巴西中央银行昨日(19日)报告了另一起涉及与Pix密钥关联的个人数据安全事件。此次泄露的信息由SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA(Shopee)保管和负责。与该机构此前14次报告的其他类似事件一样,此次新闻发布时也试图安抚消费者,称相关数据不会造成损害,因为它与资金流动无关。尽管如此,专家警告说,这种做法可能会降低人们对事件严重性的认识,并使人们更容易成为未来利用这些数据进行诈骗的受害者。
DeServ Academy合伙人布鲁娜·法比安娜·达席尔瓦(Bruna Fabiane da Silva)被拉丁美洲网络安全女性协会(WOMCY)评为美洲网络安全领域50位最佳女性之一。她指出,即使泄露的信息仅限于注册信息,例如姓名、巴西税号(CPF)、所属机构、分支机构、账号和类型,数据泄露者也需要保持警惕,因为他们可能成为网络钓鱼等诈骗手段以及社交工程攻击的受害者。“必须认识到,这严重违反了信息保密原则,也就是数据安全,”她评论道。
她表示,这些案例通常是由于隐私设计和默认隐私保护措施存在缺陷造成的,而这些措施实际上是数据隐私立法的要求。一旦发生此类事件,就构成了数据泄露,影响了巴西《通用数据保护法》(LGPD)所保障的权利。
“今年九月,正值巴西《通用数据保护法》(LGPD)颁布四周年之际,此类事件应成为所有公司吸取的教训,因为所有公司都必须制定策略来降低数据泄露的风险。LGPD 的适用范围远不止信息安全和法律层面。在组织内部制定个人数据处理流程时,必须将信息安全视为任何项目或服务规划的一部分。因为在信息的整个生命周期中,必须采取保护措施,直至数据安全销毁,”他说道。
她认为,为了避免出现孤立的系统故障,必须监控整个应用程序和系统开发流程,从编程和测试阶段到生产阶段。这种监控的目的正是为了防患于未然,在潜在问题和故障发生之前就加以预防。
这位专家建议所有处理个人数据的公司都应建立持续改进流程,涵盖法律和信息安全两方面。在数据处理的各个阶段,必须立即遵守巴西《通用数据保护法》(LGPD)。该法本身要求提交数据保护影响评估报告,公司需要构建相应的架构,以妥善管理这些流程,从而应对潜在风险。”她指出。
