Em nosso mundo hiperconectado, a segurança de dados e a segurança cibernética tornaram-se preocupações fundamentais para organizações de todos os tamanhos e em todos os setores. Os governos de todo o mundo reagiram implementando regulamentações para proteger informações confidenciais e combater ameaças cibernéticas. Tanto é assim que está se tornando um pouco difícil acompanhar todas elas!
Neste artigo, exploraremos uma lista selecionada de algumas das principais regulamentações de proteção de dados, estruturas de segurança cibernética e padrões de segurança de dados específicos do setor de diferentes partes do mundo.
Desde o GDPR de amplo alcance na Europa até o HIPAA específico do setor nos Estados Unidos, reunimos uma lista fácil de entender com descrições que garantirão que você tenha o conhecimento necessário para navegar no complexo mundo da proteção de dados.
Vamos direto ao assunto:
Nome completo: Regulamento Geral de Proteção de Dados
Escopo: Todas as organizações em todo o mundo que processam os dados pessoais de residentes da UE.
Descrição: O GDPR é o regulamento de proteção de dados pessoais mais rigoroso e complexo do mundo. As empresas são obrigadas a proteger os dados pessoais dos cidadãos da UE e não podem coletá-los ou processá-los sem o consentimento deles.
Leia mais sobre a conformidade com o GDPR ->
Nome completo: Lei de Privacidade do Consumidor da Califórnia
Escopo: A CCPA tem como alvo principal as empresas de médio e grande porte que operam na Califórnia, independentemente de onde a empresa esteja localizada. Avaliar se uma empresa atende aos requisitos para "operar na Califórnia" não é uma tarefa fácil. Leia sobre os critérios
Descrição: A CCPA é a primeira lei abrangente de privacidade do consumidor nos Estados Unidos. Ela dá aos consumidores o direito de saber quais informações pessoais estão sendo coletadas, o direito de ter essas informações excluídas e o direito de optar por não vender seus dados confidenciais.
Em 1º de janeiro de 2023, a Lei de Direitos de Privacidade da Califórnia de 2020 (CPRA) expandiu a CCPA, permitindo que os consumidores impeçam as empresas de compartilhar seus dados pessoais, corrijam dados imprecisos e limitem o uso de "informações pessoais confidenciais" pelas empresas. A lei estabeleceu a Agência de Proteção à Privacidade da Califórnia.
Leia mais sobre a conformidade com a CCPA ->
A PIPEDA poderá ser substituída em breve pela Lei de Proteção à Privacidade do Consumidor (CPPA) - em junho de 2023, ela foi aprovada em segunda leitura na Câmara dos Comuns.
Nome completo: Lei de Proteção de Informações Pessoais e Documentos Eletrônicos
Escopo: Organizações que operam no Canadá ou organizações localizadas fora do Canadá que usam informações pessoais em conexão com atividades comerciais no Canadá.
Descrição: A PIPEDA é uma lei de privacidade do Canadá que estabelece regras para a coleta, o uso e a divulgação de informações pessoais em atividades comerciais. Ela se aplica a organizações do setor privado durante atividades comerciais com fins lucrativos.
Nome completo: Lei de Proteção de Dados
Escopo: Organizações, inclusive governamentais e sem fins lucrativos, que processam dados pessoais no Reino Unido.
Descrição: A Lei de Proteção de Dados de 2018 incorpora os princípios do GDPR e estabelece vários direitos e responsabilidades em relação aos dados pessoais. Ela exige que as organizações implementem medidas técnicas e organizacionais adequadas para proteger os dados pessoais.
Escopo: Órgãos do governo australiano, empresas e organizações sem fins lucrativos com um determinado volume de negócios anual, mas também organizações menores em determinadas circunstâncias, como prestadores de serviços de saúde do setor privado, órgãos de relatórios de crédito e outros.
Descrição: A Lei de Privacidade é a principal legislação de proteção de dados da Austrália. Seu principal objetivo é proteger a privacidade dos indivíduos e garantir que suas informações pessoais sejam tratadas de forma justa e transparente e que as organizações tomem medidas razoáveis para manter os dados seguros.
Nome completo: Lei de Proteção de Informações Pessoais
Escopo: Todas as entidades, públicas ou privadas, domiciliadas na África do Sul ou não domiciliadas na África do Sul, mas que processam informações pessoais na África do Sul, estão sob o escopo da POPIA.
Descrição: O objetivo da POPIA é proteger os dados pessoais contra roubo, uso indevido e ações maliciosas. A POPIA descreve as condições sob as quais qualquer pessoa ou organização pode processar legalmente informações confidenciais.
Leia mais sobre a conformidade com a POPIA ->
Os estados-membros da UE têm até setembro de 2024 para implementar os requisitos da NIS2 em suas legislações nacionais.
Nome completo: Diretiva de Segurança de Redes e Informações
Escopo: Todas as organizações que operam em setores e indústrias "essenciais" e "importantes" especificados, incluindo seus provedores de serviços digitais, estão sob o escopo da NIS2.
