Fundação Vanzolini

Política de Proteção de Dados Pessoais e Privacidade

DATA DA ÚLTIMA ATUALIZAÇÃO: 05/08/2022
VERSÃO: 03

Nós da Fundação Carlos Alberto Vanzolini (“FCAV”), em respeito ao nosso compromisso com a privacidade, disponibilizamos esta Política de Proteção de Dados Pessoais e Privacidade (“Política”), parte integrante do nosso Programa de Governança em Privacidade de Dados e de Segurança da Informação, para explicar de maneira simples, objetiva e transparente, como realiza o tratamento dos seus dados pessoais, em respeito à legislação vigente, com especial atenção à Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

Leia atentamente este documento, e, em caso de dúvida, fique à vontade para nos contatar por um dos canais de atendimento.

1. Conceitos

Para que você compreenda melhor o teor desta Política, por favor, considere as definições abaixo:

CookiesSão pequenos arquivos enviados para o seu navegador ou dispositivos, que armazenam suas preferências e outras informações sobre como e quando Nossos Ambientes são visitados, bem como a quantidade de pessoas que o acessam.
Dados PessoaisSão as informações relativas a uma pessoa natural (como você), que sejam capazes de identificá-la ou torná-la identificável, tais como, mas não limitadas ao nome, e-mail, número do RG, preferências pessoais, endereço IP e geolocalização.
Dado pessoal sensívelÉ todo dado pessoal sobre origem étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
EncarregadoÉ a pessoa indicada pela FCAV para atuar como canal de comunicação entre nós, os Titulares dos Dados Pessoais e a Autoridade Nacional de Proteção de Dados (a “ANPD”).
Legislação AplicávelÉ toda legislação que versa sobre privacidade e proteção de Dados Pessoais, especialmente a Lei nº 13.709/2018 (“Lei Geral de Proteção de Dados Pessoais” ou “LGPD”).
Nossos AmbientesQuaisquer ambientes ou plataformas geridas por nós, em especial nosso site www.vanzolini.org.br
Programa de Governança em Privacidade, Proteção de Dados Pessoais e de Segurança da Informação (“Programa”)É o conjunto de práticas e ações voltadas ao gerenciamento de dados como ativos da FCAV. Define, aprova, comunica e implementa princípios, políticas, procedimentos, medições, ferramentas e responsabilidades para gerenciamento de dados, além de monitorar e orientar as atividades em conformidade com nossas políticas.
Titular dos Dados PessoaisÉ a pessoa física a quem os Dados Pessoais se referem, e que interage com Nossos Ambientes, na condição de usuário ou visitante.
TratamentoÉ toda operação realizada com Dados Pessoais, tais como, mas não limitadas a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle da informação, modificação, comunicação, transferência, difusão e extração.

 

2. Sobre os dados pessoais que tratamos

Você nos fornece seus Dados Pessoais quando interage com Nossos Ambientes, inclusive quando preenche formulários ou outros meios disponibilizados nele. Abaixo alguns exemplos dos dados que coletamos:

 

PROCESSO/ATIVIDADEDADOS PESSOAIS 
Elaboração de Propostas ComerciaisNome, telefone, e-mail e cargo.
Cadastro de ClientesNome, telefone, e-mail e cargo.
Processo seletivo de alunosNome, CPF, RG, data de nascimento, gênero, telefone, e-mail.
Contratação de Cursos (Matrícula do Aluno)Nome, endereço, telefone, nacionalidade, gênero, data de nascimento, e-mail, RG, CPF, dados financeiros (dados do cartão, quando o pagamento é realizado por este meio) e foto.
Cadastro de Fornecedores e Prestadores de Serviço – PFNome, CPF, RG, Data da Emissão RG, PIS, Data de Nascimento, Endereço, Telefone, E-mail, Dados Bancários, Sexo, Nacionalidade, Profissão, Estado Civil e Filiação (eSocial).
Cadastro de Fornecedores e Prestadores de Serviço – PJNome do Representante Legal + Contrato Social, Nome, CPF e Dados Bancários (reembolso de despesa PF).
Trabalhe ConoscoNome, Cargo Desejado, Pretensão Salarial, Região que deseja trabalhar, CPF, eMail, Sexo, Estado Civil, Data de Nascimento, Telefone para Contato, Endereço, Experiência Profissional, Formação Acadêmica, Cursos e Especialização e Idiomas.
eMail MarketingQuais mensagens de eMail foram abertas e se uma mensagem de eMail ocasionou uma ação.
BolsistaNome, Endereço, telefone, eMail, CPF e dados bancários.
Assine Nossa NewsletterNome, e-mail, telefone e empresa.
Envie sua perguntaNome, e-mail, telefone, empresa, cargo, assunto e mensagem.

 

Atualização e veracidade dos Dados Pessoais: Lembre-se, você é o único responsável pela precisão, veracidade ou atualização dos Dados Pessoais que fornece à FCAV. Nós não somos obrigados a tratar seus Dados Pessoais se houver razões para crer que tal tratamento possa nos imputar infração de qualquer lei aplicável, ou se você estiver utilizando nossos ambientes para quaisquer fins ilegais, ilícitos ou contrários à moralidade.

Base de dados: A base de dados formada por meio da coleta de Dados Pessoais é de propriedade da FCAV e está sob nossa responsabilidade, sendo que seu uso, acesso e compartilhamento, quando necessários, serão feitos dentro dos limites e propósitos dos negócios descritos nesta Política.

3. Cookies

Com o intuito de melhorar a navegabilidade em nosso portal, a Fundação Vanzolini faz uso de cookies, que consistem em arquivos digitais em formato de texto coletados e armazenados durante a navegação. Os cookies são utilizados para aprimorar a sua experiência, tanto em termos de performance, como de usabilidade no portal, uma vez que os conteúdos disponibilizados serão otimizados, ajustados de acordo com as preferências sistêmicas e, em casos específicos, utilizados em ferramentas de análises e de publicidade para compilar estatísticas anônimas.

A utilização de cookies é recorrente em plataformas digitais e o seu uso não prejudica os dispositivos em que são armazenados, sendo possível gerenciá-los diretamente nas opções do navegador de internet utilizado por você.

