O documento discute as melhores práticas e desafios em big data forensics, privacidade e investigação digital na era da nuvem e dos dispositivos móveis, incluindo monitoramento de funcionários, BYOD e o equilíbrio entre segurança e privacidade.
1. BIG DATA FORENSICS
Conformidade e melhores práticas para o tratamento de dados e
investigação de incidentes
José Antonio Milagre
Diretor de Forense Digital
Legaltech
terça-feira, 23 de outubro de 2012
2. Cronograma
* Tecnologia e Privacidade
* Cloud Computing e Big Data
* Atividades de Pentest e Hacking
* Investigação Digital
* Melhores Práticas
* Conformidade
* Perspectivas Finais
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
3. Tecnologia e Privacidade
“intimidade é o núcleo duro da privacidade, enquanto a vida
privada é uma esfera externa, mais abrangente que, entretanto,
não se confunde com a esfera pública”(MORI 2011, 38)
Leia mais: http://jus.com.br/revista/texto/22809/faltas-nao-
relacionadas-ao-trabalho-violacao-a-privacidade-e-intimidade-do-
empregado#ixzz2A36ozQUt
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
4. Tecnologia e Privacidade
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
5. Tecnologia e Privacidade
A evolução tecnologica impõe desafios
para garantir a adequada proteção de
dados online.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
6. Tecnologia e Privacidade
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
7. Cloud Computing e Big Data
Cloud relativiza completamente as
normas de proteção de dados e
práticas de investigação digital
existentes
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
8. Cloud Computing e Big Data
A capacidade de coletar dados em todos os lugares, a partir de interações
online e dispositivos, chips RFID, algoritmos de busca , tecnologias baseadas
em localização, tem trazido benefícios para Sociedade em geral, porém,
aumentam os riscos de violações à privacidade. (Prof. Omer Tene - Centro
Berkeley de Direito e Tecnologia)
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
9. Cloud Computing e Big Data
Redes Sociais: O combustível do Big Data (Análise de Redes Sociais
corresponderá a 45% de todo o gasto anual)
Os gastos mundiais com tecnologias de big data — de empresas dos setores
da indústria, governo, comércio e de serviços, entre outras — devem totalizar
US$ 28 bilhões em 2012. Para o ano que vem, a previsão é que ocorra um
incremento de 22%, chegando a US$ 34 bilhões, diz o Gartner.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
10. Cloud Computing e Big Data
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
11. Melhores Práticas
Passamos por profundas
transformações nas normas e melhores
práticas envolvendo proteção de dados
e investigação
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
12. Melhores Práticas: Big Data
Solução BIG Data Forensics considerará:
* Ambiente cultural;
* Diligência sobre os dados a coletar (próprios
ou de terceiros);
* Eventuais autorizações dos proprietários;
* Técnicas utilizadas para a coleta;
* Após a coleta, como se dará o uso;
* Legislação aplicável;
* Considerar Big Data em ambientes Cloud
pode se caracterizar como “antiforense”.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
13. Melhores Práticas: Cloud Computing
Pesquisa CipherCloud % de Organizações - Preocupações
70
53
35
18
Data Security
Data Privacy 0
Compliance
Data Residency
Fonte: http://www.net-security.org/secworld.php?id=13802
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
14. Melhores Práticas: Cloud Computing
Características:
* Motor para o crescimento da TI nos próximos 25 anos;
* 75% das empresas da TI no Brasil já usam Cloud - Olhar Digital;
Riscos:
* Acesso indevido a informações;
* Vazamento de informações;
* Indisponibilização de serviços.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
15. Melhores Práticas: Cloud Computing
Cloud Computing:
* Segurança de TI se tornando mais “cinza”;
* Perda do controle de toda a infra-estrutura;
* Revisão dos Acordos de Nível de Serviço;
* http://www.ico.gov.uk/;
* Poucos julgados a respeito;
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
16. Melhores Práticas: Cloud Computing
Investigação de crimes
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
17. Melhores Práticas: Cloud Computing
Investigação de crimes
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
18. Melhores Práticas: Cloud Computing
Resposta Forense (Cloud Forensics):
* Elementos de rastreabilidade gerados (formato, tempo, SaaS, customer não
será “first responder”);
* Recursos humanos para resposta forense (Acordo com os CSPs);
* Cooperação em multi-jurisdição: Plano de Segurança Cloud considerar a
“sombra da nuvem”; Exito da resposta forense intimamente ligado com a
maturidade da segurança Cloud;
* Saber identificar o serviço: VPS, Cloud, VPN, Virtualização
* Métricas e níveis de serviços deve incluir melhores práticas em segurança
da informação (European Network and Information Security Agency,
Association of Chief of Police Officer (ACPO), Investigative Process Model -
DIP (DFRS);
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
19. Melhores práticas: Monitoramento
Empregador que vasculha as redes sociais.
