Com isso, cumpre-se com os requisitos de segurança previstos na LGDP.
- Processamento de dados pessoais
IAM é a única disciplina que possibilita a aplicação da autenticação com múltiplos fatores, impedindo que o processamento não-autorizado exponha dados pessoais contidos em uma plataforma.
- Minimização de dados
Um dos princípios da LGPD é garantir que os dados passem pela mínima manipulação possível, o que IAM entrega por meio da centralização do controle dos dados.
- Serviços em nuvem
Não há meios para garantir o gerenciamento de serviços em nuvem em conformidade sem a intervenção de IAM. É apenas a gestão de identidades e acessos que pode compartilhar dados em nuvem de forma segura.