4. Como protegemos seus Dados Pessoais e como você pode nos ajudar a protegê-los?

Práticas de Segurança e Governança: Para resguardar sua privacidade e proteger seus Dados Pessoais, o Programa da FCAV contém regras de boas práticas, políticas e procedimentos internos, os quais estabelecem condições de organização, treinamentos, ações educativas e mecanismos de supervisão e mitigação de riscos relacionados ao Tratamento de Dados Pessoais.

Acesso aos Dados Pessoais, proporcionalidade e relevância: Internamente, os Dados Pessoais coletados são acessados somente por profissionais devidamente autorizados pela FCAV, respeitando os princípios de proporcionalidade, necessidade e relevância para os objetivos do nosso negócio, além do compromisso de confidencialidade e preservação da sua privacidade nos termos desta Política.

Links externos: Quando você utiliza Nossos Ambientes, poderá ser conduzido, via link, a outros portais ou plataformas, que poderão coletar seus Dados Pessoais e ter sua própria Política de Privacidade. Caberá a você ler as referidas Políticas, sendo de sua responsabilidade aceitá-las ou rejeitá-las. Nós não somos responsáveis pelas Políticas de Privacidade de terceiros e nem pelo conteúdo de quaisquer websites ou serviços ligados à ambientes que não os nossos.

Tratamento por terceiros sob nossa diretriz: Buscamos avaliar cuidadosamente aqueles que nos prestam serviços e firmamos com eles obrigações contratuais de segurança da informação e proteção de Dados Pessoais, com objetivo de proteger você.

5. Sobre o armazenamento de seus Dados Pessoais

Local de armazenamento: Os Dados Pessoais coletados são armazenados em ambiente seguro e controlado, podendo estar em nossos servidores localizados no Brasil, bem como em ambiente de uso de recursos ou servidores na nuvem (cloud computing), o que poderá exigir transferência e/ou processamento dos seus Dados Pessoais fora do Brasil. Tomamos o cuidado necessário para garantir que as transferências envolvam apenas empresas que demonstrem estar em conformidade com as legislações aplicáveis, mantendo um nível de conformidade semelhante ou mais rigoroso que o previsto na legislação brasileira.

Prazo de armazenamento: Nós armazenamos os Dados Pessoais somente pelo tempo que for necessário para cumprir com as finalidades para as quais foram coletados ou para cumprimento de quaisquer obrigações legais, regulatórias ou para preservação de direitos. Lembre-se, este prazo pode superar o de sua relação direta com a FCAV já que determinadas obrigações se estendem no tempo.

Descarte dos Dados: Decorrido o prazo de manutenção e a necessidade legal, os Dados Pessoais são excluídos com uso de métodos de descarte seguro ou utilizados de forma anonimizada para fins estatísticos.

6. Com quem compartilhamos seus dados pessoais?

É importante que você saiba que, ressalvadas as hipóteses abaixo elencadas, a FCAV não compartilha seus Dados Pessoais e, quando o faz, somente compartilha aqueles que forem estritamente necessários para cumprimento das atividades a que são destinados e, sempre que possível, adota medidas para salvaguardar as informações e adotar boas práticas.
Nós podemos compartilhar Dados Pessoais nas seguintes hipóteses:

  • Com autoridades judiciais, administrativas ou governamentais competentes, sempre que houver determinação legal, requerimento, requisição ou ordem judicial;
  • Com as empresas parceiras, quando necessário para viabilizar, facilitar ou executar atividade específica.

Caso você tenha qualquer dúvida sobre com quem compartilhamos seus Dados Pessoais, por favor, entre em contato conosco por meio dos canais de atendimento disponibilizados ao final desta Política e lhe auxiliaremos a esclarecer os pontos.

7. Seus direitos e como exercê-los

Ainda que a FCAV trate seus Dados Pessoais eles permanecem sendo seus e é importante que você saiba que a Legislação Aplicável traz uma série de direitos relacionados a eles, que poderão ser exercidos por você através de requisição ao nosso Encarregado pelos canais de atendimento indicados no final desta Política.

Confirmação e acesso: você poderá solicitar a confirmação sobre a existência de Tratamento e o acesso a seus Dados Pessoais, inclusive por meio da solicitação de cópias de registros que temos sobre você.

Correção: você poderá solicitar a correção de seus Dados Pessoais que estejam incompletos, inexatos ou desatualizados.

Anonimização, bloqueio ou eliminação: você poderá solicitar a anonimização dos seus Dados Pessoais, para que eles não possam mais ser relacionados a você, o bloqueio dos seus Dados Pessoais, suspendendo temporariamente a possibilidade de Tratamento para certas finalidades, ou a eliminação dos seus Dados Pessoais.

Portabilidade: você poderá solicitar que o FCAV forneça seus Dados Pessoais em formato estruturado e interoperável visando sua transferência para um terceiro, respeitando nossa propriedade intelectual ou segredo de negócios.
Informação sobre compartilhamento: você poderá solicitar informações sobre terceiros com os quais compartilhamos seus Dados Pessoais, limitando essa divulgação a informações que não violem nossa propriedade intelectual ou segredo de negócios.

Revogação do consentimento: você poderá optar por retirar o consentimento para alguma finalidade que você tenha consentido. Essa revogação não afetará a legalidade de qualquer Tratamento realizado anteriormente. Se você retirar seu consentimento para finalidades fundamentais ao regular funcionamento dos Nossos Ambientes e serviços, estes poderão ficar indisponíveis para você.

Oposição: você poderá se opor ao Tratamento dos seus Dados Pessoais, caso não concorde com alguma finalidade.

A Legislação Aplicável também garante a você o direito de apresentar uma reclamação diretamente à Autoridade Nacional de Proteção de Dados.

É importante que você saiba que o exercício de seus direitos não é ilimitado, a FCAV pode, em casos específicos e autorizados por lei, deixar de atender alguma requisição. Caso isto ocorra, você será informado sobre o motivo de nossa recusa.

Você também está ciente de que, caso a solicitação de acesso aos seus Dados Pessoais recaia sobre documentos específicos, principalmente que envolvam Dados Pessoais de outras pessoas, somente seus Dados Pessoais serão fornecidos e não a integralidade dos documentos.

FCAV se compromete a responder todas as requisições em um prazo razoável e sempre em conformidade com a legislação aplicável.

