Assuntos da LATAM: LGPD
Presented by: Bruna Villalon, Jorge Verges
Originally aired on April 21 @ 2:30 AM - 3:00 AM EDT
Venha entender mais sobre o atual cenário das leis de segurança na America Latina, especialmente a LGPD, e como a Cloudflare ajuda seus clientes a estarem em conformidade com tais leis e a evitar multas de até 5% da sua receita.
Join us to understand more about the current environment surrounding the security laws in LATAM, specially the Brazilian LGPD, and how Cloudflare helps clients to be in accordance and avoid fees of up to 5% of their yearly revenue.
Portuguese
Interview
LATAM
Transcript (Beta)
Obrigada por entrar com a gente hoje. Meu nome é Bruna, eu trabalho aqui na parte de relação com cliente da Cloudflare e com a gente está a Laysa, que trabalha também na parte de relação com cliente, mas ela faz a LATAM inteira, enquanto eu faço só o Brasil.
Oi a todos, meu nome é Laysa Miller, eu trabalho com a Bruna no Departamento de Comercial para a América Latina e hoje a gente vai falar um pouco sobre a LGPD, que é a nossa versão para a América Latina da GDPR.
A GDPR, como a maioria das pessoas já tem familiaridade, foi uma lei criada na União Europeia como proteção de dados dos consumidores.
Então a forma como isso funcionou foi essa criação para que as empresas soubessem manusear de uma forma eficaz, de uma forma de proteção os dados de cada cliente.
Então a forma como isso funcionou foi a seguinte, as empresas têm a obrigação de informar a finalidade para a coletação dos dados dos clientes ou das pessoas que navegam pelo site deles.
No Brasil, a LGPD é muito parecida na forma de como funciona a GDPR.
Então, por exemplo, as pessoas agora também têm o direito de questionar quais tipos de informações que essas empresas carregam sobre os dados desses titulares.
No Brasil, a LGPD começou já a entrar em vigor o ano passado, mas somente agora, dia 1º de agosto, que as empresas vão sofrer as sanções com relação a multas e também a possíveis suspensões de atividades.
O que isso quer dizer é o seguinte, empresas, por exemplo, de marketing que tem times de outbound ou inbound, elas vão precisar ter o consentimento desses usuários ou desses clientes possíveis.
Então, por exemplo, quando alguém está no site, vamos dizer da Cloudflare, e essa pessoa quer fazer um download de um artigo, a gente vai ter que estar discriminando se essa pessoa aceita que a gente entre em contato posteriormente.
Então, se o usuário não clicar, não autorizar, a gente não pode entrar em contato com esse usuário, ele somente vai fazer o download desse artigo.
Outras formas também que tem, apesar das duas leis funcionarem basicamente, são muito parecidas, no Brasil a diferença é que a gente ainda não tem um período, por exemplo, de violação que as empresas têm que cumprir com relação à falta do uso correto dessa lei.
Então, por exemplo, na GDPR, eles têm 72 horas para informar o usuário sobre o uso incorreto, ou qualquer violação dessa proteção dos dados.
No Brasil, a Autoridade Nacional de Proteção de Dados ainda não estabeleceu um período que o usuário final deva ser notificado.
Outras questões de penalidades também envolvem a questão das multas, que tem uma variação entre como as empresas vão ser penalizadas.
Na Europa, as empresas estão sendo penalizadas entre 2% a 4% do faturamento total do faturamento da empresa global.
No Brasil, vai ficar até 2 % do faturamento da empresa, podendo chegar até 50 milhões de reais por infração.
Então, para prevenir essas penalidades, que podem também causar a suspensão das atividades, as empresas têm que estar em conformidade com essas novas leis.
E todos os consumidores vão poder ter direito a solicitar dessas empresas todas as informações cadastrais que eles tenham deles.
Então, essas informações podem ser número de telefone, e-mails, dados que identifiquem esse indivíduo.
E esse é, inclusive, o caso que a gente estava discutindo.
A primeira empresa que foi condenada por descumprir a LGPD foi a Cirela, que é uma empresa imobiliária, e foi exatamente esse o caso.
