La Banque centrale du Brésil a annoncé hier (19) un nouvel incident de sécurité concernant des données personnelles liées aux clés Pix. Cette fois, les informations divulguées étaient sous la garde et la responsabilité de SHPP Brasil Institution de Paiement et de Services de Paiement LTDA, Shopee. Comme lors des 14 autres fois où des cas similaires ont été signalés par l'organisme, la nouvelle a été accompagnée d'une tentative de rassurer en précisant que les données en question n'ont pas causé de préjudices aux consommateurs puisqu'elles ne sont pas liées à des processus affectant la circulation de l'argent. Cependant, des experts avertissent que ce type d'approche peut conduire à une diminution de la compréhension de la gravité du sujet et permettre aux personnes de tomber dans de futures arnaques en utilisant ces données.
La partenaire de DeServ Academy, Bruna Fabiane da Silva, élue parmi les 50 meilleures femmes en cybersécurité des Amériques par WOMCY (LATAM Women in Cybersecurity), affirme que même si les informations exposées sont uniquement de nature cadastrale, telles que le nom, le CPF, l'institution de relation, l'agence, le numéro et le type de compte, les personnes dont ces données ont été divulguées doivent rester vigilantes car elles peuvent être victimes de fraudes telles que le phishing et d'autres utilisant l'ingénierie sociale.Il est important de considérer que cela constitue une violation importante de la confidentialité de l'information, qui est la sécurité des données, commenta-t-il.
Selon elle, ces cas se produisent généralement en raison de défaillances dans les pratiques de privacy by design et privacy by default, qui sont d'ailleurs des exigences des législations sur la confidentialité des données. Lors de cet incident, il y a une violation de données qui porte atteinte aux droits garantis par la LGPD.
« En septembre, alors que la LGPD fête ses 4 ans, ce type de situation doit servir de leçon dans le sens où toutes les entreprises doivent avoir des stratégies pour atténuer le risque de fuites de données. La LGPD va au-delà de la sécurité de l’information et des aspects juridiques. Lors de la recherche d’une procédure au sein d’organisations de données personnelles, il est important de considérer la sécurité de l’information comme un moyen de planifier tout projet ou service. « Car tout au long du cycle de vie de ces informations, des protections doivent être mises en place, y compris la destruction des données, qui doit également être sécurisée », explique-t-il.
Selon elle, pour éviter les défaillances ponctuelles dans les systèmes, il est essentiel d'observer toute la chaîne de développement des applications et des systèmes, depuis la phase de programmation et de tests jusqu'à leur mise en production. Ce suivi est exigé justement pour prévenir les problèmes et défaillances possibles avant même qu'ils ne se produisent.
L'expert conseille à toutes les entreprises traitant des données personnelles de développer des processus d'amélioration continue couvrant à la fois l'aspect juridique et la sécurité de l'information. Tout au long des étapes de traitement des données, il est essentiel de rechercher une conformité immédiate avec la LGPD.La législation elle-même exige la réalisation d’un rapport d’impact sur la protection des données et l’entreprise doit s’organiser pour que ces processus soient bien en place afin de pouvoir gérer les risques potentiels », affirme-t-il.