8. Informações Gerais sobre esta Política

Você reconhece o direito da FCAV de alterar o teor desta Política a qualquer momento, conforme a finalidade ou necessidade, tal qual para adequação e conformidade legal de disposição de lei ou norma que tenha força jurídica equivalente, cabendo a você verificá-la sempre que efetuar o acesso em Nossos Ambientes. Ocorrendo atualizações neste documento e que demandem eventual coleta de consentimento, você será notificado por meio dos canais de contatos que nos informar.

Caso algum ponto desta Política seja considerado inaplicável por alguma autoridade, seja administrativa ou judicial, as demais condições permanecerão em pleno vigor e efeito.

Essa Política será interpretada segundo a legislação brasileira, no idioma português, sendo eleito o foro do seu domicílio para dirimir qualquer controvérsia que envolva este documento, salvo ressalva específica de competência pessoal, territorial ou funcional pela legislação aplicável.

9. Canais de atendimento

CONTATO

No caso de dúvidas relacionadas à Política de Proteção de Dados Pessoais e Privacidade ou caso você precise interagir conosco sobre assuntos envolvendo os seus dados pessoais, poderá fazê-lo com o DPO pelo e-mail: atendimentolgpd@vanzolini.org.br.

FCAV está sempre à disposição para esclarecer suas dúvidas e colocar você no controle dos seus dados pessoais.

A atuar de forma mais estratégica na gestão de dados, com foco na segurança e na privacidade. Ao conhecer a norma ISO 27701:2019 você aprenderá sobre padrões internacionais de proteção de dados, além de se preparar para apoiar organizações na adequação de processos para conformidade com a LGPD.

Veja tudo o que você vai aprender:

 

Obs.:
A realização deste curso está condicionada ao número mínimo de matrículas.
As vagas estão sujeitas à capacidade máxima da turma.

Com informações de: Sarah Kohan

A norma ISO 27701 especifica quais são os requisitos e fornece diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de Gestão de Privacidade da Informação (SGPI) e também, fornece diretrizes para os controladores e operadores de dados pessoais que têm grandes responsabilidades nas atividades de tratamento.

É aplicável a todos os tipos e tamanhos de organizações, tanto públicas quanto privadas, organizações controladoras e operadoras de dados pessoais e tem relação com as normas técnicas que lhe dão suporte para a implementação da conformidade.

A norma nasceu da extensão de requisitos da ISO 27001 e também das diretrizes da ISO 27002, ambas com o objetivo de manter a segurança da informação.

Para entender melhor sobre a norma da ISO 27701 é preciso compreender que ela tem relação a todo instante com as normas de segurança da informação, suas diretrizes e requisitos, ao mesmo tempo em que cria novas e específicas regras.

“A norma 27701, elaborada pelo comitê conjunto da ISO/IEC, é a primeira norma de privacidade global. Abrange todo ciclo de vida dos dados pessoais na organização desde a sua coleta de dados até o seu descarte de dados.

Segurança da informação e privacidade estão inter-relacionadas e ao anexar as melhores práticas de privacidade de dados à segurança, o comitê ISO/IEC facilita para milhares de empresas auditadas todos os anos na norma 27001, a ampliação de seus sistemas de segurança da informação para um sistema segurança da informação e privacidade de dados pessoais.

A adoção da ISO/IEC 27701 em uma organização fornece um caminho fácil para disseminação de práticas consistentes de processamento de dados pessoais. Uma vez certificada, a empresa ganha credibilidade no mercado demonstrando sua preocupação com o tratamento de dados pessoais através de auditorias externas com reconhecimento internacional.

De acordo com o último survey publicado pela ISO com dados de final de 2019, a ISO 27001 é a terceira norma mais adotada e certificada mundialmente, precedida pela ISO 9001 em primeiro lugar e ISO 14001 em segundo lugar. Analisando os países que adotam este padrão, a China está em primeiro lugar com 8.356 certificados válidos, seguida do Japão com 5.245 e do Reino Unido com 2.818 certificados.

Com as leis de proteção de dados pessoais em vigor em muitos países do mundo, como a LGPD no Brasil e a GDPR na União Europeia, a tendência é de crescimento rápido da adoção da ISO 27701.”

Confira alguns detalhes importantes da norma:

Com o curso Segurança da Informação e Privacidade de Dados Pessoais, conforme a norma internacional ISO 27701:2019 você conhecerá os requisitos para atender a Norma que foi concebida para ser uma ferramenta internacional de adequação às mais diversas regulamentações de proteção de dados em diversos países, como a LGPD – Lei Geral de Proteção de Dados do Brasil e a GDPR – General Data Protection Regulation da Europa.

Conheça os casos reais em que o vazamento de dados gerou impacto financeiro e na reputação das empresas e saiba como evitar esse problema.

Dados vazados resultam em muita dor de cabeça e muito dano no bolso das organizações. Quando uma empresa sofre com o vazamento de dados, ela tem, de cara, dois prejuízos para lidar: o financeiro, por conta das multas aplicadas, e o reputacional, por conta da imagem afetada perante o mercado.

Esses são os altos custos quando há uma ocorrência de fuga de dados. O impacto financeiro das multas – resultantes de uma violação de dados -, podem chegar a milhões de dólares e gerar uma crise paralisante no caixa organizacional. Mas não são somente as multas pesadas.

Os danos à reputação, causados por um vazamento de dados, podem ser igualmente devastadores para os negócios.

Então, para tratar desse tema delicado e bastante relevante no contexto empresarial, preparamos este artigo, no qual exploramos o alto custo dos vazamentos de dados e as consequências e implicações financeiras, além da reputação, que as empresas podem enfrentar, quando não protegem suas informações confidenciais com eficiência.

Dessa maneira, vamos mostrar casos reais, com o objetivo de compreender a magnitude do problema. Além disso, vamos falar da importância de se implementar medidas de segurança eficazes e de se investir em estratégias robustas de proteção de dados para evitar vazamentos.

Prontos?

O vazamento de dados e seus prejuízos financeiros

Para começar, vamos entender melhor o que é o vazamento de dados, também chamado em inglês de data leak. O vazamento de dados está relacionado ao acesso indevido a dados confidenciais e sigilosos por pessoas não autorizadas.

