Conformidade de dados é o ato de manipular e gerenciar dados pessoais e sensíveis de maneira que adere a requisitos regulatórios, padrões da indústria e políticas internas envolvendo segurança e privacidade de dados.
Os padrões de conformidade de dados podem variar de acordo com o setor, região e país, mas frequentemente envolvem metas semelhantes. Essas metas podem incluir:
- Garantir a precisão dos dados
- Fornecer aos indivíduos transparência e conhecimento de seus direitos de dados
- Proteção de informações confidenciais, como dados pessoais e informações de cartão de crédito, contra acesso não autorizado ou violações de dados
- Rastreamento do armazenamento de dados, incluindo o tipo de dados que uma organização armazena, a quantidade de dados armazenados e como eles estão sendo gerenciados durante todo o seu ciclo de vida
Algumas das regulamentações de conformidade de dados mais comuns são o Regulamento Geral sobre a Proteção de Dados (RGPD), a Lei de Portabilidade e Responsabilidade de Planos de Saúde (HIPAA) e a Lei de Privacidade do Consumidor da Califórnia (CCPA).
A não conformidade com essas regulamentações pode aumentar os riscos de cibersegurança e custar às organizações multas significativas, penalidades legais e danos à reputação. Por esse motivo, a conformidade de dados geralmente é considerada um componente crítico da estratégia geral de governança de dados e gerenciamento de riscos de uma organização.
Conformidade de dados versus conformidade de segurança de dados
Às vezes, a conformidade de dados é erroneamente chamada de conformidade de segurança de dados, um subconjunto intimamente relacionado, mas tecnicamente menor, da conformidade de dados.
Enquanto a conformidade de dados abrange o conjunto mais amplo de regras e regulamentos que as organizações devem seguir ao lidar com dados, a conformidade de segurança de dados concentra-se especificamente nos aspectos de segurança do gerenciamento de dados, incluindo a proteção de dados contra acesso não autorizado, violações e outras ameaças à segurança por meio da implementação de soluções de segurança de dados, como criptografia, controles de acesso, firewalls, auditorias de segurança e muito mais.
Em outras palavras, a conformidade de dados inclui todos os aspectos da conformidade de segurança de dados, enquanto a conformidade de segurança de dados não inclui todos os aspectos da conformidade de dados.
Obtenha insights para se preparar e responder a ataques cibernéticos com maior velocidade e eficácia com o IBM Security X-Force Threat Intelligence Index.
Cadastre-se para obter o relatório do custo das violações de dados
Explore a conformidade de dados com o IBM Security Guardium Insights
Para entender a importância da conformidade de dados, considere nossa era de big data. Toda vez que alguém toca em uma tela, navega em um site ou caminha pela rua com o smartphone na mão, deixa um rastro crescente de dados pessoais. Ao mesmo tempo, as organizações estão migrando para serviços em nuvem e aplicativos digitais como parte de sua transformação digital e acumulando conjuntos de dados cada vez maiores. Não é de surpreender que todos esses dados possam ser incrivelmente valiosos para as organizações, ajudando-as a transformar dados em insights para tomar melhores decisões de negócios.
No entanto, mais dados também implicam mais vulnerabilidades e uma área de superfície maior para ataques cibernéticos. De acordo com um relatório do custo das violações de dados da IBM, o custo médio global de uma violação de dados em 2023 foi de US$ 4,45 milhões, um aumento de 15% ao longo de três anos.
A conformidade de dados ajuda a mitigar essas ameaças e a manter os dados dos clientes seguros. Ela estabelece um conjunto de controles - ou padrões de conformidade de dados - que as organizações e os indivíduos devem seguir ao lidar com dados. O objetivo desses requisitos de conformidade é criar salvaguardas que protejam a privacidade dos dados e evitem o uso indevido dos dados. A conformidade de dados também pode ajudar as organizações e os indivíduos a desenvolver políticas e procedimentos para lidar com os dados de forma mais responsável.
Devido a esses muitos benefícios, as organizações geralmente investem em conformidade de dados de forma voluntária e proativa, não apenas por necessidade. As organizações reconhecem que a conformidade de dados pode ajudá-los a fomentar a confiança do cliente e construir sua reputação como um administrador transparente e responsável dos dados pessoais.
