💾 19 Recomendações para Armazenamento de Dados Pessoais em Dispositivos Portáteis

O custo decrescente de armazenamento e processamento eletrônico contribuiu muito para o grande aumento na quantidade de dados pessoais armazenados nos últimos anos, muitas vezes em dispositivos de armazenamento portáteis (móveis), o que dá origem a desafios de segurança específicos para as organizações responsáveis por esses dados armazenados.

Para garantir que há medidas técnicas e organizacionais adequadas em vigor, qualquer organização que utilize dispositivos de armazenamento portáteis para armazenar ou transmitir dados pessoais deve considerar os riscos específicos associados ao uso de tais dispositivos, como perda ou acesso não autorizado, e garantir que eles tenham políticas internas e medidas técnicas que mitiguem esses riscos.

Recomendações para o uso de dispositivos de armazenamento portáteis (móveis)

As recomendações abaixo devem ajudar os controladores com suas próprias políticas internas sobre o uso de dispositivos de armazenamento portáteis, incluindo chaves USB (pendrives), discos rígidos externos (HD Esternos), cartões micro-SD ou mesmo a memória interna em dispositivos portáteis, como smartphones, tablets e laptops.

Essas recomendações são de natureza geral e a política apropriada a ser implementada pode variar dependendo da natureza e das circunstâncias do controlador de dados e do armazenamento em questão.

1. Os funcionários de uma organização não devem utilizar seus próprios dispositivos de armazenamento portáteis pessoais para armazenar dados pessoais relacionados ao seu trabalho. Esta situação deve fazer parte da política interna da organização e ser comunicado a todo os colaboradores.
2. Somente dispositivos portáteis de armazenamento criptografados em toda a unidade e protegidos por senha, emitidos pela organização para pessoal autorizado, devem ser utilizados. Nenhum dispositivo não autorizado deve ser usado em qualquer um dos sistemas da organização relacionados ao trabalho do colaborador. Esta situação deve fazer parte da política interna da organização e ser comunicado a todo os colaboradores.
3. Dispositivos de armazenamento portáteis fornecidos pela organização não devem ser usados em máquinas pessoais ou máquinas que não pertencem à organização.
4. Os dispositivos de armazenamento portáteis da organização devem ser devolvidos quando o colaborador deixar de trabalhar na organização.
5. Para evitar o vazamento de dados, as organizações devem operar com permissões restritas, para restringir a equipe de copiar dados para dispositivos de memória portáteis.
6. O armazenamento ou cópia de dados pessoais em um dispositivo de armazenamento portátil deve ser feito apenas por uma pessoa autorizada no desempenho de suas funções oficiais. Isso pode ser obtido utilizando uma solução de prevenção de perda de dados (Data Loss Prevention – DLP).
7. Dispositivos de armazenamento portáteis devem utilizar proteção por senha, incorporando senhas fortes (Strong Password)- que devem incluir um mínimo de doze caracteres e conter um ou mais dos seguintes:
   1. • Letras (maiúsculas / minúsculas)
      • Símbolos (&, *, @, €, $, etc.)
      • Números (0-9)
      • Pontuação (?, “,!, Etc.)
8. Determine a verificação da chave USB (Pen Drive) para todos os computadores sempre que uma chave USB for conectada. Isso pode ajudar a garantir que nenhum malware ou programa malicioso esteja presente na chave USB.
9. Todos os dados transferidos para um dispositivo de armazenamento portátil devem ter uma cópia de segurança (backup).
10. Garanta que os dados pessoais armazenados em um armazenamento portátil sejam armazenados apenas por um curto período de tempo e excluídos quando não forem mais necessários.
11. Sempre que possível, os dados transferidos para um dispositivo de armazenamento portátil devem ter um tempo expiração.
12. Sempre que possível, use dispositivos de armazenamento portáteis que suportem, por meio de uma ferramenta de administração remota, um recurso de desativação ou limpeza remota.
13. Se um dispositivo de armazenamento portátil for perdido, as organizações devem ser capazes de acessar e analisar o backup seguro mais recente para revisar o que foi perdido e avaliar o risco potencial.
14. Quando não estiverem em uso, os dispositivos de armazenamento portáteis não devem ser deixados sem supervisão e devem ser trancados com segurança.
15. Quando em trânsito, os dispositivos de armazenamento portáteis não devem ser deixados sem supervisão e devem permanecer no controle de uma pessoa autorizada.
16. Convém que um registro de ativos seja mantido de todos os dispositivos de armazenamento portáteis da organização e do pessoal autorizado para o qual foram atribuídos.
17. Audite regularmente os dispositivos USB para garantir que apenas documentos em conformidade com o uso aceitável sejam armazenados.
18. As organizações devem conhecer seus ativos e ter uma contagem precisa dos dispositivos de armazenamento portáteis em uso em sua equipe. Eles devem ser listados por proprietário e uso.
19. Compre e utilize apenas dispositivos de armazenamento portáteis de fabricantes e revendedores confiáveis e reconhecidos.

Os colaboradores que utilizam dispositivos de armazenamento portáteis deve estar ciente de que tem o dever de zelar para que todas as informações pessoais sejam mantidas em segurança o tempo todo. Eles também devem estar cientes de que a perda de dados pessoais pode ser considerada um risco sério, com possíveis implicações para a organização de acordo com suas obrigações para com a LGPD, especialmente em relação a violações de dados.

Conforme observado acima, cada controlador e operador agindo em seu nome tem uma obrigação contínua de cumprir a lei de proteção de dados, especificamente sob a LGPD, que inclui o dever de implementar medidas técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais e manter um registo das atividades de tratamento que contenha a documentação das medidas aplicadas.

Requisitos para Notificação de Violação de Dados (Data Breach)

A perda de dispositivos de armazenamento portáteis é um tema comum em muitas notificações de violação de dados, onde dispositivos que contêm dados pessoais, como chaves USB ou laptops, são roubados ou perdidos.

As organizações são lembradas de sua obrigação de acordo com A LGPD de relatar violações de dados pessoais à Autoridade Nacional de Proteção de Dados (ANPD), onde a violação representa um risco para os indivíduos afetados.

As organizações devem relatar violações de dados pessoais à ANPD em prazo razoável (ou de acordo com regulamentação da ANPD) após tomarem conhecimento da violação. Quando uma violação pode resultar em um alto risco para os indivíduos afetados, as organizações também devem informar esses indivíduos sem atrasos indevidos.

---

Este texto foi adaptado de: https://www.dataprotection.ie/sites/default/files/uploads/2019-11/General%20Portable%20Storage%20Device%20Recommendations_Oct19.pdf