O cliente comprou um imóvel, ele não solicitou nenhum contato de nenhuma empresa, não permitiu que seus dados fossem compartilhados com outras empresas, mas, mesmo assim, a Cirela compartilhou com...
O artigo que eu estava falando foram bancos, companhias financeiras, arquitetos, e o cliente foi atrás, porque estava descumprido a LGPD, e a Cirela teve uma multa de 10 mil reais.
Pelo que a gente entendeu, porque essa multa aconteceu só em outubro do ano passado, a Cirela não foi obrigada a pagar, mas ela foi obrigada a entrar em compliance com a LGPD no futuro.
E um caso parecido também, Bruna, vale lembrar que, por exemplo, empresas com departamento de marketing que façam outbound e inbound, essa parte de prospecção, eles não podem agora comprar uma lista de contatos e entrar em contato diretamente com essas pessoas.
Eles precisam do consentimento de cada pessoa que está naquela lista, e provavelmente essas listas não incluem esse consentimento.
No Brasil, a gente tem que prestar atenção com a relação dos cookies também, porque, apesar dos cookies não identificarem de uma forma individual, eles podem identificar de uma forma genérica, e essas informações podem ser usadas em campanhas de marketing também.
Então as empresas têm que levar isso em consideração, porque os cookies também vão contar como dados pessoais de uma forma genérica, mas também vão entrar como uma das particularidades dessa lei no Brasil.
Falando um pouco sobre quais são as exigências da LGPD, a gente está falando, se quiser compartilhar um pouquinho sobre os 10 pontos.
Sim, então na verdade, uma das diferenças também, os princípios, na Europa a gente tem 6 princípios, no Brasil a gente tem 10 princípios que vão ser levados em consideração quando a ANBP, que é a Autoridade Nacional de Proteção de Dados, vai fazer esse julgamento.
Então, na verdade, o que acontece?
Por exemplo, empresas como a Cloudflare, elas podem ajudar parcialmente na conformidade dessa questão, porque vem também a questão, o quesito, que as empresas têm que ter um departamento, ou já medidas implementadas para que elas possam estar em conformidade.
Então, por exemplo, um departamento de auditoria, para averiguar se essas empresas estão em conformidade.
Vale lembrar que, apesar de essas empresas estarem em conformidade com a GDPR, não quer dizer que elas estão em conformidade com a LGPD.
Então, os produtos da Cloudflare podem ajudar parcialmente, mas eles não vão sanar todo esse processo 100%.
Como é que a gente pode ajudar? E falando também sobre isso, as sanções não estão, hoje, sendo efetuadas, mas a LGPD está em vigor.
A empresa tem que estar em compliance.
E como que a gente ajuda com essa conformidade? Principalmente na questão de vazamento de dados.
Não é uma coisa incomum ter esses vazamentos de dados.
Acontece que são eventos mundiais que clientes do mundo inteiro perdem autonomia sobre seus dados.
E a Cloudflare, assim como outras empresas de segurança, lutam contra essa data loss prevention, lutam contra o vazamento dos dados pessoais de clientes.
Como que é o principal objetivo da Cloudflare e a grande missão?
É com essa ideia de Zero Trust. O que é Zero Trust? Qual é a filosofia da Zero Trust?
É você dar permissão e dar acesso a quem necessita. A grande ideia por trás é que você acredita que tenham invasores dentro da rede e fora da rede.
Então você vai dar acesso somente ao necessário aos seus usuários internos e ao usuário externo você vai botar camadas de proteção.
Além disso, além de ter não só proteção interna, mas proteção externa, você vai ter a micro segmentação da sua infraestrutura.
Você vai colocar barreiras em volta de cada aplicação, de cada documento, para garantir que tenha proteção às aplicações.
Em que sentido? Verificação de identidade, regras para acesso, mesmo que os seus usuários já estejam dentro do perímetro da rede.
Você está colocando essas barreiras pela rede.
Na prática, como que isso se representa? A gente está falando sobre aceleração de performance, aceleração da aplicação, aceleração da sua rede, aceleração do seu IP e, ao mesmo tempo, colocando proteção de DDoS, colocando WAF, colocando filtro de DNS, substituição de VPN.
