Open in app

Sign in

Write

Sign in

Como a LGPD se relaciona com IAM

Alfredo Santos
3 min readDec 29, 2022

A LGPD (Lei Geral de Proteção de Dados Pessoais) impacta diretamente na maneira que organizações do mundo todo devem lidar com dados que os seus usuários fornecem a qualquer momento da jornada. Isso ocorre porque, mais do que nunca, é esperada total transparência sobre todos os processos que envolvem não somente a coleta, mas também o uso e o armazenamento dos dados.

Mas afinal de contas, o que IAM (Identity Access Management ou gestão de identidades e acessos) tem a ver com uma lei que prevê a proteção dos dados que circulam entre os sistemas operacionais das empresas? Primeiramente, vamos rever os conceitos de LGPD e de IAM.

O que é LGPD?

A Lei Geral de Proteção de Dados Pessoais surgiu para assegurar aos usuários o direito de que os seus dados pessoais sejam protegidos e mantidos em privacidade e que toda a qualquer manipulação seja feita com base em regras claras e previamente acordadas entre as partes. Resumidamente, trata-se de uma regulamentação que se aplica também aos meios digitais e que zelam tanto por pessoa física quanto jurídica.

O que é IAM?

É uma disciplina que compõe a segurança da informação, certificando-se que acessos sejam dados de forma consciente e rigorosa dentro de ambientes tecnológicos e sempre em alinhamento com os requisitos de conformidade adotados pelo mercado.

Como LGPD e IAM se relacionam?

Se a LGPD zela pela proteção e privacidade dos dados de usuários, é a IAM que garante que apenas os perfis adequados os manipulem — e aqui estão incluídos colaboradores de empresas e demais usuários. Por esse motivo, é correto afirmar que a gestão de identidades e acessos faz parte do compliance (conformidade) das empresas que levam a Lei Geral de Proteção de Dados Pessoais à sério.

IAM e Conformidade

Para que as organizações cedam o acesso de dados pessoais apenas a quem deve manejá-los e, consequentemente sigam as premissas da LGPD, as seguintes práticas de IAM devem ser adotadas:

  • Utilizar soluções que auxiliem na implementação bem-sucedida da separação de tarefas (SoD), a qual prega o recrutamento de mais de uma pessoa para concluir uma tarefa completamente;
  • Gerenciar o ciclo de vida de dados pessoais;
  • Operar sob o Princípio do Menor Privilégio (PoLP) para que se saiba tudo sobre o acesso do cliente, bem como o momento e a localização do acesso dado;
  • Manter o ambiente sob monitoramento constante, pois assim é mais fácil mapear eventuais erros que geram transtornos;
  • Verificar frequentemente o status de acesso aos dados pessoais dos usuários (há alguém que precisa ter acesso mais amplo ou alguém que deveria ter o acesso suspenso?);
  • Acompanhar rigorosamente aqueles que possuem acesso privilegiado aos dados pessoais dos usuários;
  • Adotar técnicas de autenticação eficazes, evitando que terceiros se passem pelos usuários reais.

O que mais IAM faz pela LGPD?

Um dos passos mais importantes para se adequar às exigências da Lei Geral de Proteção de Dados Pessoais é implementar um com sucesso um sistema efetivo de gestão de identidades e acessos. Veja a seguir alguns exemplos de como ambos os conceitos se relacionam.

  • Governança de identidade

Para enriquecer a governança de identidade dentro de uma empresa, IAM se manifesta como um provedor de informações sobre o acesso a aplicações, que podem ser realizadas pelos próprios colaboradores ou pelos usuários externos do seu sistema.

  • Consentimento

A aplicação de IAM é baseada no consentimento cedido pelo dono dos dados, que também pode remover ou solicitar a remoção de quaisquer informações que tenham sido fornecidas anteriormente.

  • Segurança de processamento

Graças à IAM, os riscos de acesso não-autorizado e perda de dados são drasticamente reduzidos. Com isso, cumpre-se com os requisitos de segurança previstos na LGDP.

  • Processamento de dados pessoais

IAM é a única disciplina que possibilita a aplicação da autenticação com múltiplos fatores, impedindo que o processamento não-autorizado exponha dados pessoais contidos em uma plataforma.

  • Minimização de dados

Um dos princípios da LGPD é garantir que os dados passem pela mínima manipulação possível, o que IAM entrega por meio da centralização do controle dos dados.

  • Serviços em nuvem

Não há meios para garantir o gerenciamento de serviços em nuvem em conformidade sem a intervenção de IAM. É apenas a gestão de identidades e acessos que pode compartilhar dados em nuvem de forma segura.

--

--

Alfredo Santos

Written by Alfredo Santos

26 Followers

Digital transformation & Cybersecurity advisor

Help

Status

About

Careers

Blog

Privacy

Terms

Text to speech

Teams