Faltas não relacionadas ao trabalho. Violação à intimidade e privacidade do
empregado.
“o comportamento social do empregado deve ser punido pelos desvios que,
no ambiente da empresa ou repercutindo imediata e diretamente nas suas
relações com o empregador, possam causar dano à entidade patronal, ao seu
ambiente de trabalho, aos colegas de serviço ou aos clientes.” (SOUZA 1997,
294-295)
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
20. Melhores práticas: Monitoramento
Empregador que vasculha as redes sociais.
“JUSTA CAUSA - ENVOLVIMENTO DO EMPREGADO EM BRIGA FORA DO AMBIENTE DE
TRABALHO, E SEM QUALQUER PREJUÍZO AO EXERCÍCIO DE SUAS FUNÇÕES - VIOLAÇÃO DO
ART. 482, -B- E -E-, DA CLT - NÃO-CARACTERIZAÇÃO. Havendo o v. acórdão do Regional consignado
que não houve registro de nenhuma conduta indisciplinar ou irregular do reclamante durante quase três
anos (de agosto de 1996 até 19 de abril de 1999); que a briga na qual o reclamante se envolveu ocorreu
fora do local e do horário de trabalho; que não houve repercussão no âmbito da empresa; que nada teve
a ver com o exercício das funções; e que a prisão em flagrante, ocorrida quando da referida briga, se deu
por porte ilegal de arma de fogo, impossível cogitar-se de caracterização de justa causa por incontinência
de conduta ou mau procedimento (alínea b do art. 482 da CLT) ou desídia (alínea e), que somente dizem
respeito a fatos ocorridos no ambiente de trabalho, ou seja, à conduta do empregado nessa condição,
dentro do espaço físico onde se presta o trabalho ou em prejuízo do serviço ou da integridade do
empregador como tal.Agravo de instrumento não provido.” (grifos nossos)
Leia mais: http://jus.com.br/revista/texto/22809/faltas-nao-relacionadas-ao-trabalho-violacao-a-privacidade-
e-intimidade-do-empregado#ixzz2A3DNFAKL
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
22. Melhores práticas: BYOD
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
23. Melhores práticas: BYOD
CLT: Art. 6o Não se distingue entre o
trabalho realizado no estabelecimento do
empregador, o executado no domicílio do
empregado e o realizado a distância, desde
que estejam caracterizados os pressupostos
da relação de emprego. (Redação dada pela
Lei nº 12.551, de 2011)
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
24. Melhores práticas: BYOD
An upcoming Trend Micro study* into mobile
consumerisation trends finds that nearly half
of companies have experienced a data breach
as a result of an employee owned device
accessing the corporate network. When the
stakes are this high, IT needs to know which
platforms to allow and which to refuse.
(http://consumerization.trendmicro.com/
consumerization-byod-jailbreak-apple-control-
enterprise-primetime/)
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
25. Melhores práticas: BYOD
Política BYOD: Pontos omissos:
* Direito de apagar dados; * Suprimir dados pessoais;
* Instalar aplicações; * Auditar histórico de navegação
* Monitorar utilização. * Acesso a informações pessoais
identificáveis
A EMPRESA NÃO É PROPRIETÁRIA DO ATIVO
RISCO TRABALHISTA.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
26. Melhores práticas: BYOD
Riscos Futuros: Soluções:
* Propriedade intelectual; * Revisão de Políticas/Controle riscos;
* Vazamento dados pessoais; * Solução de Segurança BYOD/VM;
* Vazamento dados corporativos; * Forense Digital externa;
* Demandas cíveis e trabalhistas * Aderência a conformidade de normas
(sobreaviso/jornada); de proteção à privacidade.
* Responsabilidade civil e criminal
por atos praticados.
NÃO HÁ JURISPRUDÊNCIA.