Tudo isso se integra no modelo da Cloudflare, o nosso modelo Cloudflare One, integra toda a sua rede data center, a sua rede de escritório, os seus usuários remotos, os seus usuários que estão usando a sua VPN, e se integram todos por trás do modelo Zero Trust.
Isso quer dizer também que a Internet pública, as aplicações SaaS, todas elas estão também sendo filtradas, seja por volta de um certificado SSL, seja por volta de um DNS que está protegendo o IP do seu cliente.
A gente tem todas essas ferramentas que facilitam a conformidade.
A principal é conversar, sim, sobre criptografia, conversar sobre ter todos esses dados criptografados para que não seja fácil eles serem invadidos.
Desde os dados internos até os servidores de origem, até o usuário final.
Você está colocando todos os protocolos mais seguros para garantir que, se vazar, não vai ser corrompido, esse arquivo não vai ser corrompido.
Mas, ao mesmo tempo, você está prevenindo o vazamento. A gente está dando os logs para os nossos clientes, os logs de acesso, para, se por acaso tiver um incidente, você sabe de onde veio, você tem o controle para administrar melhor esse vazamento.
A gente está dando os logs, está dando ferramentas que ajudam com criptografia, WAF, proteção da sua rede, proteção da rede interna com o Cloud Storage para times.
E esse é um ponto que a gente quer focar bastante, porque não é uma coisa tão comum na América Latina, a gente está implementando essa ideia de Zero Trust.
A América Latina ainda usa um exemplo que eles chamam do CASL, que é você passou do portão, você tem acesso a tudo.
O seu usuário passou do portão, ele tem acesso a toda a sua intranet.
Então, a gente está conversando, sim, sobre um plano enterprise que vem com uma série de produtos, vem com uma série de soluções que vai deixar você protegido e em conformidade.
Então, vai dar uma melhor experiência para o seu usuário final e, ao mesmo tempo, vai garantir que você não vai sofrer esse vazamento, essa multa de até 2%.
Outra coisa também são as certificações.
Você precisa das certificações que a Cloudflare pode oferecer.
Em que sentido? A gente tem desde ISO até certificações globais que garantem que a gente está usando as melhores práticas, não só como Cloudflare como companhia, Cloudflare protegendo os dados dos nossos clientes, mas você, como cliente Cloudflare, protegendo os dados do seu cliente.
A gente faz os dois. A gente está falando sobre as melhores práticas para o seu usuário final e para o nosso usuário final.
Quando a gente está falando de solução, quais são as soluções que vão deixar você em conformidade?
A primeira e a mais simples são os certificados SSL. A Google exige que todos os clientes tenham, é o cadeadinho no topo do seu URL.
A Google exige isso porque esse é o mais básico de criptografia, é o mais básico de privacidade.
Você está garantindo que a conexão com o servidor e com o usuário final está sendo protegida.
No Plan Enterprise você pode trazer a sua própria, se você quiser administrar, ter um pouco mais de autonomia, ou você pode usar a nossa.
A gente oferece o certificado Wildcard que a gente renova, a gente administra, zero preocupação para o cliente.
Estamos falando também, obviamente, como eu já disse várias vezes, do WAF, porque é a proteção do acesso externo.
É o que vai te garantir que você não vai sofrer a data loss, que você não vai sofrer a perda de dados, a invasão, o ataque.
Se por acaso sofreu o ataque, a gente tem proteção DDOS para mitigar esse ataque.
Mas a gente está falando, mais importante de tudo, o motivo que muitos dos nossos clientes escolhem a Cloudflare são as 3 mil regras de WAF, quão customizável, quão fácil de usar o nosso WAF é.
São regras da indústria, regras de WAF da indústria que todos os WAFs oferecem, regras personalizáveis do cliente e regras que a Cloudflare, por ser uma rede global, por ter esses 250 POPs pelo mundo inteiro, por estar vendo 10% das requests da Internet, a Cloudflare aprende, a nossa rede aprende, quais são as naturezas dos ataques, quais são as melhores práticas de segurança.
Então, uma grande parte dessas nossas regras de WAF são baseadas nas melhores regras de segurança para os nossos clientes.
