O documento discute como os produtos da Elastic podem ajudar as organizações a atenderem aos requisitos da Lei Geral de Proteção de Dados (LGPD) brasileira. Ele explica como recursos como criptografia, controle de acesso, log de auditoria, monitoramento e detecção de ameaças ajudam a proteger dados pessoais de acordo com os princípios da LGPD.
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
LGPD e o Elastic Security
1. 1
LGPD e o Elastic Stack
Michael Yuan
Principal Solutions Architect
2. Esta apresentação é apenas para fins informativos e não oferece
consultoria jurídica ou de auditoria, sendo assim, não deve ser
considerada uma declaração completa ou precisa da lei.
A conformidade de uma organização com o LGPD pode depender de
muitos fatores fora do escopo desta apresentação, que vão desde
suas políticas e práticas de privacidade até seus controles de
segurança da informação e estruturas organizacionais.
Para obter uma declaração legal completa e precisa, ou para
aconselhamento jurídico para uma situação particular, você deve
consultar um advogado.
Aviso Legal
3. Em 16 de agosto de 2020 entrou em vigor no Brasil a LGPD, que
abrange todas as empresas que oferecem serviços ou possuem
operações envolvendo tratamento de dados no Brasil e cria um novo
arcabouço legal para dados pessoais, tanto online quanto offline,
nos setores público e privado.
A legislação se insere no contexto brasileiro de adaptação
progressiva às melhores práticas globais de gerenciamento de dados,
semelhante a GDPR. As empresas que violarem a nova lei estarão
sujeitas à aplicação de advertências, multas, embargos, suspensões e
proibições parciais ou totais de exercício de suas atividades.
Lei Geral de Proteção de Dados Pessoais
(Lei nº 13.709)
4. Elastic:
“A Elastic, como
empresa, é compatível
com o LGPD?”
Elastic Cloud Service:
“O Elastic Cloud Service
é compatível com a
LGPD?”
Usando produtos da Elastic:
“Os produtos da Elastic podem ajudar
minha organização a atender aos
requisitos da LGPD?”
Escopo dessa apresentação:
5. SaaS Orchestration
Elastic Cloud
on Kubernetes
Elastic Cloud Elastic Cloud
Enterprise
Elastic Enterprise Search Elastic SecurityElastic Observability
Elastic Technology
Powered by the
Elastic Stack
3 solutions
Deployed
anywhere
11. Data Protection by Design
Se uma organização está usando o
Elastic Stack para armazenamento
de dados pessoais, os recursos do
ECE os deixam em conformidade
com a LGPD desde o início. O
princípio da proteção de dados
trata os dados pessoais como um
segredo valioso, limitando o
acesso, mantendo a precisão,
garantindo a segurança dos dados
e limitando a retenção.
12. Cryptography & Pseudonymization
O Elasticsearch oferece suporte à implantação em
sistemas que ativam a criptografia em repouso
em todo o sistema. O nível de proteção preveem
que uma pessoa não autorizada que acesse o
sistema de arquivos subjacente acesse dados
pessoais em texto não criptografado.
Outro princípio LGPD para proteger os dados
pessoais é a pseudo-anonimização, que é
definida como "... o processamento de dados
pessoais de forma que os dados não possam
mais ser atribuídos a um titular dos dados
específico sem o uso de informações adicionais."
Logstash, um componente vital do Elastic Stack,
inclui um conjunto de recursos em seu Fingerprint
filter plugin que pode ser usado para
implementar pseudo minimização.
14. Access Controls
Para atender aos requisitos LGPD,
simplesmente autenticar usuários não
é suficiente, pois é necessário haver
uma maneira de controlar quais dados
os usuários podem acessar e quais
tarefas podem executar.
Os recursos de segurança da Elastic
permitem o controle de acesso
baseado em função (RBAC) que fornece
a capacidade de especificar qual(is)
usuário(s) podem realizar operações
de leitura e gravação nos índices do
Elasticsearch que contêm dados
pessoais.
16. Logging & Auditing
Os recursos de segurança da Elastic
permitem que uma organização
mantenha uma trilha de auditoria
auditando eventos de segurança.
O log de auditoria produzido pelo
Elasticsearch torna mais fácil ver quem
está acessando um cluster e o que eles
estão fazendo. Ao analisar os padrões
de acesso e as tentativas fracassadas de
acessar um cluster, é possível obter
insights sobre as tentativas de ataques e
violações de dados.
Além disso, Elastic Stack pode ser usado
como uma solução de análise de
segurança.
18. Monitoring & Detection
Os recursos de monitoramento do Elastic
ajudam os administradores a manter uma
vigilância cuidadosa sobre a integridade do
cluster Elasticsearch.
O recurso de alerta permite o
monitoramento automatizado da
continuidade do log e notificações quando
ocorrem interrupções ou falhas.
Junto com o alerta, nossos jobs de machine
learning e dashboards do Kibana podem ser
a base para a plataforma de detecção de
ameaças de uma organização, permitindo o
monitoramento contínuo da segurança e a
caça interativa de ameaças como parte de
uma solução de análise de segurança.
19. Como a Elastic te ajuda a atender aos requisitos da LGPD