Aplazamiento de la GDPR en Brasil y como hacer para que las PYMEs no paguen multa: DigiCert
Ciudad de México, mayo 2020.- Una medida provisional emitida a fines de abril cambió la fecha de entrada en vigor de la Ley General de Protección de Datos (LGPD), en Brasil, cuyo objetivo es proteger los datos de todos los brasileños. Ahora las empresas tienen hasta mayo de 2021 para ajustarse. El reglamento ayudará a los usuarios a comprender por qué necesitan proporcionar cierta información personal, cómo se utilizará y quién tendrá acceso, otorgando a todos el derecho de controlarla y protegerla.
Las violaciones que provocan la fuga de datos causan daños irreparables a la reputación de las empresas, además de generar costos adicionales para el personal de TI y los abogados. Las empresas que infringen la ley pueden recibir una multa de hasta el 2% de los ingresos de la empresa, con un límite máximo de R $ 50 millones por una infracción.
Los bancos y las grandes cadenas minoristas han comenzado a adaptarse. Sin embargo, muchas pymes aún no han progresado en la creación de procesos de seguridad de la información, documentando reglas internas para el procesamiento de datos, desarrollando mecanismos de gestión de riesgos y otras iniciativas necesarias para lidiar con la legislación.
Una de las mejores formas para que las pequeñas y medianas empresas (PyMEs) comiencen el proceso de ajuste es revisar cómo están usando y protegiendo la información de sus clientes sobre la marcha. Esto les dará a los consumidores y reguladores más confianza, ya que muestra que están tomando las medidas fundamentales para proteger a su público. Este es un momento de oportunidad para que las empresas modernicen sus sistemas de seguridad, lo que se puede hacer en 3 pasos:
1. Revise su infraestructura de certificado digital
TLS (Transport Layer Security) es una tecnología que protege los datos enviados entre dos sistemas, evitando que los delincuentes lean y modifiquen cualquier información, incluidos los datos personales. Asegúrese de que la plataforma de su empresa le permita solicitar y administrar certificados TLS / SSL públicos para dominios públicos y privados para dominios, sistemas, hosts y puntos finales internos.
2. Preste atención a los certificados y la integración de procesos.
Invierta en certificados de cliente para la firma y el cifrado de correo electrónico, así como la autenticación de usuarios y dispositivos. Considere las soluciones que utilizan un agente que puede implementarse tanto externa como internamente para crear un inventario de todos sus certificados, asegurando que escaneará su red en busca de vulnerabilidades relacionadas con ellos y configuraciones de punto final.
Recuerde que su API (interfaz de programación de aplicaciones) debe permitir la integración completa del proceso, automatizar el aprovisionamiento, la administración y personalizar las soluciones para satisfacer sus necesidades, ya que esto ayudará a mantener todos los datos actualizados. Es importante que las PYMEs busquen herramientas que colaboren para crear un entorno de transferencia seguro que permita la trazabilidad precisa de la información.
3. Elija la compañía correcta de Autoridad de Certificación (CA)
En lugar de optar por el más barato, considere lo caro que es para un proveedor que puede decepcionarlo cuando más lo necesita. Asegúrese de que el proveedor tenga una buena reputación, verifique su lista de clientes, cómo se realiza el servicio al cliente y las herramientas de CA disponibles, como el administrador centralizado de certificados multitarea. Idealmente, debería tener mucha experiencia en el mercado y seguir las mejores prácticas recomendadas. La compañía perfecta de la Autoridad de Certificación debe ser un experto en su campo y apoyar a sus socios, ayudándoles a proteger sus datos y los de sus clientes.
Los cambios propuestos por la LGPD serán positivos no solo para los usuarios, sino también para las PYMEs a medio y largo plazo. Esta es una oportunidad para que las empresas brasileñas refinen sus mecanismos de protección de la información, además del uso estratégico y apropiado de sus propios datos.