Sendo assim, o vazamento de dados pode ocorrer de forma acidental, quando os sistemas de segurança online não funcionam como deveriam, ou por uma intenção consciente, quando hackers invadem esses sistemas.

De uma maneira ou de outra, os danos para as empresas que têm seus dados expostos podem ser imensos. Isso porque há multas pesadas e toda uma estratégia para reposicionar a marca, “limpando” sua imagem perante o mercado.

Segundo reportagem no Canaltech, no Brasil, esse tipo de ocorrência gera um prejuízo médio de R$ 5,8 milhões por ano.

Além disso, o Brasil também aparece entre os 20 territórios nos quais as investidas desse tipo são mais custosas para as corporações, gerando um aumento de 10,5% nos valores que as empresas tiveram de empregar na mitigação, controle e resolução de incidentes em casos de vazamento de dados.

Na mira dos hackers

Não é à toa que o Brasil gaste tanto com os prejuízos dos vazamentos de dados. O país é um dos mais visados quando o assunto é ataque digital e cibersegurança.

Em 2022, quase 70% das empresas no Brasil sofreram algum ataque cibernético com sequestro de dados, segundo o relatório anual The State of Ransomware da Sophos, da empresa global especializada em cibersegurança.

De acordo com levantamento, o total de registros em 2022 foi 13% superior ao do ano anterior. A pesquisa entrevistou líderes de empresas de médio porte em 14 países, incluindo 200 organizações no Brasil. Entre as empresas brasileiras, 68% disseram ter sido vítimas de ataques.

Outro dado importante é que, de janeiro a novembro de 2021, 24,2 milhões de perfis de brasileiros tiveram suas informações expostas na internet a partir de ataques ou brechas em sistemas. Na ocasião, o Brasil assumiu o 6º lugar no ranking de países com mais vazamentos de dados no mundo.

Quais os tipos de vazamento?

Entre as maneiras mais comuns de ocorrência de vazamento de dados, podemos destacar:

Senhas fracas e controle de acesso falho

Pode parecer besteira, mas uma senha fraca pode ocasionar um vazamento de dados. Mas, até mesmo as melhores senhas podem ser inúteis frente a uma configuração de sistema precária que deixa seu banco de dados vulnerável.

SQL Injection

Trata-se de um tipo de ataque simples e requer conhecimento técnico mínimo para ser realizado.

No SQL Injection, o hacker explora a falta de segurança de websites para obter acesso não autorizado à base de dados. É um ataque simples, e ainda pode ser automatizado.

Phishing

Aqui temos algo um pouco mais complexo, já que esse tipo de ataque requer engenharia social para a manipulação de pessoas e obtenção de dados sensíveis. Um exemplo é o e-mail falso, feito para parecer real ou similar a algum e-mail conhecido.

Desse modo, este e-mail pode pedir informações, oferecer um crédito ou qualquer outra coisa e, ao clicar nos links do e-mail, a pessoa acaba instalando malwares, spywares ou mesmo ser direcionada para logins falsos em páginas similares às conhecidas.

Exploração de Vulnerabilidades

Nesse caso, o ataque tira proveito de vulnerabilidades ou bugs de softwares para obter acesso não autorizado a um sistema ou aos seus dados.

Sistemas operacionais, navegadores e aplicações populares são alguns dos principais alvos e existem até exploit kits, que tornam simples a exploração de vulnerabilidades sem conhecimento técnico por criminosos.

Vazamento de documentos impressos

Documentos impressos também podem ser vazados. Isso porque muitos documentos ficam expostos ou abandonados em impressoras e mesas no ambiente corporativo. A vulnerabilidade também mora aí.

Por isso, um software de impressão segura é uma boa medida quando se trata da segurança dos dados impressos.

Conheça as leis voltadas à proteção de dados

Com o intuito de inibir e punir os crimes cibernéticos, o Brasil conta com leis específicas, voltadas para a proteção de dados. Entre elas, está a mais conhecida, a Lei Geral de Proteção de Dados (LGPD), de 2018, que

dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

Embora a LGPD não determine sanções para o vazamento de dados especificamente, ela prevê punições e multas para as empresas que forem denunciadas e tiverem comprovada a falta de cuidado com os dados coletados em seus sites.

Há também a Lei 12737, de 2012, que caracteriza como crimes cibernéticos:

“A invasão a dispositivos por violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados, ou informações sem autorização expressa, ou tácita do titular do dispositivo, ou instalar vulnerabilidades para obter vantagem ilícita” ;

“Interrupção ou perturbação de serviço telegráfico, telefônico, informático, telemático ou de informação de utilidade pública”;

“Falsificação de documento particular”;

“Falsificação de cartão de crédito ou débito”.

Já a Lei 14.155/21, sancionada em 2021, estabelece maiores penas por crimes de furto e estelionato que partem de celulares, computadores e dispositivos eletrônicos, em razão do aumento dos casos e da gravidade das ações e consequências dos crimes cibernéticos.

A legislação brasileira busca fechar o cerco aos ataques cibernéticos e para além das multas, há casos previstos de reclusão do criminoso. 

Dessa forma, é possível compreender que o vazamento de dados é um crime, algo grave, sério, passivo de multas altas e de prisão.

Por isso, ao compreender o impacto financeiro e reputacional de violações de dados, as empresas devem tomar medidas proativas para proteger os seus valiosos ativos de dados e salvaguardar a sua reputação em um mundo cada vez mais digital.

Veja as cinco principais consequências do vazamento de dados para as empresas:

1. Exposição de informações confidenciais

O tempo todo, sem parar, grandes volumes de dados trafegam pelas redes das empresas, incluindo informações confidenciais de clientes, parceiros e colaboradores, relatórios financeiros, etc.

Com um vazamento de dados, todas essas informações podem cair nas mãos de criminosos e se tornar mercadoria, comercializada de forma ilegal.

2. Extorsão e chantagem

O vazamento de dados pode ser moeda de troca e motivo de chantagem. No Brasil, um dos maiores responsáveis pelo vazamento de dados é o ataque de ransomware. Nesse tipo de invasão, o criminoso se apropria do dispositivo da vítima, impedindo seu acesso a dados ou a todo o sistema operacional.