RISCO TRABALHISTA.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
27. Melhores práticas: BYOD
http://blog.allstream.com/5-byod-legal-risks-it-departments-cant-ignore/
User authentication Due dilligence Remote Wipping Surveillence e-Discovery
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
28. Melhores práticas: BYOD
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
29. Melhores práticas: BYOD
Prever em política não apenas a possibilidade
de monitoramento, mas de inspeção. Técnicas
anti-forense devem ser desencorajadas e
bloqueadas no preparo do sistema do
proprietário.
FORENSE DIGITAL: Preventiva!
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
30. Investigação Digital
As ferramentas da rede social
recorrem a fatores como amigos
mútuos, interação no passado,
distância e diferenças de idade
numa tentativa de tentar
combater, por exemplo,
atividades pedófilas.
Ler mais: http://
exameinformatica.sapo.pt/
noticias/internet/2012/07/13/
privacidade-facebook-
monitoriza-conversas-a-procura-
de-criminosos#ixzz2A3IZKGKX
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
31. Investigação Digital: Big Data
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
32. Investigação Digital: Big Data
Em ambiente forense posso estimar:
* Vazamento de dados funcionários;
* Vulnerabilidades mais exploradas;
* Ativos mais propensos a ataques;
* Níveis de risco para determinadas áreas da TI;
* Possíveis ataques programados;
* Antecipar crimes? (Controle Absoluto,
Minority Report)
Solução: Equilíbrio.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
33. Investigação Digital: Big Data
* Informações subjacentes de dados em fontes públicas: EUA v
Maynard, 615 F.3d 544, 555 (DC Cir. 2010)
O Federal Bureau of Investigation ("FBI") instalou um dispositivo de rastreamento GPS no
carro de Antoine Jones enquanto ele estava estacionado em via pública. O FBI então usou o
dispositivo para rastrear os movimentos de seu veículo de forma contínua por um mês. Foi
identificado que Jones distribuia cocaína, prova que foi parcialmente baseada em dados do
dispositivo GPS de localização. O D.C. Corte de Apelações apreciou o caso United States v
Maynard, 615 F.3d 544 (DC Cir. 2010). O Tribunal considerou que o rastreamento GPS “sem
mandado” foi uma busca e violou a Quarta Emenda.
* Mudanças de tecnologia importam em mudança da expectativa de
privacidade;
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
34. Investigação Digital: Big Data
Ao mesmo tempo que favorece a
investigação se mal estruturada a coleta de
massa critica pode ser considerada ilícita.
Do mesmo modo, o grande volume de
dados produzidos por devices, em segurança
da informação, pode comprometer a análise.
BigData está relacionado a maior propensão
ao vazamento de algo. Custo do e-discovery
fica minúsculo diante dos riscos associados.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
35. Investigação Digital: Cloud Computing
Arquivos armazenados nas nuvens por muito tempo:
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
37. Investigação Digital: Cloud Computing
Premissas:
* Dados espalhados demandam compromisso contratual;
* Nuvem privada, comunidade, pública, híbrida (imagem.dd/raw);
* Modelo de serviços: SaaS (WebClient), PaaS (API), IaaS (cessão de
recursos) - Coleta influenciada completamente;
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
38. Investigação Digital: Cloud Computing
Nuvem como técnica anti-forense
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
39. Atividades de Pentest e Hacking
Controle!
Muito se questiona sobre a quantidade de campos em logs, diante da
possível violação privacidade, mas se esquecem que eles podem elucidar
uma grave violação à privacidade.
“Se ao caminhar pelas ruas, uma pessoa avistar que os cordões de seus
sapatos estão desamarrados, ser-lhe-á devido um agradecimento ou uma
censura por se intrometer em sua vida, em sua privacidade? Caso lhe
comuniquem que um certo restaurant já provocou intoxicações sérias em
diversos incautos que experimentaram suas especialidades, julgaria prudente ir
lá e fazer uma refeição e se arriscar a uma desagradável e involuntária
ginástica para seus intestinos?” (Amaro Moraes e Silva Neto, Privacidade na
Internet, EDIPRO, 2001)
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
40. Atividades de Pentest e Hacking
Controle!
