Die Zentralbank Brasiliens berichtete gestern (19) über einen weiteren Sicherheitsvorfall im Zusammenhang mit personenbezogenen Daten, die mit Pix-Schlüsseln verknüpft sind. Diesmal lagen die bereitgestellten Informationen in der Obhut und Verantwortung von SHPP Brasil Zahlungsinstitut und Zahlungsdienstleistungen LTDA, Shopee. Wie bei den anderen 14 Mal, bei denen ähnliche Fälle von der Behörde gemeldet wurden, wurde die Nachricht von dem Versuch begleitet, die Ruhe zu bewahren, da die betreffenden Daten keinen Schaden für die Verbraucher darstellen, da sie nicht mit Prozessen in Zusammenhang stehen, die die Geldbewegung betreffen. Dennoch warnen Experten, dass diese Art des Ansatzes zu einem geringeren Verständnis für die Schwere des Themas führen und dazu beitragen kann, dass Menschen bei zukünftigen Betrugsversuchen mit diesen Daten getäuscht werden.
Die Partnerin der DeServ Academy, Bruna Fabiane da Silva, die von WOMCY (LATAM Women in Cybersecurity) als eine der 50 besten Frauen im Bereich Cybersicherheit in den Amerikas gewählt wurde, erklärt, dass selbst wenn die offengelegten Informationen nur von registrierungsartiger Natur sind, wie Name, CPF, Beziehungseinrichtung, Filiale, Kontonummer und -art, die Personen, deren Daten geleakt wurden, vorsichtig sein müssen, da sie Opfer von Betrugsversuchen wie Phishing und anderen, die Social Engineering nutzen, werden können.Es ist wichtig zu bedenken, dass dies eine erhebliche Verletzung der Vertraulichkeit der Informationen darstellt, nämlich der Datensicherheit, kommentiert er.
Laut ihr treten diese Fälle normalerweise aufgrund von Mängeln in den Praktiken von Privacy by Design und Privacy by Default auf, die sogar Anforderungen der Datenschutzgesetze sind. Wenn dieser Vorfall auftritt, liegt eine Datenschutzverletzung vor, die die durch die LGPD garantierten Rechte betrifft.
„Gerade im September, wenn das LGPD vier Jahre alt wird, muss uns diese Art von Situation eine Lehre sein, denn alle Unternehmen müssen Strategien entwickeln, um das Risiko von Datenlecks zu minimieren. Das LGPD geht über Informationssicherheit und rechtliche Aspekte hinaus. Bei der Suche nach einem Verfahren innerhalb von Organisationen, die personenbezogene Daten verarbeiten, ist es wichtig, die Informationssicherheit bei der Planung von Projekten oder Diensten zu berücksichtigen. Denn während des gesamten Lebenszyklus dieser Informationen müssen Schutzmaßnahmen vorhanden sein, einschließlich der Datenvernichtung, die ebenfalls sicher erfolgen muss“, sagt er.
Laut ihr ist es entscheidend, die gesamte Entwicklungsstraße der Anwendungen und Systeme zu überwachen, von der Programmierung und den Tests bis hin zur Produktion, um das Auftreten von Einzelfehlern zu vermeiden. Diese Überwachung ist genau dazu da, mögliche Probleme und Fehler zu verhindern, bevor sie überhaupt auftreten.
Der Spezialist empfiehlt allen Unternehmen, die mit personenbezogenen Daten umgehen, kontinuierliche Verbesserungsprozesse zu entwickeln, die sowohl den rechtlichen Aspekt als auch die Informationssicherheit umfassen. Während aller Datenverarbeitungsphasen ist es entscheidend, eine sofortige Übereinstimmung mit dem DSGVO anzustreben.Die Gesetzgebung selbst verlangt, dass ein Datenschutz-Folgenabschätzungsbericht erstellt wird, und das Unternehmen muss sich so strukturieren, dass diese Prozesse gut eingerichtet sind, um mögliche Risiken zu verwalten“, erklärt er.
