Caso pontual nº 15: Normalizar vazamentos do Pix coloca proprietários dos dados em risco

No dia 19 de setembro o Banco Central informou a ocorrência de mais um incidente de segurança com dados pessoais vinculados a chaves Pix. Na ocasião, as informações expostas estavam sob a guarda e a responsabilidade da SHPP Brasil Instituição de Pagamento e Serviços de Pagamentos LTDA, a Shopee. Antes mesmo de terminar o mês de setembro, no dia 30, o órgão repetiu a notícia, mas com personagem diferente e com uma escalada significativamente relevante na gravidade do problema. Se no primeiro comunicado o número de vítimas ficou restrito a 150 cadastros, desta vez foram vazados dados pessoais de 53.383 chaves Pix que estavam sob a responsabilidade da Qesh Instituição de Pagamento.

Em direção contrária ao aumento do risco de problemas, o que chama a atenção em todos os 15 casos semelhantes a estes relatados pelo órgão é o fato de que as  notícias vieram acompanhadas da tentativas de tranquilização afirmando se tratar apenas de falhas pontuais, amenizadas ainda pelo fato de que os dados em questão não trouxeram prejuízos aos consumidores uma vez que não são relacionados a processos que afetam a movimentação de dinheiro.

É como se as empresas envolvidas e os órgãos fiscalizadores dissessem: 

– Ninguém perdeu dinheiro, então está tudo bem. Não há com o que se preocupar.  

O problema é que esta abordagem simplista já começa a incomodar os especialistas em segurança sob o argumento de que a normalização destes casos pode levar à diminuição do entendimento sobre a gravidade do assunto e, consequentemente, permitir que as pessoas caiam em golpes futuros com o uso destes dados.

A razão para essa preocupação é que, mesmo sendo verídicas as notícias dando conta de que as informações expostas eram apenas de natureza cadastral como nome, CPF, instituição de relacionamento, agência, número e tipo da conta, etc, não é menos verídico o fato de que as pessoas que tiveram esses dados vazados precisam ficar atentas para não se tornarem vítimas de golpes futuros como o phishing e outros que utilizam engenharia social. 

É importante considerar que vazamentos como esses são quebras importantes da confidencialidade da informação que é a segurança dos dados. Normalmente estes casos acontecem pela existência de falhas nas práticas do privacy by design e privacy by default, que são, inclusive, requisitos das legislações de privacidade de dados. Então, quando acontece esse incidente temos uma violação de dados que atinge os direitos garantidos pela Lei Geral de Proteção de Dados (LGPD).

Logo no mês de setembro, quando a LGPD completa 4 anos, esse tipo de situação precisa servir como uma lição aprendida no sentido de que todas as empresas precisam ter estratégias para mitigar risco de vazamento de dados. A LGPD vai além dos aspectos de segurança da informação e jurídico. Quando se busca um procedimento dentro das organizações de dados pessoais é importante considerar a segurança da informação como uma forma de planejamento de qualquer projeto ou serviço. Porque durante todo o ciclo de vida dessa informação as proteções devem acompanhar até a destruição de dados que também precisa ser segura.

Para evitar a ocorrência de falhas pontuais em sistemas é fundamental observar toda a esteira de desenvolvimento das aplicações e dos sistemas desde a fase de programação e testes até quando ele vai para a produção. Este acompanhamento é exigido justamente para prevenir os possíveis problemas e falhas antes mesmo de acontecerem.

Desta forma, todas as empresas que tratam de dados pessoais precisam desenvolver processos de melhoria contínua abrangendo tanto o aspecto jurídico quanto o de segurança da informação. Durante todas as etapas de tratamento de dados, é fundamental buscar uma adequação imediata com a LGPD.  A própria legislação exige que se faça um relatório de impacto à proteção de dados e a empresa precisa se estruturar para que tenha esses processos bem encaminhados para conseguir gerenciar possíveis riscos. 

(*) Bruna Fabiane da Silva é sócia da DeServ Academy. Eleita uma das 50 Melhores Mulheres em Segurança Cibernética das Américas pela WOMCY (LATAM Women in Cybersecurity). Ela também é co-autora do livro “LGPD: Muito além da Lei”