A Lei Geral de Proteção de Dados (LGPD) é uma lei sancionada em agosto de 2018 que regula a forma como as empresas tratam os dados de clientes, fornecedores, funcionários e demais pessoas dentro da sua organização. Como lei, ela passa a obrigar as empresas a seguir suas regulamentações e foca na proteção dos dados armazenados pelas empresas. Isso causará mudanças profundas no tratamento e segurança das informações que as empresas armazenam em suas bases.
A LGPD trata de uma série de pontos, desde a autorização expressa por parte da pessoa que tem seus dados armazenados até o controle da utilização desses dados por parte da empresa ou de terceiros.
Como forma de orientar seus clientes quanto à LGPD, a Cybersul listou algumas necessidades que devem ser consideradas para se adequar à nova legislação:
- Para evitar que a base de dados do software de gestão (ERP) possa ser copiada de forma indiscriminada, sempre a mantenha em local próprio de seu servidor, inacessível pela rede de computadores da empresa a usuários sem permissão.
- Restrinja a exportação de dados sensíveis do ERP para usuários não autorizados para tal ação. Os principais cadastros de pessoas (clientes, fornecedores, funcionários, bancos, etc) podem ser salvos através de um relatório ou mesmo de uma exportação sem o consentimento da diretoria caso medidas desse tipo não sejam tomadas.
- Mantenha contratos com empresas de Infraestrutura de TI (rede) ou contrate profissionais aptos a garantir a segurança das informações dentro da sua empresa. Isso vai manter uma mão-de-obra especializada dentro da empresa, que vai dar toda manutenção necessária a garantir as permissões de acesso em sua rede apenas para pessoas autorizadas.
- Mantenha os cadastros dos usuários do ERP atualizados, removendo usuários que não fazem mais parte do quadro de funcionários e impedindo o compartilhamento de senhas entre os usuários, assim se evita a utilização por terceiros de dados do sistema.
- Crie documentos internos de responsabilização quanto ao vazamento de dados e oriente as equipes sobre a LGPD. Termos de compromisso e termos de responsabilidade são documentos importantes que devem ser distribuídos às equipes como forma de orientá-los sobre a postura da empresa em respeito da LGPD e suas consequências quando ao uso não autorizado das informações.
- Crie regras de restrição e alçadas específicas para os módulos ou ações os quais eles terão acesso. Não disponibilize acesso à informações além das necessárias por cada usuário.
- Proíba o uso de senhas de fácil compreensão, como 123456, 11111, abcdef, seja no ERP ou na rede da empresa.
- Invista em equipamentos de segurança, como firewall e antivírus. Converse com sua equipe de Infraestrutura de TI e rede sobre a adoção de equipamentos de firewall e como ele ajuda a evitar o acesso não autorizado em sua rede por meio da internet, bem como a instalação de antivírus confiável.
- Em caso de armazenamento do ERP em nuvem, opte por servidores dentro do território nacional e que mantenham equipes de segurança aptas para prestar os serviços dentro das exigências da LGPD. Manutenção, restrição de acesso à usuários e criação de regras de segurança, assim como, trocas periódicas de senhas, devem ser implementadas.
- Contrate uma auditoria de segurança para avaliar os riscos existentes na empresa e como corrigi-los e adequá-la a LGPD. A LGPD não é apenas referente ao ERP, ela é referente a toda organização, por isso a importância de se avaliar a empresa como um todo e solucionar os problemas relacionados à segurança.
- Não compartilhe dados de clientes, fornecedores ou funcionários com outras empresas e/ou parceiros. Apesar de permitido em algumas situações bem específicas, pegue orientação com sua auditoria antes de extrair, tratar ou distribuir quaisquer informações de dentro da empresa.
- Crie e utilize relatórios de forma consciente. Informações em papel também fazer parte da LGPD e precisam ter sua segurança garantida.
- Comunique seus clientes ou fornecedores sempre que houver necessidade de cadastros ou atualização de seus dados e esclareça qual o motivo específico para tal. Jamais faça uso de dados adquiridos de terceiros sem ter a procedência verificada.