De Centrale Bank van Brazilië heeft gisteren (19) een nieuw beveiligingsincident gemeld met persoonsgegevens gekoppeld aan Pix-sleutels. Deze keer waren de gepresenteerde informatie onder het beheer en de verantwoordelijkheid van SHPP Brasil Payment Institution and Payment Services Ltd., Shopee. Zoals bij de andere 14 keren dat vergelijkbare gevallen door het orgaan zijn gemeld, werd het bericht vergezeld van een poging tot geruststelling omdat de betreffende gegevens geen schade toebrachten aan de consumenten, aangezien ze niet gerelateerd zijn aan processen die de geldstroom beïnvloeden. Desalniettemin waarschuwen experts dat deze aanpak kan leiden tot een vermindering van het begrip van de ernst van het onderwerp en dat mensen in toekomstige oplichterijen kunnen vallen met het gebruik van deze gegevens.
De partner van DeServ Academy, Bruna Fabiane da Silva, gekozen als een van de 50 Beste Vrouwen in Cybersecurity in de Amerika's door WOMCY (LATAM Women in Cybersecurity), zegt dat zelfs als de blootgestelde informatie alleen van administratieve aard is, zoals naam, CPF, relatie-instelling, bankkantoor, nummer en type rekening, de mensen wiens gegevens zijn gelekt, alert moeten zijn omdat ze het slachtoffer kunnen worden van oplichterijen zoals phishing en andere die gebruik maken van social engineering.Het is belangrijk om te overwegen dat dit een belangrijke schending is van de vertrouwelijkheid van de informatie, namelijk de gegevensbeveiliging, zegt hij.
Volgens haar gebeuren deze gevallen meestal door tekortkomingen in de praktijken van privacy by design en privacy by default, die bovendien vereisten zijn van de privacywetgeving. Wanneer dit incident plaatsvindt, hebben we te maken met een datalek dat de rechten waarborgd door de LGPD schendt.
"Precies in september, wanneer de LGPD haar vierde verjaardag viert, moet dit soort situatie dienen als een leerervaring in de zin dat alle bedrijven strategieën moeten hebben om het risico op datalekken te beperken. De LGPD gaat verder dan alleen informatiebeveiliging en juridische aspecten. Wanneer men binnen organisaties een procedure voor persoonsgegevens zoekt, is het belangrijk om informatiebeveiliging te beschouwen als een vorm van planning voor elk project of dienst. Want gedurende de hele levenscyclus van deze informatie moeten de beveiligingen meebewegen tot aan de vernietiging van gegevens, die ook veilig moet zijn," zegt hij.
Volgens haar is het essentieel om de hele ontwikkelketen van de applicaties en systemen te observeren, vanaf de programmeer- en testfase tot het moment dat ze in productie gaan, om het optreden van puntsgewijze storingen te voorkomen. Deze opvolging is juist vereist om mogelijke problemen en fouten te voorkomen voordat ze zelfs maar gebeuren.
De specialist adviseert alle bedrijven die omgaan met persoonsgegevens om voortdurende verbeteringsprocessen te ontwikkelen die zowel het juridische aspect als het informatiebeveiligingsaspect omvatten. Tijdens alle fasen van gegevensverwerking is het essentieel om onmiddellijk afstemming te zoeken met de LGPD.De wetgeving zelf vereist een impactrapport over gegevensbescherming en het bedrijf moet zich structureren zodat deze processen goed zijn opgezet om mogelijke risico's te kunnen beheren," zegt hij.