Estamos falando também sobre o Rage Limiting, que é a proteção na página de login, não necessariamente por um bot, então não é um bot que está sendo atacado, não, a gente está falando do Rage Limiting, só uma pessoa que está tentando várias vezes entrar na página de login do seu cliente.
O Rage Limiting está aí para parar nesse sentido.
E tem também, obviamente, a gerenciamento de bots, porque acontece, ataque de bots é uma coisa muito comum, nesse cenário global é uma coisa muito comum, e você tem não só a proteção, mas a maior visibilidade para entender de onde esses bots estão vindo, aonde eles estão acessando, como você pode melhor se proteger contra esses bots.
Isso, de novo, te ajudando em conformidade com a NGPD.
Nosso DNS é free, não é uma funcionalidade exclusiva do Plano Enterprise, mas é, hoje, o segundo DNS mais rápido do mundo, e com regras de WARP, que é uma camada extra no DNS, para dificultar o ataque, para dificultar um hacker pegar o caminho da sua request.
Então, o nosso DNS 1.1.1 vem, hoje, com o WARP de graça.
E também pensando, quando você está usando o DNS da Cloudflare, você está mantendo o IP do seu cliente escondido, você está mantendo o seu IP escondido.
Você tem a praticidade de ter certeza que a sua origem está escondida, quem está te acessando está acessando pela Cloudflare, usando as regras de WARP, usando a nossa rede Edge, está protegido.
E, de novo, os logs, os logs que você tem total visibilidade, total controle sobre quem está acessando o quê, de onde vem o acesso, para onde vai o acesso, interno e externo.
E, finalmente, o que a gente já mencionou, o Cloudflare para Teams, que é o ápice, o pico da nossa rede Zero Trust.
O que a gente está falando sobre o Cloudflare para Teams são três quesitos que se integram para fazer essa funcionalidade de segurança na sua intranet.
O que a gente está falando? Número um, é uma substituição de VPN para o melhor controle de acesso, o nosso Cloudflare Access, o melhor controle de acesso, uma solução que está Always On, é uma aceleração de login, que você não tem que se preocupar com uma falha na VPN, com configuração de VPN, não.
Está Always On, o seu cliente está sempre acessando diretamente o seu site pelo Cloudflare Access.
Número dois, é o filtro de DNS para garantir que os dispositivos de trabalho estão no pico de segurança, não estão entrando e acessando o que você como administrador, você como gerente, você como dono da companhia, não quer que os dispositivos acessem.
O que a gente está falando? Site de notícia, rede social, conteúdo adulto, conteúdo que a gente saiba que é malicioso.
E em cima do filtro de DNS, então em cima da navegação pública na Internet, a gente está falando também sobre uma nova funcionalidade que é o Browser Isolation, que o que ele faz é uma camada mais de segurança.
Você estava navegando ainda no seu Google Chrome, no seu Internet Explorer, no seu Safari, mas a gente está dando uma camada extra de segurança na sua navegação, porque a gente está falando sobre Endpoint Security, contra Malware.
Então, é o Malware Protection, você não vai conseguir mais ser atacado pela rede, está deixando os antivírus obsoletos, é mais seguro que um antivírus, e você está navegando em uma Cloud, esse é o grande ponto.
E como é que a gente protege contra o vazamento de dados?
A gente está falando sobre uma solução extremamente inteligente que consegue ler a navegação, entender quantos anos esse site tem, é um site novo?
O que esse site está querendo? Talvez tenha que dar, é tudo automático isso, talvez tenha que parar os downloads, não permitir download, não permitir upload, não permitir os screenshots.
É uma solução que está integrando com o filtro do DNS, que está prevenindo qualquer tipo de ameaça que venha da Internet, da navegação.
Então, a gente está falando também sobre proteção contra phishing, não vai te deixar colocar informação privada se a gente não confiar no site.
A gente vai estar falando também sobre o NVR, o Coding NVR, então você está usando o seu browser no datacenter da Cloudflare que esteja mais perto do seu usuário final, tudo isso se integrando com as melhores práticas de Zero Trust.
E, de novo, falando sobre o Access, por que o Access é o pico da Zero Trust?
Porque você tem controle total sobre todos os acessos aos aplicativos.