Descrição: A NIS foi introduzida em 2016 como a primeira diretiva de segurança cibernética da UE. O objetivo da NIS2 atualizada é criar um nível padrão de proteção em toda a UE, implementando requisitos e medidas de segurança cibernética em todos os estados membros da UE. Ela lista os setores afetados, identifica os requisitos de segurança, unifica as obrigações de relatório e introduz medidas de aplicação e sanções.
Tudo isso tem o objetivo de proteger a infraestrutura essencial e os cidadãos da UE contra ataques cibernéticos.
Leia mais sobre a conformidade com a NIS2 ->
Nome completo: Regulamento (UE) 2019/881
Escopo: Estados membros da UE, ENISA, órgãos de certificação e organizações e empresas que desenvolvem, fabricam ou fornecem produtos e serviços de TIC na UE.
Descrição: A Lei de Segurança Cibernética da UE confere à Agência da União Europeia para Segurança Cibernética (ENISA) um mandato permanente e estabelece uma estrutura de certificação para produtos e serviços de TIC para garantir sua confiabilidade. Ela promove a cooperação entre os estados-membros da UE para aprimorar as práticas de segurança cibernética e o compartilhamento de informações.
A implementação completa foi adiada e está prevista para 2025.
Nome completo: Cybersecurity Maturity Model Certification
Escopo: Todos os contratados e subcontratados do Departamento de Defesa dos EUA (DoD).
Descrição: O CMMC é uma estrutura lançada pelo DoD para proteger contra ataques cibernéticos as informações não classificadas controladas que ele compartilha com seus contratados e subcontratados.
Leia mais sobre a conformidade com o CMMC ->
Nome completo: Health Insurance Portability and Accountability Act (Lei de Portabilidade e Responsabilidade de Seguros de Saúde)
Setor: Saúde
Escopo: Prestadores de serviços de saúde envolvidos no setor de saúde nos EUA e seus associados comerciais terceirizados que têm acesso a informações de saúde protegidas.
Descrição: O principal objetivo da HIPAA é estabelecer padrões nacionais para a troca eletrônica de informações de saúde e proteger a confidencialidade dos pacientes. Seu objetivo é manter a privacidade e a segurança das informações pessoais de saúde e, ao mesmo tempo, permitir a troca eficiente e segura de dados médicos.
Leia mais sobre a conformidade com a HIPAA ->
Nome completo: Padrão de segurança de dados do setor de cartões de pagamento
Setor: Finanças
Escopo: O PCI DSS aplica-se globalmente a todas as entidades que processam, transmitem ou armazenam dados do titular do cartão.
Descrição: O PCI DSS é um conjunto de regras e processos projetados para proteger os dados confidenciais dos titulares de cartões contra violações de dados e fraudes. Ele informa aos comerciantes como lidar com as informações de cartão de pagamento de seus clientes de forma segura e protegida, para que não caiam em mãos erradas.
Leia mais sobre a conformidade com o PCI DSS ->
O DORA está atualmente em seu período de preparação de 24 meses e se tornará obrigatório em janeiro de 2025.
Nome completo: Lei de Resiliência Operacional Digital
Setor: Finanças
Escopo: O DORA se aplica a entidades financeiras envolvidas no sistema financeiro da UE e aos provedores de serviços de TIC que as apóiam. Isso vale até mesmo para empresas sediadas fora da UE.
Descrição: O objetivo do DORA é fortalecer a resiliência digital na União Europeia. Ele cria um conjunto de regras para lidar com os riscos associados à ICT no setor financeiro. Ao fazer isso, ele harmonizará os esforços de segurança de dados nos estados-membros da UE.
Leia mais sobre a conformidade com o DORA ->
Nome completo: Lei Gramm-Leach-Bliley
Setor: Finanças
Escopo: A Lei Gramm-Leach-Bliley se aplica a uma ampla gama de instituições financeiras nos EUA.
Descrição: A Lei Gramm-Leach-Bliley é uma lei dos EUA que rege o manuseio de informações pessoais não públicas por bancos e instituições financeiras, seguradoras e prestadores de serviços financeiros. Um dos principais componentes é a Regra de Privacidade, que exige que as instituições financeiras forneçam aos clientes avisos de privacidade claros e concisos que expliquem as práticas de compartilhamento de informações da instituição.
Nome completo: Trusted Information Security Assessment Exchange
Escopo: A certificação TISAX é exigida para todas as organizações que fazem negócios com a maioria dos principais participantes do setor automotivo alemão.
Descrição: O TISAX foi desenvolvido pela Associação Alemã da Indústria Automotiva (VDA) e fornece um processo comum de avaliação e intercâmbio, garantindo um alto nível de segurança e confidencialidade dos dados na cadeia de suprimentos automotiva.
Leia mais sobre a conformidade com o TISAX ->
Com Safetica, é fácil estar em conformidade com vários requisitos regulamentares. A solução identifica e classifica seus dados confidenciais e garante que eles sejam protegidos contra uso indevido e violações. Safetica permite que você configure suas políticas de segurança, para que possa restringir o acesso aos seus arquivos confidenciais. Você também pode realizar auditorias de segurança para ver o status da segurança dos dados em sua organização. E, caso haja uma ameaça à segurança, você será notificado em tempo real.
Vamos discutir suas necessidades de segurança de dados