Além disso, a conformidade de dados geralmente ajuda as empresas a aumentar sua segurança e aumentar sua eficiência e lucratividade. Ao terem padrões fortes de conformidade de dados em vigor, as empresas podem proteger de forma mais eficaz as vulnerabilidades que as colocam em maior risco de violações de dados. Além disso, ter um programa robusto de conformidade de dados não só mantém os dados seguros, mas também mantém sua precisão e reduz erros dispendiosos. Com o gerenciamento de dados eficaz, as organizações não apenas reduzem o tempo e os recursos gastos na descoberta e correção de dados, mas também se tornam mais eficientes e ágeis na mineração de seus próprios conjuntos de dados para obter insights.
Muitas organizações também descobrem que ter um programa robusto de conformidade de dados em vigor facilita o acompanhamento dos padrões de conformidade de proteção de dados, que têm sido atualizados com mais frequência do que no passado. Alguns desses padrões são SOC 2, CSA STAR, ISO 27001, National Institute of Standards and Technology (NIST) 800-53 etc.
À medida que governos e outras entidades continuam se concentrando na segurança dos dados, houve um número crescente de regulamentações de privacidade e padrões de conformidade de dados que as empresas devem atender para fazer negócios com seus clientes-alvo.
Alguns dos padrões e regulamentações mais comuns de conformidade de dados incluem:
A Lei de Portabilidade e Responsabilidade de Planos de Saúde, ou HIPAA, é uma peça fundamental da legislação aprovada nos Estados Unidos em 1996. Ela estabelece as diretrizes de como entidades de saúde e empresas lidam com as informações pessoais de saúde dos pacientes (PHI) para garantir sua confidencialidade e segurança.
Todas as entidades que se enquadram na categoria "entidades cobertas", conforme definido pela HIPAA, devem manter os padrões de conformidade e segurança de dados da HIPAA. Essas entidades abrangem não apenas prestadores de serviços de saúde e planos de seguro, mas também associados de negócios com acesso a PHI, incluindo prestadores de serviços de transmissão de dados, prestadores de serviços de transcrição médica, empresas de software, seguradoras e muito mais.
O Regulamento Geral sobre a Proteção de Dados (RGPD) é uma estrutura abrangente de privacidade de dados promulgada pela União Europeia para proteger as informações pessoais de seus cidadãos.
O RGPD se concentra principalmente em informações de identificação pessoal (PII) e impõe requisitos rigorosos de conformidade aos provedores de dados. Ele exige que as organizações dentro e fora da Europa sejam transparentes sobre as suas práticas de coleta de dados, dando aos indivíduos maior controle sobre suas PII.
Um dos aspectos mais marcantes do RGPD é a sua postura intransigente em relação ao não cumprimento. Ele impõe multas substanciais para aqueles que não aderirem aos regulamentos de privacidade e padrões de conformidade de dados. Essas multas podem chegar a até 4% do faturamento global anual de uma organização ou 20 milhões de euros, o que for maior.
Por esse motivo, o GDPR fez com que as empresas em todo o mundo reavaliassem suas práticas de coleta e manuseio de dados, enfatizando a importância da segurança e conformidade de dados robustas.
A Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma lei de privacidade de dados de referência nos Estados Unidos, semelhante ao GDPR.
Assim como o GDPR, ele também coloca o foco nas empresas para ser transparente sobre suas práticas de dados e capacita os indivíduos a ter mais controle sobre suas informações pessoais. Sob a CCPA, os residentes da Califórnia podem solicitar detalhes sobre os dados coletados por empresas, recusar vendas de dados e solicitar exclusão de dados.
No entanto, diferentemente do RGPD, a CCPA e muitas outras leis de proteção de dados dos EUA utilizam um modelo baseado na recusa do consentimento, o que significa que as empresas podem usar as informações do consumidor na Califórnia até que sejam especificamente informadas em contrário. A CCPA também se aplica apenas a empresas que excedem um limite de receita anual específico ou lidam com grandes volumes de dados pessoais, o que a torna relevante para muitas empresas da Califórnia, embora não todas.
Desde que o CCPA entrou em vigor, as organizações reavaliaram ativamente seus processos de tratamento de dados e adotaram estratégias abrangentes de proteção de dados para atender aos requisitos de conformidade.
A Lei Sarbanes-Oxley (SOX) é uma parte da legislação promulgada em resposta a escândalos corporativos, como Enron e WorldCom. Seu principal objetivo é aumentar a transparência corporativa e a prestação de contas. De acordo com a SOX, todas as empresas de capital aberto nos Estados Unidos devem atender a rigorosos padrões de governança e relatórios financeiros.