Então, para restabelecer o acesso do usuário, o cibercriminoso exige resgate, normalmente em criptomoedas. Mas o que acontece é que, mesmo mediante ao pagamento, não há garantias de que o hacker irá cumprir o acordo e devolver os acessos. Ele ainda pode expor todas as informações contidas ali.

3. Interrupção de serviços

Quando uma organização sofre um ataque de ransomware ou DoS (Ataque de Negação de Serviço), por exemplo, ela fica parcialmente incapaz de acessar os seus dados e de interagir com os seus clientes.

O restabelecimento das atividades pode levar desde algumas horas até dias, gerando prejuízos e afetando a produtividade da empresa.

4. Impacto negativo na imagem da empresa

Como falamos no início deste texto, um dos prejuízos causados pelo vazamento de dados é o reputacional.

Uma marca com dados sigilosos vazados pode ter sua integridade afetada perante o mercado, e a reconstrução da reputação pode levar muito tempo.

Além disso, a repercussão negativa pode fazer com as pessoas se afastem do negócio, com medo de compartilhar suas informações com uma empresa que já foi alvo de um ataque cibernético. Uma consequência bastante complicada para uma organização que verá seu faturamento despencar.

5. Multas e penalidades legais

Como citamos acima, existem leis que tratam de crimes cibernéticos e visam proteger os dados. Quando as empresas estão em desacordo, elas podem sofrer com as penalidades.

No caso de organizações que tiveram vazamento de dados comprovado, as penas podem variar de advertência até multa, que pode chegar a 2% do faturamento anual da empresa, limitada a R$ 50 milhões por cada infração cometida.

Casos de incidentes de vazamento de dados no Brasil e suas consequências

Como forma de ilustrar e tornar mais palpável a questão do vazamento de dados, apresentamos alguns casos que ficaram famosos no Brasil. Por meio dessas situações, é possível compreender melhor a gravidade e as consequências de uma segurança digital falha e vulnerável.

Operação Deepwater

A operação Deepwater foi deflagrada pela Polícia Federal, em 2021, com o objetivo de combater o crime de vazamento de dados.

A iniciativa partiu da apuração de um desvio em larga escala, em que inúmeros números de CPFs e CNPJs foram divulgados em fóruns obscuros de troca de informações sigilosas.

Os cibercrimes chegaram ao conhecimento das autoridades por meio de denúncia e os criminosos foram presos nos estados de Pernambuco e Minas Gerais.

Dados do Ministério da Saúde

Um caso de vazamento de dados na esfera pública ocorreu em 2020, quando golpistas se aproveitaram de falhas para obter dados sigilosos do Ministério da Saúde.

O ciberataque levou à divulgação indevida de dados de 243 milhões de pessoas – uma quantidade de nomes maior do que toda a população brasileira.

Nessa situação, o volume muito acima da população se deu por conta do vazamento de dados de pessoas já falecidas, cujas informações seriam usadas para praticar novos crimes.

Golpe do Pix

O PIX se tornou rapidamente um meio comum para aplicar golpes e sua facilidade em fazer transferências digitais virou alvo dos hackers.

Um estudo divulgado em setembro de 2023 mostrou que os brasileiros sofreram 1,7 milhão de golpes financeiros via Pix em 2022.

De acordo com a pesquisa da Silverguard, quatro em cada dez entrevistados foram vítimas de alguma tentativa de fraude ao usar esse meio de pagamento. Dentre os alvos de enganações, um em cada cinco caiu no golpe.

Em um dos casos de vazamento de dados e golpe via Pix, a 2ª Vara do Juizado Especial Cível de São José dos Campos condenou um banco a pagar R$ 32.800,00 a uma correntista.

Na ocasião, o juiz entendeu que a vítima caiu no golpe depois de ter seus dados vazados pela instituição financeira e, por isso, o banco deveria responder ativamente pelos danos causados em razão das falhas no seu sistema de segurança.

A importância da segurança dos dados, da tecnologia e de medidas proativas

Segurança, esta é a palavra de ordem quando se trata de proteção de dados. O investimento em cibersegurança é a maneira mais eficiente de evitar o vazamento de informações sigilosas.

Um relatório aprofundado, conduzido pelo Ponemon Institute, sobre as violações de dados em todo o mundo, entre março de 2022 e março de 2023, identificou que Inteligência Artificial (IA) e automação impulsionam a velocidade de identificação e contenção, em casos de ciberataques nas organizações analisadas.

Desse modo, no Brasil, as organizações com uso extensivo de IA e automação experimentaram um ciclo de violação de dados que foi 68 dias mais curto, em comparação com aqueles que não implantaram essas tecnologias. No entanto, apenas 23% das empresas estudadas no Brasil estão usando de forma extensiva a segurança impulsionada por IA e automação – 17% menos do que a média global.

Importante destacar que o tempo necessário para identificar e conter uma violação impacta o custo geral da violação de dados.

Nesse sentido, de acordo com o relatório, no Brasil, se uma empresa gasta menos de 200 dias contendo o incidente, o custo médio é de aproximadamente R$ 5,11 milhões, mas, se passar de 200 dias, o custo pode subir para R$ 7,31 milhões.

Portanto, diante do alto custo, tanto financeiros quanto de reputação nos casos de vazamento de dados, é fundamental que as empresas invistam em práticas, programas e formações voltadas à segurança da informação.

As ações podem estar relacionadas ao reforço da proteção dos dados com softwares robustos e às políticas internas, capazes de educar os colaboradores frente às possíveis situações de ataques cibernéticos.

Por fim, para evitar o vazamento de dados, conter mais rapidamente os dados e preservar o bolso e a imagem da empresa, é essencial contar com um pessoal preparado, com conhecimento em cibersegurança e domínio de ferramentas e métodos de proteção da informação. Tudo com eficiência e seriedade.

Quer saber como a Fundação Vanzolini pode ajudar sua empresa com cursos, certificações e formações ligadas à Segurança da Informação e à Cibersegurança? Então acesse nosso site e veja as possibilidades!

Conheça as certificações: ISO 27001 e ISO 27701

Conheça os cursos de Segurança de Dados da Fundação Vanzolini.

ENTRE EM CONTATO

Até o próximo!