“Pois bem, no ciberespaço, assim como no Mundo Físico, também existem boas
almas que nos alertam sobre os perigos que enfrentamos neste recanto não
espacial: são os hackers (e, em algumas vezes, até mesmo os cracckers). São
eles que nos sinalizam quanto a similares riscos neste Mundo que não podemos
pegar, porque verificaram as debilidades e fragilidades do sistema que os
suporta” (Amaro Moraes e Silva Neto, Privacidade na Internet, EDIPRO, 2001)
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
41. Investigação Digital
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
42. Conformidade: Diretiva 95/46/EU
• E-Privacy Directive – 2002/58 - amended by Directive
2009/136
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?
uri=CELEX:32002L0058:EN:NOT
• Data Protection Directive 1995/46
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?
uri=CELEX:31995L0046:EN:HTML
• Canadian PIPEDA Act http://laws.justice.gc.ca/eng/P-8.6/
• USA ECPA (Wiretap e Storage)– Caso Lane x Facebook
http://en.wikipedia.org/wiki/Lane_v._Facebook,_Inc.
• Patriot Act 2011
• UK Data Protection Act
http://www.legislation.gov.uk/ukpga/1998/29/contents
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
43. Conformidade: Diretiva 95/46/EU
Não atende mais as necessidades dos cidadãos:
2012: Comissão Européia - Apresentados textos das propostas para:
a) Regulamento Geral de Privacidade;
b) Diretiva de Privacidade no Âmbito penal e de Investigação Criminal;
Dentre as características:
a) Sem necessidade de ação legislativa dos parlamentos nacionais;
b) Aplicável à empresas que não estão sediadas na EU, mas que oferecem bens
ou serviços a países da União.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
44. Conformidade: Brasil
* Marco Civil da Internet Brasileira (Eleva a princípio em seu artigo terceiro a
proteção à privacidade e a proteção a dados pessoais)
http://www.camar a.gov.br/proposicoesWeb/
prop_mostrarintegra;jsessionid=5D6476842878EB901E806B1C234528E2.nod
e2?codteor=912989&filename=PL+2126/2011
* AnteProjeto de Lei de Proteção de Dados Pessoais
http://culturadigital.br/dadospessoais/debata-a-norma/
* PL 84/1999, PL 2793/2011, PLS 236/2012
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
45. assegurados osendereço IP.
determinado seguintes direitos:
Conformidade: Brasil > Marco Civil
I -Art.inviolabilidade e ao sigilo de suasserão levados em conta, além dos
à 6o Na interpretação desta Lei, comunicações pela Internet, salvo por
ordem judicial, nas hipótesesobjetivos previstos,lei estabelecer para fins de investigação criminal
fundamentos, princípios e e na forma que a a natureza da Internet, seus usos e costumes
ouparticulares e sua importância para a promoção do desenvolvimento humano, econômico, social
instrução processual penal;
e cultural.
II - à não suspensão da conexão à Internet, salvo por débito diretamente
decorrente de sua utilização; CAPÍTULO II
DOS DIREITOS E GARANTIAS DOS USUÁRIOS
III - à manutenção da qualidade contratada da conexão à Internet, observado o
Art. o
disposto no art. 9o; 7 O acesso à Internet é essencial ao exercício da cidadania e ao usuário são
assegurados os seguintes direitos:
IV - a informações claras e completas constantes dos contratos de prestação de
serviços, com previsão expressa sobre o regime suas proteção aos seus Internet, salvo por
I - à inviolabilidade e ao sigilo de de comunicações pela dados pessoais, aos
registros judicial, nas e aos registrosforma que aalei estabelecer para fins de investigação criminal
ordem de conexão hipóteses e na de acesso aplicações de Internet, bem como sobre práticas
de ou instrução processual penal;
gerenciamento da rede que possam afetar a qualidade dos serviços oferecidos; e
VII - utilização;
- ao não fornecimento a conexão à Internet, salvo de conexão e de acesso a
decorrente de sua
à não suspensão da
terceiros de seus registros por débito diretamente
aplicações de Internet, salvo mediante consentimento ou nas hipóteses previstas em lei.
III - à manutenção da qualidade contratada da conexão à Internet, observado o
Art. o8o A garantia do direito à privacidade e à liberdade de expressão nas
disposto no art. 9 ;
comunicações é condição para o pleno exercício do direito de acesso à Internet.
IV - a informações claras e completas constantes dos contratos de prestação de
serviços, com previsão expressa sobreCAPÍTULO IIIproteção aos seus dados pessoais, aos
o regime de
registros de conexão e aos registros de acesso E DE APLICAÇÕES DE INTERNET práticas
DA PROVISÃO DE CONEXÃO a aplicações de Internet, bem como sobre
de gerenciamento da rede que possam afetar a qualidade dos serviços oferecidos; e
Seção I
V - ao não fornecimento Tráfego de Dados registros de conexão e de acesso a
Do a terceiros de seus
aplicações de Internet, salvo mediante consentimento ou nas hipóteses previstas em lei.