Algumas das disposições mais significativas da SOX incluem exigências para que os CEOs e CFOs certifiquem pessoalmente a precisão das demonstrações financeiras e a criação de comitês de auditoria independentes. A SOX também introduz medidas rigorosas de controle interno para garantir a confiabilidade dos dados financeiros e, ao mesmo tempo, aumenta significativamente as penalidades por má conduta corporativa e fraude.
Embora a SOX lide principalmente com relatórios financeiros, ela ainda é uma consideração de conformidade vital, e as organizações de TI devem estar cientes disso para garantir relatórios financeiros precisos e oportunos.
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS) é um conjunto de diretrizes regulatórias para proteger dados de cartões de crédito. Ao contrário das regulamentações impostas pelo governo, o PCI-DSS consiste em compromissos contratuais aplicados por um órgão regulatório independente, conhecido como Payment Card Industry Security Standards Council.
O PCI-DSS se aplica a qualquer empresa que lida com dados de titulares de cartão, seja por meio de aceitação, armazenamento ou transmissão. Mesmo que um serviço de terceiros esteja envolvido em transações com cartão de crédito, a empresa permanecerá responsável pela conformidade com o PCI-DSS e deverá tomar as medidas necessárias para gerenciar e armazenar os dados dos titulares de cartão de forma segura.
As etapas a seguir podem ajudar as organizações a estabelecer um programa robusto de conformidade de dados que atenda aos requisitos de conformidade e proteja informações confidenciais.
Muitas delas são ações que as organizações podem tomar imediatamente, enquanto outras exigem planejamento de longo prazo. A esperança é que, com a quantidade adequada de planejamento e foco, as organizações não só possam atender aos padrões de conformidade de dados e garantir a privacidade dos dados, mas também fortalecer a segurança geral das informações e proteger melhor a si mesmas e aos seus clientes contra violações de dados, uso indevido de dados e outras formas de acesso não autorizado.
- Conformidade de dados: comece entendendo as regulamentações de conformidade de dados relevantes para sua organização, que geralmente dependem de seu setor e localização geográfica.
- Inventário de dados: desenvolva um inventário que descreve os tipos de dados que você coleta, inclusive onde são armazenados e quem tem acesso a eles.
Controles de acesso: implemente controles de acesso robustos para restringir o acesso aos dados ao pessoal autorizado, o que pode envolver a autenticação do usuário, o acesso baseado em funções e a criptografia de dados confidenciais. Um programa moderno de gerenciamento de acesso e identidade pode ajudar nisso.
Armazenamento de dados: tome medidas para garantir que seus dados sejam armazenados com segurança, física e digitalmente, o que pode envolver a implementação de soluções de armazenamento criptografado, firewalls e registros de acesso.
Treinamento em conformidade: instrua a equipe sobre conformidade de dados para garantir que eles entendam as normas e a importância da privacidade dos dados. Sessões regulares de treinamento também podem ajudar todos a se manterem informados sobre as melhores práticas.
Políticas de tratamento de dados: estabeleça políticas e procedimentos de segurança transparentes em toda a sua organização sobre como lidar com dados de forma responsável e garantir que todos conheçam as práticas corretas de gerenciamento de dados.
Auditorias regulares: realize auditorias periódicas para verificar a eficácia e a atualidade das suas medidas de conformidade de dados e identificar possíveis vulnerabilidades e áreas que precisam de aprimoramento.
Plano de resposta a violações de dados: desenvolva um plano de resposta a violações de dados bem definido para se preparar para uma violação. Saber como responder de forma eficaz e imediata é crucial para minimizar danos e atender aos requisitos de estruturas de conformidade.
Proteja os dados em vários ambientes, cumpra os regulamentos de privacidade e simplifique a complexidade operacional.
Automatize e simplifique sua jornada rumo à segurança e conformidade de dados com o IBM® Security Guardium Insights. Descubra dados obscuros, analise fluxos de dados e encontre vulnerabilidades, protegendo seus dados, onde quer que estejam.
Operacionalize a conformidade com a segurança cibernética e os riscos regulatórios em toda a empresa.
Viabilize a detecção precoce de ameaças e a recuperação rápida dos negócios para ajudar as organizações a atender aos requisitos de conformidade regulatória.