Fontes:

canaltech.com.br/seguranca/vazamentos-de-dados-geram-prejuizo-medio-de-r-58-milhoes-no-brasil-184759/

istoedinheiro.com.br/seguranca-de-dados-brasil-e-o-6o-pais-com-mais-vazamentos-diz-pesquisa/

tiinside.com.br/24/08/2023/custos-de-violacao-de-dados-no-brasil-reduzem-para-r-640-milhoes/

istoedinheiro.com.br/tecnologia-x-seguranca-da-informacao-entenda-diferencas-e-como-atuar-na-area-com-demanda-crescente-no-brasil/

cnnbrasil.com.br/economia/mais-de-17-milhao-de-golpes-com-pix-foram-aplicados-em-2022-mostra-levantamento/

Conheça os padrões ISO de segurança e conquiste a confiança de seus clientes ao seguir as principais normas de proteção de informações.

Os padrões ISO de segurança se referem ao termo International Organization for Standardization, entidade responsável por desenvolver e publicar padrões de processos que visam qualidade, segurança e eficiência de serviços, produtos e sistemas. 

Neste artigo, falaremos sobre as ISO 27001 e 27701, que têm como atribuições zelar, principalmente, pela segurança e sigilo de dados cibernéticos de empresas públicas ou privadas. 

Recentemente, dados do Facebook, ChatGPT, de órgãos de saúde e de uma determinada empresa do ramo imobiliário sofreram com o vazamento de dados. As organizações, além de arcar com prejuízos financeiros, devido aos danos morais, ainda perdem a confiança e credibilidade. Por fim, a perda de clientes é uma das piores consequências. 

Para tornar sua empresa segura a todos, continue lendo este artigo e saiba como não passar por nenhuma dessas situações que levam uma instituição a perder sua credibilidade e confiabilidade. 

ISO 27001 e 27701: qual a diferença?

A ISO 27001 é uma certificação destinada a empresas de instituições públicas ou privadas que prezam pela segurança da informação, conforme os padrões do Sistema de Gestão de Segurança da Informação (SGSI). 

A SGSI, por sua vez, é um conjunto de políticas, normas e protocolos processuais voltados para gerenciar os riscos e reduzir os danos causados pela falta de segurança dos dados de uma organização. Nesse sentido, a ISO oferece maior segurança, confidencialidade e integridade no armazenamento de informações. 

Quanto a ISO 27701, é uma extensão da 27001. Enquanto a 27001 diz respeito ao Sistema de Gestão e Segurança de Informação, a 27701 se refere ao Sistema de Gestão de Privacidade da Informação (SGPI). Portanto, a 27701 protege, exclusivamente, dados pessoais dos clientes, funcionários e demais parceiros. 

Qual escolher? 

Ambas certificações são importantes, pois como citamos, uma complementa a outra e são imprescindíveis no quesito segurança cibernética. Nesse caso, o ideal é iniciar pela 27001, visto que a 27701 é uma extensão da primeira e não pode ser implementada sem ela. Ao optar pelas duas, você terá a certeza de que está no caminho mais seguro, sem deixar lacunas na proteção dos dados da instituição. 

Para quem é o padrão ISO de segurança 27001/27701

A certificação é ideal para instituições que lidam com informações importantes e sensíveis (sigilosas ou não), dados pessoais e empresariais de clientes, pessoas físicas ou jurídicas, informações financeiras, de propriedade intelectual, etc. 

As principais organizações que buscam pela certificação ISO são: 

Embora as instituições acima sejam as que mais comumente procurem pela certificação, qualquer empresa preocupada em oferecer segurança aos seus clientes pode obtê-la, pois a ISO 27001 possui muitos benefícios em relação a isso. 

Por que as certificações são importantes? 

Existem vários casos de vazamento de dados, incluindo de empresas gigantes como a Meta (Facebook, Instagram e WhatsApp). Em 2021, ocorreu uma divulgação indevida de dados que afetou 533 milhões de pessoas, em 106 países. 

Após esse episódio, a companhia deverá pagar mais de R$70 milhões em danos morais. E, além do prejuízo financeiro, os usuários passaram a não confiar mais nos aplicativos. 

Se tal situação ocorre com uma das maiores e mais importantes organizações tecnológicas do mundo, pode-se dizer que todos estão suscetíveis à insegurança. Por isso, atender aos padrões ISO de segurança é uma indicação de que a empresa: 

Como consequência a todos os aspectos citados, as empresas aumentam a confiança dos clientes e podem aumentar sua demanda, pois, com os casos frequentes de vazamento, os parceiros optam por quem cuida da segurança cibernética. 

Ou seja: menos críticas e imprevistos e mais parceiros interessados no trabalho da instituição! 

Leia mais: Proteção a fraudes: saiba mais sobre as normas ISO/IEC 27001 e 27701

Como conseguir a certificação ISO 27001?

A Fundação Vanzolini é uma certificadora da norma ISO 27001. Além disso, a Fundação ainda oferece um curso de interpretação dos requisitos. Isso porque as normas possuem exigências a serem cumpridas. 

Os cursos de Interpretação dos Requisitos ISO 27001:2022 têm como objetivo:

O conteúdo programático do curso consiste em: 

Quanto ao curso referente às normas ISO 27701, confira os principais conteúdos abordados:

Leia mais: Como funciona a manutenção das certificações ISO 27001 e 27701

Atender às normas, em um primeiro momento, pode parecer uma tarefa complicada para as equipes despreparadas. Então, cursos relacionados a elas são fundamentais para o processo transcorrer da melhor forma e também rapidamente. 

Entre em contato e esteja nos padrões ISO de segurança. Com todas as ferramentas em mãos, a empresa estará pronta para receber a certificação e conquistar a confiança dos clientes e demais parceiros. 

Este conteúdo foi útil para você? Aprenda mais sobre o assunto: a Fundação Vanzolini oferece cursos com especialistas na área, para você ampliar o seu repertório e transformar a sua carreira.

Conheça os cursos de Segurança de Dados da Fundação Vanzolini.