Art. 9o oO responsável pela transmissão, comutação ou roteamento tem o dever de
tratar de forma Art. 8 A garantia do pacotes de privacidade edistinção Legaltech Consultoria e Treinamentoe
isonômica quaisquer direito à dados, sem à liberdade de expressão nas Ltda.
por conteúdo, origem
destino, serviço,éterminal ou aplicativo,exercício do direito de acesso à Internet. ou degradação do
comunicações condição para o pleno sendo vedada qualquer discriminação
terça-feira, 23 de outubro de 2012
46. aplicações de Internet, salvo mediante consentimento ou nas hipóteses previstas em lei.
Conformidade: Brasil > Marco Civil
Art. 8o A garantia do direito à privacidade e à liberdade de expressão nas
comunicações é condição para o pleno exercício do direito de acesso à Internet.
CAPÍTULO III
DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET
Seção I
Do Tráfego de Dados
Art. 9o O responsável pela transmissão, comutação ou roteamento tem o dever de
tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e
destino, serviço, terminal ou aplicativo, sendo vedada qualquer discriminação ou degradação do
tráfego que não decorra de requisitos técnicos necessários à prestação adequada dos serviços, 4
conforme regulamentação.
!
Parágrafo único. Na provisão de conexão à Internet, onerosa ou gratuita, é
vedado monitorar, filtrar, analisar ou fiscalizar o conteúdo dos pacotes de dados, ressalvadas as
hipóteses admitidas em lei.
Seção I I
Da Guarda de Registros
Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a
aplicações de Internet de que trata esta Lei devem atender à preservação da intimidade, vida
privada, honra e imagem das partes direta ou indiretamente envolvidas.
§ 1o O provedor responsável pela guarda somente será obrigado a disponibilizar
as informações que permitam a identificação do usuário mediante ordem judicial, na forma do
disposto na Seção IV deste Capítulo.
§ 2o As medidas e procedimentos de segurança e sigiloLegaltech Consultoria e Treinamento Ltda.
devem ser informados
terça-feira, 23 de outubro de 2012
47. Conformidade: Brasil > Marco Civil
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
48. disposto na Seção IV deste Capítulo.
Conformidade: Brasil > Marco Civil
§ 2o As medidas e procedimentos de segurança e sigilo devem ser informados
pelo responsável pela provisão de serviços de conexão de forma clara e atender a padrões
definidos em regulamento.
§ 3o A violação do dever de sigilo previsto no caput sujeita o infrator às sanções
cíveis, criminais e administrativas previstas em lei.
Subseção I
Da Guarda de Registros de Conexão
Art. 11. Na provisão de conexão à Internet, cabe ao administrador do sistema
autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente
controlado e de segurança, pelo prazo de um ano, nos termos do regulamento.
§ 1o A responsabilidade pela manutenção dos registros de conexão não poderá
ser transferida a terceiros.
§ 2o A autoridade policial ou administrativa poderá requerer cautelarmente a
guarda de registros de conexão por prazo superior ao previsto no caput.
§ 3o Na hipótese do § 2o, a autoridade requerente terá o prazo de sessenta dias,
contados a partir do requerimento, para ingressar com o pedido de autorização judicial de acesso
aos registros previstos no caput.
§ 4o O provedor responsável pela guarda dos registros deverá manter sigilo em
relação ao requerimento previsto no § 2o, que perderá sua eficácia caso o pedido de autorização
judicial seja indeferido ou não tenha sido impetrado no prazo previsto no § 3o.
Subseção I I
Da Guarda de Registros de Acesso a Aplicações de I nternet
Art. 12. Na provisão de conexão, onerosa ou gratuita, éLegaltech Consultoria e Treinamento Ltda.
vedado guardar os
registros de acesso a aplicações de Internet.
terça-feira, 23 de outubro de 2012
49. Conformidade: Brasil > Marco Civil
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
50. somente poderá ser responsabilizado por danos decorrentes de conteúdo gerado por terceiros se,
após ordem judicial específica, não tomar as providências para, no âmbito do seu serviço e
Conformidade: Brasil > Marco Civil
dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente.
Parágrafo único. A ordem judicial de que trata o caput deverá conter, sob pena
de nulidade, identificação clara e específica do conteúdo apontado como infringente, que
5
permita a localização inequívoca do material.
