Den Brasilias sentralbank informerte i går (19) om nok et sikkerhetsbrudd med personopplysninger knyttet til Pix-nøkler. Denne gang var de utstilte opplysningene under forvaltning og ansvar til SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA, Shopee. Som i de andre 14 ganger hvor lignende saker er blitt rapportert av myndighetene, kom nyheten med en forsikring om at dataene ikke forårsaket skade på forbrukerne, siden de ikke er knyttet til prosesser som påvirker pengestrømmen. Til tross for dette advarer eksperter om at denne typen tilnærming kan føre til en reduksjon i forståelsen av alvoret i saken og tillate at folk faller for fremtidige svindel med bruk av disse dataene.
Medlem av DeServ Academy, Bruna Fabiane da Silva, valgt til en av de 50 beste kvinnene innen cybersikkerhet i Amerika av WOMCY (LATAM Women in Cybersecurity), sier at selv om de utleverte opplysningene bare er av registreringsnatur, som navn, personnummer, tilknytningsinstitusjon, bankkontonummer, kontotype og bank, må de som har fått disse dataene lekket være oppmerksomme fordi de kan bli ofre for svindel som phishing og andre som bruker sosial manipulering.Det er viktig å vurdere at dette er et betydelig brudd på konfidensialiteten til informasjonen som er datasikkerhet, sier han.
Ifølge henne skjer disse tilfellene vanligvis på grunn av mangler i praksisene for personvern gjennom design og standardinnstillinger, som også er krav i personvernlovgivningen. Når dette hendrer, har vi en databrudd som berører rettighetene som er garantert av LGPD.
"Dette i september, når LGPD fyller 4 år, bør denne type situasjon tjene som en lærepenge i den forstand at alle selskaper må ha strategier for å redusere risikoen for datalekkasjer. LGPD går utover aspekter av informasjonssikkerhet og juridiske forhold. Når man søker en prosedyre innen organisasjoner for personopplysninger, er det viktig å vurdere informasjonssikkerhet som en del av planleggingen av ethvert prosjekt eller tjeneste. Fordi beskyttelsene må følge hele livssyklusen til denne informasjonen, helt til datadestruksjon, som også må være sikker," sier han.
Ifølge henne er det avgjørende å følge hele utviklingsprosessen for applikasjoner og systemer, fra programmering og testing til produksjonssetting, for å unngå enkeltfeil i systemene. Denne oppfølgingen er nødvendig nettopp for å forhindre mulige problemer og feil før de i det hele tatt oppstår.
Eksperten anbefaler alle selskaper som håndterer personopplysninger å utvikle kontinuerlige forbedringsprosesser som dekker både juridiske aspekter og informasjonssikkerhet. I alle trinn av databehandlingen er det viktig å søke umiddelbar samsvar med GDPR.Selvfølgelig, her er den oversatte teksten: Selv lovgivningen kræver, at der udarbejdes en rapport om databeskyttelsespåvirkning, og virksomheden skal struktureres, så disse processer er godt etablerede for at kunne håndtere mulige risici," siger han.