Auditoria remota – como fazer e responder a auditorias remotas

Gestão de Riscos: Metodologia e boas práticas – ISO 31000

Interpretação dos Requisitos ISO 37001:2016

LGPD na prática: Como implantar a Lei Geral de Proteção de Dados na sua empresa

LGPD para áreas Administrativas e Financeiras

LGPD para áreas com Relacionamento com Clientes ou Fornecedores

LGPD para área Compliance

LGPD para área de Recursos Humanos

LGPD para área de Tecnologia da Informação

LGPD para área Jurídica

LGPD para DPO ou Encarregado de Dados

Segurança da Informação e Privacidade de Dados Pessoais, conforme a norma internacional ISO 27701:2019

IQNET: ISO 27001 – Auditor Líder

Interpretação dos Requisitos ISO 27001:2022

Sistema de Gestão de Ativos – Requisitos ISO 55001

Sistema de Gestão de Compliance – Como um sistema de gestão pode apoiar as organizações na cultura positiva do Compliance ISO 37301

ENTRE EM CONTATO

Para evitar o roubo de dados de pessoas e empresas, realizado por criminosos, entenda mais sobre as normas de segurança e privacidade da informação ISO 27001 e 27701.

As normas ISO 27001 e 27701 auxiliam na segurança da informação de organizações, evitando golpes e fraudes.

De alguns anos para cá, temos acompanhado uma série de notícias a respeito do vazamento de dados de pessoas e empresas, por meios digitais. Foram roubados diversos CPFs e CNPJs, além de contas de celulares.

No caso das contas de celulares, as informações são extraídas dos computadores das operadoras de telefonia e comercializados na deep web, uma parte da internet que dificulta ao máximo o rastreamento de computadores.

Todas essas situações geraram um grande alerta aos internautas, que passaram a ter medo de ter suas informações vazadas e utilizadas para atividades criminosas. Afinal, esses vazamentos podem gerar diversas consequências negativas para as vítimas.

É por isso que é essencial implementar as normas ISO 27001 e 27701 para proteger os seus dados de forma eficaz, e, neste conteúdo, abordaremos a importância dessa implementação. Acompanhe a leitura!

O que é segurança da informação e por que ela é tão importante?

A segurança da informação diz respeito à defesa dos dados, visa assegurar que os dados possam ser acessados apenas pelos seus responsáveis de direito ou pelas pessoas para as quais eles foram enviados.

No conceito de segurança da informação, a palavra “informação” é bastante ampla, já que pode estar relacionada aos dados financeiros, bancários, aos dados de um determinado projeto, serviço ou à propriedade intelectual, entre outros.

Dessa forma, a segurança da informação consiste de uma série de ações estratégicas, com o intuito de controlar e evitar riscos de roubo, danos e perdas de dados, servidores, dispositivos, sistemas e redes.

Há inúmeras possibilidades para a coleta e  mau uso dos dados de sua empresa ou de seus dados pessoais. Tais ações têm como função identificar, registrar e combater possíveis ameaças.

Impactos de um ataque para empresas

Para as organizações, a falta de sistemas de segurança e de proteção nas trocas de informações pode levar a prejuízos significativos.

Os impactos negativos não se restringem às perdas financeiras, podem também causar prejuízos à reputação e à imagem da empresa, demonstrando que não é capaz de proteger seus dados ou de terceiros.

Ao colocar em risco a segurança dos dados de seus clientes, a empresa deixa de ser confiável, e isso é prejudicial à fidelização dos clientes..

As principais ameaças à segurança da informação para as empresas

Negligenciar as estratégias de segurança cibernética pode deixar sua empresa vulnerável a diversos riscos. Entenda quais são os principais:

Ataques de ransomware

Por meio de um malware (um software intencionalmente feito para causar danos a um computador, servidor, cliente ou uma rede de computadores), os criminosos podem capturar informações e infectar diversos documentos, impedindo o seu acesso.

A prática mais comum é o responsável pelo ataque realizar chantagens com a empresa atacada, em troca de uma chave de (re)acesso aos seus documentos.

Phishing

Esse tipo de ameaça à segurança da informação diz respeito à fraude eletrônica; é um dos golpes mais  comuns atualmente.

O phishing é uma técnica de engenharia social que, para atrair a atenção das pessoas, se vale de mensagens ou plataformas que parecem confiáveis ou originadas de lugares plausíveis, tais como as redes sociais, e-mails ou bancos.

Após atrair a atenção da vítima, a estratégia costuma direcioná-la a links maliciosos, capazes de executar funções indevidas nos servidores. Tipicamente se instala algum vírus no dispositivo.

ISO 27001 e 27701: As normas que garantem a segurança da sua informação

Para compreender melhor as normas, é importante entender quais são as suas diferenças.

A LGPD (Lei Geral de Proteção de Dados) é a lei que regula o tratamento dos dados de pessoas físicas ou jurídicas, com o objetivo de garantir a proteção das informações e da privacidade.

Uma dúvida bastante comum é como as empresas podem adequar suas operações a esta Lei. Uma das formas mais eficientes para estar em conformidade com a LGPD dentro de uma organização, é aderir às normas ISO 27001 e 27701. Se a empresa tiver tais certificações, ela estará atendendo à Lei Geral de Proteção de Dados.

Entenda os objetivos da obtenção das certificações:

Objetivos da capacitação

Um dos principais objetivos dessas duas certificações é garantir a conformidade com a LGPD, evitando que a sua organização seja vítima de fraudes.

Além disso, a ISO 27701 está de acordo também com a GDPR (General Data Protection Regulation). Ou seja, o Regulamento Geral de Proteção de Dados, que é um conjunto de regulações a respeito da proteção de dados na União Europeia.

Portanto, com as certificações ISO 27001 e 27701, a empresa está apta a ser auditada pela norma Europeia. É um caminho para a empresa captar clientes no continente europeu.

Ao garantir a capacitação de atendimento a essas normas,  a empresa  garante a segurança dos seus dados, das informações dos clientes e do seu negócio, evitando prejuízos financeiros e sociais.

O resultado é o aumento da confiança de clientes e parceiros, além da transparência com os titulares dos dados.

Público-alvo da capacitação

O público-alvo da capacitação das normas são executivos, líderes, gestores, profissionais das áreas de auditoria, segurança da informação, tecnologia da informação, controles internos, compliance, gestão de processos e riscos.

São também públicos-alvos os consultores, profissionais autônomos e colaboradores de qualquer segmento que desejem adotar as boas práticas de segurança da informação e privacidade em suas atividades ou empresas.