!
Art. 16. Sempre que tiver informações de contato do usuário diretamente
responsável pelo conteúdo a que se de aplicações o Internet provedor de aplicações de Internet
Art. 13. Na provisão refere o art. 15, caberá ao é facultado guardar os registros de
de
acesso dos usuários, respeitado o disposto nojudicial.
informar-lhe sobre o cumprimento da ordem art. 7 .
§ 1o A opção por não guardar os registros de acesso a aplicações de Internet não
Seção I V
implica responsabilidade sobre danos decorrentes do uso desses serviços por terceiros.
Da Requisição Judicial de Registros
§ 2o Ordem judicial poderá obrigar, porcom o propósitoguarda de registros de
Art. 17. A parte interessada poderá, tempo certo, a de formar conjunto
acesso a aplicações de Internet, desde ou penal, em caráter incidental ou autônomo, requerer em
probatório em processo judicial cível que se tratem de registros relativos a fatos específicos ao
período determinado,responsávelfornecimento dasfornecimento submetido aode conexão ou de
juiz que ordene ao ficando o pela guarda o informações de registros disposto na Seção
IV deste Capítulo. a aplicações de Internet.
registros de acesso
§ 3o Observado o Sem prejuízo 2dos autoridade policial ou administrativa poderá
o
Parágrafo único. disposto no § , a demais requisitos legais, o requerimento
requerer cautelarmente de inadmissibilidade:
deverá conter, sob pena a guarda dos registros de aplicações de Internet, observados o
procedimento e os prazos previstos nos §§ 3o e 4o do art. 11.
I - fundados indícios da ocorrência do ilícito;
Seção I I I
Da Responsabilidade por Danos Decorrentes dedos registros solicitados para fins de
II - justificativa motivada da utilidade Conteúdo Gerado por Terceiros
investigação ou instrução probatória; e
Art. 14. O provedor de conexão à Internet não será responsabilizado por danos
decorrentes de conteúdo gerado por terceiros.
Art. 15. Salvo disposição legal em contrário, o provedor de aplicações de Internet
somente poderá ser responsabilizado por danos decorrentes de conteúdo Legaltech Consultoria e Treinamento Ltda.
gerado por terceiros se,
terça-feira, 23 de outubro de 2012 específica, não tomar as providências para, no âmbito do seu serviço e
após ordem judicial
51. Conformidade: Brasil > Marco Civil
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
52. Conformidade: Brasil > Dados Pessoais
Tratamento de dados pessoais: toda operação ou
conjunto de operações, realizadas com ou sem o auxílio
de meios automatizados, que permita a coleta,
a r m a ze n a m e n t o, o r d e n a m e n t o, c o n s e r v a ç ã o,
modificação, comparação, avaliação, organização, seleção,
extração, utilização, bloqueio e cancelamento de dados
pessoais, bem como o seu fornecimento a terceiros por
meio de transferência, comunicação ou interconexão;
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
53. Conformidade: Brasil > Dados Pessoais
Dado pessoal: qualquer informação relativa a uma
pessoa identificada ou identificável, direta ou
indiretamente, incluindo todo endereço ou número de
identificação de um terminal utilizado para conexão a
uma rede de computadores;
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
54. Conformidade: Brasil > Dados Pessoais
Art. 6. O tratamento de dados pessoais é atividade de
risco e todo aquele que, por meio do tratamento de
dados pessoais, causar a outrem dano patrimonial,
moral, individual ou coletivo, é obrigado a ressarci-lo, nos
termos da lei.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
55. Conformidade: Brasil > Dados Pessoais
Art. 24. Um conjunto de medidas mínimas de segurança
preventiva será publicado pela Autoridade de Garantia
dentro de, no máximo, um ano após a entrada em vigor
da presente lei, e atualizado periodicamente, com base
na evolução da tecnologia e na experiência adquirida.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
56. Conformidade: Brasil > Dados Pessoais
subcontratado: a pessoa jurídica contratada pelo
responsável pelo banco de dados como encarregado do
tratamento de dados pessoais;
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
57. Conformidade: Brasil > Dados Pessoais
Ar t. 25. O subcontratado deve ter experiência,
capacidade e idoneidade para garantir o respeito às
disposições vigentes em matéria de tratamento de
dados pessoais, e responderá solidariamente com o
responsável pelos prejuízos causados pela sua atividade
aos titulares dos dados.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
58. Conformidade: Brasil > Dados Pessoais
Ar t. 27. O responsável pelo tratamento deverá
comunicar à Autoridade de Garantia e aos titulares dos
dados, imediatamente, sobre o acesso indevido, perda
ou difusão acidental, seja total ou parcial, de dados
pessoais, sempre que este acesso, perda ou difusão
acarretem riscos à privacidade dos seus titulares.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
59. Conformidade: Brasil > Dados Pessoais
Proteção de dados pessoais (Art. 8o.)
