Tecnologia O que muda para a indústria de meios de pagamento com a LGPD

O que muda para a indústria de meios de pagamento com a LGPD

Rafael Negherbon

Rafael Negherbon

A Lei Geral de Proteção de Dados (LGPD), que está vigente a partir de agosto de 2020, foi criada para trazer mais segurança e autonomia aos usuários em suas relações com empresas que usam seus dados. Embora as empresas da indústria de meios de pagamento já lidem com a tecnologia e com os desafios que o meio digital apresenta, promovendo medidas para sigilo dos dados, a LGPD traz mudanças às quais elas deverão se adequar.

Neste artigo, entenda mais sobre a LGPD e como ela deve afetar as empresas da indústria de meios de pagamento.

Por que a LGPD é importante?

Na Europa, está em vigor desde 2018 o Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR), com normas específicas para o uso e a coleta de dados. O Brasil, no entanto, não contava com uma legislação específica sobre o tema até então. Portanto, a LGPD representa um avanço para a segurança dos processos de coleta e tratamento de dados no Brasil. As empresas passarão a ser responsabilizadas e evitarão que informações pessoais sejam expostas.

Afinal, o Brasil é o país mais propenso a sofrer violações de segurança, de acordo com pesquisa da IBM. O risco de uma empresa sofrer um ataque é de 43%, número muito acima de países com cultura de segurança cibernética, como Alemanha (14%) e Austrália (17%). No entanto, mesmo com a lei sancionada no Brasil desde 2018, 85% das empresas dizem ainda não estar preparadas para as mudanças, segundo pesquisa realizada pelo Serasa Experian.

Como a LGPD vai impactar a indústria de meios de pagamento?

As instituições financeiras, dentre elas, as da indústria de meios de pagamento, estão entre as que sofrerão maior impacto com a LGPD. Isso porque os dados dos clientes são fundamentais para a operação dos negócios.

Com a legislação em vigor, tais dados só deverão ser utilizados para finalidades específicas e as empresas devem deixar claro para onde eles vão e como serão utilizados. Mesmo já possuindo uma arquitetura de segurança maior por tratar dados sensíveis, é recomendado às instituições da indústria de meios de pagamento trabalharem em duas frentes: jurídica e tecnológica, visando conscientizar os usuários e trazer clareza sobre as mudanças que podem ocorrer e quais são as responsabilidades das partes envolvidas.

Conteúdos Relacionados:

Compliance

É importante ter uma ótica out of the box relacionada à segurança da informação e à cyber security. O foco é estar em compliance com padrões mundiais, como CIS (Center for Internet Security) e ISO 27001, como na Transfeera. Ao se adequar a esses padrões, além de facilitar o processo de internacionalização, a empresa estará preparada para a LGPD.

Estar em compliance com padrões mundiais eleva a cyber security, tanto a nível de hardware quanto a nível de software. Na Transfeera, por exemplo, toda a operação roda na cloud AWS da Amazon. Com isso, é possível implementar score de standards, como o CIS Basic, e garantir que a infraestrutura esteja segura de acordo com os melhores padrões do mercado.

Segurança nos serviços contratados e na criação de produtos

Outro ponto importante é garantir que os serviços contratados também estejam de acordo com as leis de proteção de dados e assegurem a confidencialidade das informações armazenadas. O mesmo vale para o processo de criação de novos produtos, que devem seguir o conceito de secure by design.

Ter respaldo jurídico nesses quesitos é essencial. Por isso, tenha à disposição consultorias e advogados especialistas em segurança digital.

Cofre e logs

Outra medida importante é a utilização de um cofre, para armazenar as credenciais de acesso aos serviços externos e internos, e logs a nível de rede e de aplicação de tudo o que está acontecendo na empresa.

Os logs devem ser centralizados, analisados e organizados para identificar possíveis ameaças. Isso pode ser facilmente monitorado com a implementação de um SIEM (Software de Gerenciamento de Informações e Eventos de Segurança). Assim, é possível ter essas informações categorizadas para prevenir um vazamento de dados por meio da implementação de um DLP (Data Loss Protection).

Firewall

O uso de firewall é indispensável. A Transfeera, por exemplo, usa um firewall de aplicação web na frente de todos os serviços expostos para a internet. Assim, conseguimos monitorar e prevenir ataques que possam prejudicar nosso sistema, como DDOS, top 10 da lista de vulnerabilidades reportada pela OWASP e regras customizadas como Bruteforce.

Data Protection Officer

A LGPD exige a nomeação de um “Data Protection Officer”, ou seja, um profissional que seja responsável pela comunicação entre a empresa, os usuários e os órgãos de fiscalização. Portanto, essa também deve ser uma medida que a indústria de meios de pagamento deve providenciar.

Saiba mais sobre segurança para a indústria de meios de pagamento, lendo este artigo:

Pagamento de fornecedores: como ter segurança em operações online