Você está colocando regras fáceis de gerenciar, fáceis de criar para melhor proteger as suas aplicações e os seus documentos internos.
E isso é o que a LGPD tem como objetivo, é a proteção dos documentos internos, proteção dos dados de cliente.
Esse é o objetivo da LGPD, é o objetivo da nossa solução em Zero Trust.
A gente está falando sobre integrar Okta, o Single Sign -On, deixar as políticas mais granulares.
Se por acaso você sofreu um ataque, deixar um pouco mais difícil para o atacante adquirir tanta informação.
O que mais está falando também?
Entregar as aplicações o mais rápido possível, tanto para o seu usuário final quanto para o seu trabalhador remoto.
A gente está falando sobre não importa onde os dispositivos estejam no mundo, a gente vai achar o datacenter mais rápido, o datacenter mais disponível e redirecionar o acesso para esse datacenter.
A gente tem de novo 250 pelo mundo, no Brasil são 15, até 2022, se é final de 2022, a gente está com um projeto para ter, se não me engano são 22 datacenters.
Hoje a gente está nas maiores capitais, a gente está falando de São Paulo, Rio, Curitiba, Porto Alegre, Fortaleza, Bahia, Brasília e a gente está expandindo para as regiões um pouco mais remotas para garantir que no Brasil, na América Latina, você tenha uma rede extensa que vá garantir o acesso e garantir a experiência ótima para os seus usuários finais e para os seus usuários, os seus trabalhadores remotos, a mesma experiência, a mesma experiência ótima, a nossa promessa de zero latência.
E finalmente, de novo, a gente está falando sobre monitoração de log, você precisa ter o controle sobre os logs, você precisa ter os logs de UAF, logs de acesso, você precisa ter os logs de bots, você como administrador, você como gerente de TI precisa ter um controle total ao que está sendo acessado na sua rede.
Uma outra coisa, a gente tem discutido como é que a Cloudflare pode garantir que os dados dos nossos clientes estão sendo protegidos.
Então, você assinou um contrato com a Cloudflare, você foi no nosso site e adquiriu um plano self-service.
Como que a gente garante que os seus dados estão sendo protegidos?
Você como nosso cliente. A gente não tem controle ou acesso sobre o que você está transmitindo quando você está utilizando a nossa rede.
A gente não está armazenando o nosso cache, o nosso cache está tudo sendo encriptado.
O nosso escritório principal está nos Estados Unidos, então, os dados que são armazenados de cache estão armazenados aqui, mas eles têm uma validade e eles são encriptados.
Se por acaso a gente sofresse um ataque, os nossos clientes não sofreriam esse ataque de prática, eles não seriam afetados.
É importante saber também quais são as nossas práticas para os nossos clientes e como é que a gente fica em compliance não só com a LGPD, mas com a GDPR.
A gente nunca vai instalar um software para monitorar, nunca vai colocar um hardware na sua máquina, na sua VM, para estar monitorando o acesso.
Nada na nossa rede está tendo controle sobre a rede do nosso cliente.
A gente nunca vai compartilhar nenhum tipo de chave de criptografia, de autentificação, é tudo bem controlado internamente para a melhor experiência dos nossos clientes.
A gente nunca vai modificar conteúdo, nunca vai expor solicitação de DNS, nunca vai mudar a solicitação.
A gente dá autonomia para os nossos clientes sobre a rede deles.
A gente está protegendo, está servindo como proxy reverso, está protegendo, mas a gente nunca vai alterar o uso do nosso cliente.
E, finalmente, transparência. A gente tem o nosso blog, Cloudflare.blog .com, que a gente é bem honesto sobre o que está acontecendo internamente.
Possíveis violações de conteúdo, a mais recente que foi publicada na Internet e amplamente divulgada foi um hacker que tiveram acesso a vídeos de câmeras de proteção de escritórios.
A gente usava essa companhia, mas, mesmo assim, a gente foi extremamente claro sobre o que foi acessado e extremamente transparente com a gente, como trabalhadores, e com os nossos clientes sobre as possíveis violações.
Outra coisa que eu queria mostrar, voltando um pouquinho aqui, essa questão da análise de dados que está colocando a privacidade em primeiro lugar.