Princípio da finalidade
Princípio da necessidade
Princípio do livre acesso
Princípio da porporcionalidade
Princípio da qualidade dos dados
Princípio da transparência
Princípio da segurança física e lógica
Princípio da boa-fé objetiva
Princípio da responsabilidade
Princípio da prevenção
Princípio do “consentimento revogável ou anulável” art. 9o
Princípio da vedação da captura capciosa
Princípio da proibição da interconexão não autorizada
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
62. Perspectivas Finais: Legislação
08%1#.&);"2.5#+')<==>?@A)
B%4#(#+')?)93,.*5:)
!"#$%&#'%()*+,)-.'./#'/).'$)
0%1",#'/)-+2#&%)3%4#1%()#')
56%)7'5%,8,#(%)93,.*5:)
Recommendations of the National Institute
of Standards and Technology
Legaltech Consultoria e Treinamento Ltda.
Murugiah Souppaya
terça-feira, 23 de outubro de 2012
63. Perspectivas Finais: Regulação
Privacy Office.
Art. 34. Toda entidade privada que realize o tratamento de dados pessoais para o desenvolvimento de
suas atividades e conte com mais de duzentos empregados deverá apontar um diretor responsável pelo
tratamento de dados pessoais.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
64. Perspectivas Finais: Boas práticas
Código de Boas Práticas (Prever a Forense Digital)
Art. 45. Os responsáveis pelo tratamento de dados pessoais, individualmente ou através de organizações
de classe, poderão formular códigos de boas práticas que estabeleçam as condições de organização,
regime de funcionamento, procedimentos aplicáveis, normas de segurança, padrões técnicos, obrigações
específicas para os diversos envolvidos no tratamento e no uso de dados pessoais e demais quesitos e
garantias para as pessoas, com pleno respeito aos princípios e disposições da presente lei e demais
normas referentes à proteção de dados.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
65. Perspectivas Finais: Crimes
Novo Código Penal:
Art. 209 - Acesso Indevido - Prisão seis meses a um ano, ou multa.
Art. 210 - Sabotagem Informática - Prisão de um a dois anos.
Art. 211 - Procede-se mediante queixa.
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
66. Perspectivas Finais: Por onde começar?
White Paper:
Big Data Solutions For Law Enforcement
http://ctolabs.com/wp-content/uploads/
2012/06/120627HadoopForLawEnforcement.pdf
ECPA
Modernization
http://www.wired.com/images_blogs/threatlevel/2012/08/
ECPA-Modernization-Act-of-2012.pdf
ECPA 2.0 http://thomas.loc.gov/cgi-bin/bdquery/z?d112:h.r.
6529:
Cloud Computing:
Legal Issues
http://www.isaca.org/Groups/Professional-English/cloud-
computing/GroupDocuments/DLA_Cloud%20computing
%20legal%20issues.pdf
Legaltech Consultoria e Treinamento Ltda.
terça-feira, 23 de outubro de 2012
67. Perspectivas Finais: Por onde começar?
• Standards
– ISO 17799 + ITIL
– ISO 22307 (PIA)
– ISO 27000 (minimum privilege)
• Pratices
– HIPAA
– NIST 800-144 (Guidelines on Security and Priacy in Public
Cloud Computing)
– NIST 800-53(Security and Privacy Controls for Federal
Information Systems and Organizations)
– CSA Guideline
Guide to Integrating Forensic
Techniques into Incident Response
http://csrc.nist.gov/publications/
nistpubs/800-86/SP800-86.pdf Consultoria e Treinamento Ltda.
Legaltech
terça-feira, 23 de outubro de 2012
68. OBRIGADO
Big Data Forensics: Conformidade e melhores práticas para o
tratamento de dados e investigação de incidentes
José Antonio Milagre
Diretor de Forense Digital
jose.milagre@legaltech.com.br
Twitter: @periciadigital
Legaltech
terça-feira, 23 de outubro de 2012