Como implementar as normas ISO 27001 e 27701 para proteger seus dados

Primeiramente, é preciso deixar claro que, para implementar a ISO 27701, a ISO 27001 também deve ser aplicada. Ou seja, a organização deve contar com essa certificação, ou estar em processo de adequação.

Logo, é necessário identificar qual a maturidade de proteção e privacidade do negócio, e o que ele ainda precisa alcançar. Fazer uma comparação das medidas atuais com o que as normas ISO e a LGPD exigem, ajuda a entender o que ainda precisa ser feito.

Ao seguir a estrutura determinada pelas normas, as empresas cumprirão as exigências necessárias para garantir a proteção de dados.

A maioria dos requisitos se resumem a garantir e proteger a privacidade dos dados pessoais e sensíveis dos usuários, sejam eles clientes, parceiros ou colaboradores.

Conteúdo da capacitação

Confira os principais requisitos da norma 27001, de acordo com o site da Certifiquei:

Proteja as informações da sua empresa

É importantíssimo garantir a segurança da informação e proteção de dados tanto para pessoas físicas quanto jurídicas, já que ambas têm a possibilidade de serem vítimas de golpes e fraudes.

Além disso, atender aos requisitos das normas ISO 27001 e 27701 ajuda a atrair mais parceiros e clientes para as empresas.

Para que você possa estar preparado para as exigências da certificação, conheça nosso Curso de Interpretação dos Requisitos ISO 27001, com aulas na modalidade EAD ao vivo. Aproveite a oportunidade!

Este conteúdo foi útil para você? Aprenda mais sobre o assunto: a Fundação Vanzolini oferece cursos com especialistas na área, para você ampliar o seu repertório e transformar a sua carreira.

Conheça os cursos de Segurança de Dados da Fundação Vanzolini.

Auditoria remota – como fazer e responder a auditorias remotas

Gestão de Riscos: Metodologia e boas práticas – ISO 31000

Interpretação dos Requisitos ISO 37001:2016

LGPD na prática: Como implantar a Lei Geral de Proteção de Dados na sua empresa

LGPD para áreas Administrativas e Financeiras

LGPD para áreas com Relacionamento com Clientes ou Fornecedores

LGPD para área Compliance

LGPD para área de Recursos Humanos

LGPD para área de Tecnologia da Informação

LGPD para área Jurídica

LGPD para DPO ou Encarregado de Dados

Segurança da Informação e Privacidade de Dados Pessoais, conforme a norma internacional ISO 27701:2019

IQNET: ISO 27001 – Auditor Líder

Interpretação dos Requisitos ISO 27001:2022

Sistema de Gestão de Ativos – Requisitos ISO 55001

Sistema de Gestão de Compliance – Como um sistema de gestão pode apoiar as organizações na cultura positiva do Compliance ISO 37301

ENTRE EM CONTATO

Com a nova Lei Geral de Proteção de Dados Pessoais (LGPD), todas as empresas precisam cumprir requisitos legais para proteger dados pessoais. A certificação ISO/IEC 27701 apoia a sua organização nesta importante missão, ao fornecer, com base na ISO 27001, os requisitos para um sistema de gestão de privacidade da informação que atenda às necessidades globais e particulares da sua empresa.

O Brasil é o país que  mais sofre ataques cibernéticos na América Latina, de acordo com dados da Netscout. Além disso, com a nova LGPD, é indispensável que empresas se adequem às regras e protejam dados de parceiros, colaboradores ou clientes, sem serem penalizadas em custos e reputação. A ISO/IEC 27701 é uma certificação que atende justamente esta necessidade, estabelecendo rigorosos padrões de qualidade na operação e no controle da privacidade de dados pessoais.

Certificação ISO/IEC 27001 com reconhecimento internacional

A Fundação Carlos Alberto Vanzolini é membro da The International Certification Network (IQNet), rede internacional de entidades certificadoras, o que permite que a certificação para a sua empresa tenha a validação de uma das principais referências no assunto. Especialmente considerando que 30% do número total de certificados de sistemas de gestão emitidos no mundo foram gerados por membros associados à IQNet.

A ISO/IEC 27701 tem como objetivo promover um sistema de gestão de segurança e privacidade de informações que evolua constantemente, por isso, aborda o ciclo de melhoria contínua.

Conquistar a certificação ISO/IEC 27701 é colocar a sua empresa com os dois pés na era digital!

Aumenta os níveis de confiança de clientes, parceiros e colaboradores
Promove a conscientização das equipes sobre a segurança da informação e dados pessoais
Mitiga riscos e prejuízos de possíveis ataques cibernéticos
Alavanca novos negócios por melhorar a credibilidade da empresa

Por que escolher a Fundação Vanzolini?

Pioneira em certificação no Brasil e referência no exterior
Criada e gerida por professores do departamento de Engenharia de Produção da POLI-USP
Comprometida com o desenvolvimento sustentável do país
Mais de 400 auditores e especialistas no Brasil, América do Sul, Europa e Ásia
Auditoria de riscos frequente para avaliação de imparcialidade dos avaliadores
Portfólio com mais de 70 normas de certificação nacional e internacional.

Aprenda a repensar a privacidade de dados nas atividades cotidianas das empresas, com base em casos concretos. Profissionais precisam ter conhecimento da Lei Geral de Proteção de Dados – LGPD para maior segurança no mercado e nos negócios. O curso é estruturado para as especificidades da área de Compliance, com foco no mercado e nos problemas enfrentados no dia a dia.

Veja tudo o que você vai aprender:

A repensar a privacidade de dados nas atividades cotidianas das empresas, com base em casos concretos. Profissionais precisam ter conhecimento da Lei Geral de Proteção de Dados – LGPD para maior segurança no mercado e nos negócios. O curso é estruturado para as especificidades das áreas de Relacionamento com Clientes ou Fornecedores, com foco nos problemas enfrentados no dia a dia.

Veja tudo o que você vai aprender:

 

Aprenda a repensar a privacidade de dados nas atividades cotidianas das empresas, com base em casos concretos. Profissionais precisam ter conhecimento da Lei Geral de Proteção de Dados – LGPD para maior segurança no mercado e nos negócios. O curso é estruturado para as especificidades das áreas Administrativa e Financeira, com foco nos problemas enfrentados no dia a dia.

Veja tudo o que você vai aprender:

Produtos Relacionados