A gente é uma companhia de segurança, a gente dá muita importância para análise de dados de web e para garantir que a privacidade dos nossos clientes está sendo mantida.
Em questão de cookies, a gente não usa mais nenhuma ferramenta que armazena cookies de quem está usando o nosso site.
Como a Laysa disse, a gente é bem transparente sobre se você vai baixar um whitepaper, vai baixar um pdf, vai baixar um ebook, você tem a opção de pedir para o seu download se manter privado.
Não é uma coisa que vai ser exposta na Internet, nem internamente, nem externamente.
Você tem essa opção. A gente não armazena as impressões digitais, a gente garante a privacidade de quem está navegando no nosso site.
Nosso site, mais do que uma ferramenta comercial, nosso site é uma ferramenta informativa.
Tem muita informação explicando sobre as funcionalidades dos produtos que a gente vende, o que é um DNS, o que é um TAC DDoS, qual é a importância.
O nosso blog está debatendo diariamente quais são os pontos discutíveis na Internet e a gente quer que os nossos usuários entrem livremente, sem medo de perder qualquer tipo de...
Sem medo das informações, do acesso a ser compartilhado com ninguém.
A gente quer que nosso site seja, sim, como uma informação, um site informativo, tanto para os clientes, quanto para quem tem só a curiosidade e quer aprender mais.
Vamos pensar se a gente pegou todos os pontos aqui.
Bruna, não lembro se eu mencionei, mas com relação às empresas que manipulam esses dados pessoais, não só empresas que estão no Brasil, mas empresas que estão em outros países que fazem essa gestão desses dados de consumidores que estão no Brasil.
Também essa lei se aplica.
A Cláudia Fler, mesmo não tendo um escritório no Brasil, a gente ainda está em conformidade com a LGTB, conformidade com outras leis da América Latina, como a gente faz negócio com a América Latina, a gente está em conformidade com essas leis regionais.
Última coisa, não é de hoje que a gente está em conformidade com a GDPR.
A gente faz negócio com a Europa faz anos. A GDPR é um pouco mais extensa que a LGTB, no sentido de um pouco mais restrita, tem um pouco mais de regras sobre que tipo de informação a gente pode armazenar, que tipo de informação a gente pode pegar e que tipo de informação os clientes da Cláudia Fler podem ter.
A gente nasceu em 2010, a gente tem estado em conformidade com a GDPR.
Nossos clientes não tem que se preocupar com os dados deles serem compartilhados, qualquer tipo de basamento de informação.
Eu acho que é isso que a gente tinha para falar.
A gente não teve nenhuma pergunta hoje.
Vou voltar no nosso primeiro slide. Esse tem o meu e-mail direto, tem o e-mail da Laysa.
A gente trabalha na parte comercial, mas na parte de relação com o cliente.
Qualquer dúvida, se tiver interesse em saber como a gente pode proteger a sua rede ou fazer uma POC personalizada, testar um Cloudflare para Teams, testar um WAF, a gente está à disposição.
É só mandar um e-mail direto ou no nosso site tem o canal de vendas, você pode contatar a gente por lá.
Muito obrigada pela participação de vocês e a gente fica aqui à disposição para qualquer dúvida que vocês tiverem.
Obrigada, Bruna. Obrigada. O que é um bot? Um bot é uma aplicação de software que funciona em uma rede.
Bots são programados para automaticamente realizar certas tarefas.
Bots podem ser bons ou ruins. Bons bots realizam tarefas úteis, como indexar conteúdo para engenharias de pesquisa, detectar infringimento de copiação e oferecer serviço ao cliente.
Os bons bots realizam tarefas malíceas, como gerar cliques fraudulentes, escorregando conteúdo, espalhando spam e carregando ataques cibernéticos.
Sejam bons ou ruins, a maioria dos bots é automatizado para imitar e realizar um comportamento humano simples na rede a um ritmo muito mais rápido do que um usuário humano real.
Por exemplo, os engenheiros de pesquisa usam bots para constantemente cruzar redes e indexar conteúdo para pesquisa, um processo que levaria um tempo astronômico para qualquer usuário humano executá-lo.