Tdc 2020-poa-data-protection-full-stack

Douglas Siviotti
Douglas SiviottiArteSoftware
Data Protection Full Stack Um Roadmap para o Desenvolvedor na Área de Proteção de Dados DÉBORA MODESTO & DOUGLAS SIVIOTTI Porto Alegre, Dezembro de 2020
Sobre DOUGLAS SIVIOTTI DÉBORA MODESTO Analista de sistemas com especialização em engenharia de software pela Universidade Federal do Rio Grande do Sul. Atua com desenvolvimento há mais de 20 anos e é arquiteto e software do SERPRO desde 2005. Nos últimos anos atua especialmente com arquitetura, qualidade de software, segurança e proteção de dados (LGPD), sendo um dos criadores do "guia de desenvolvimento confiável" do SERPRO. Autor do blog ArteSoftware.com.br Mestre em Informática pela Universidade Federal do Estado do Rio de Janeiro. Atua desde 2010 no Serviço Federal de Processamento de Dados (SERPRO). Gerente de projetos, vivenciando todas as dores e alegrias de uma equipe de desenvolvimento no contexto da empresa pública e agora, lidando com a proteção de dados em seus projetos. Autora do blog ArteSoftware.com.br Desenvolvedor Dev Implementação Arquitetura & Design Requisitos DevOps
Escopo: P&PD* no Desenvolvimento *Privacidade e Proteção de Dados Parte 1 Áreas de conhecimento estruturantes para proteção de dados Parte 2 Foco em novas atividades para o desenvolvedor Destaque para atividades já conhecidas Parte 3 Um Roadmap com os principais conceitos (amostragem)
Áreas de Conhecimento em P&PD
Computação Negócio Eixos de Conhecimento Software Tradicional Computação - Programação - Redes/Infra - Banco de Dados - Segurança Negócio - Parte Específica - Usuário/Titular - Sistemas e Softwares Software Tradicional
Computação Estatística Negócio Eixos de Conhecimento Ciência de Dados Ciência de Dados Pesquisa Tradicional Software Tradicional Aprendizado de Máquina
Segurança & TI / Infra Negócio & Sistemas / UX Eixos de Conhecimento Segurança/TI Tradicional Segurança - ISO 27001, padrões - Redes, Nuvem, Infra - DAST, SAST, Ameaças - Superfície de Ataque Negócio - Continuidade, Resposta - Autenticação / Autorização - Segregação, Perfis de acesso Risco & Resposta
Três Eixos da Proteção de Dados Jurídico - LGPD, GDPR etc - Marco Civil da Internet - Legislação Específica - Direitos do Titular Negócio - Contratos e Responsabilidades - Controlador ou Operador - Interesses Legítimos Segurança & TI / Infra Jurídico Negócio & Sistemas / UX Proteção de Dados Pessoais Privacidade Risco & Resposta Compliance
Segurança & TI / Infra Jurídico Negócio & Sistemas / UX Quarta Área Governança / Processos Proteção de Dados Pessoais - Privacidade By Design - Processos de Desenv. - Processos de Segurança - Governança de Dados - Políticas Corporativas - Capacitação/Sensibilização - Relacionamento com - Titulares - Entes Regulatórios Privacidade Risco & Resposta Compliance Governança Processos
Eixos (Práticas) Quarta Área Práticas x Políticas Governança (Políticas) DAST / SAST Quando executar? Quem? Resposta ao Titular Prazo, Responsáveis, Formato Gestão de Riscos Papéis envolvidos, formato, divulgação
Segurança Áreas de Conhecimento Do Desenvolvedor Governança (Políticas) Desenvolvedor Jurídico Negócio
Atividades além do DevSecOps
DevOps Etapas
DevSecOps DevOps + Segurança https://www.primecontrol.com.br/engenharia-de-qualidade-devops/
DevSecOps Atividades de Segurança https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Response Detect Monitor Threat Intelligence Log Audit Recover
DevSecOps + Privacidade Atividades Expandidas https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Recover Response Detect Monitor Threat Intelligence Log Audit Atividade expandida para privacidade (e.g. ISO 27.701) Legenda Atividade compartilhada entre Seg. e Privacidade
DevSecOps + Privacidade Expandidas + Específicas https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Recover Response Detect Monitor Threat Intelligence Log Audit Atividade expandida para privacidade (e.g. ISO 27.701) Teste de Privacidade Embasamento Prestação de Contas (Direitos do Titular) Adequação Metamodelagem Anonimização Minimização Assessmenent Descontinuidade Legenda Atividades de Específicas de Privacidade/PD
DevSecOps + Privacidade Atividades de Privacidade/PD Teste de Privacidade Embasamento Prestação de Contas (Direitos do Titular) Validação de Conformidade Modelagem de Ameaças Log Auditoria AdequaçãoMetamodelagem Anonimização Minimização Assessmenent Descontinuidade Políticas
Embasamento Finalidades e Bases Legais Embasamento RequisitosNegócio
Bases Legais Embasamento RequisitosNegócio Dados Pessoais Art. 7 Dados P. Sensíveis Art. 11 Poder Público Art. 23 Marco Civil da Internet Outras Legislações LAI Lei de Acesso a Informação Hipóteses Legais LGPD Base Legal Empresa Pública Provedor de Internet Órgão Público Empresa Privada Base legal não é um conceito da LGPD
Avaliação do Processo de Negócio Assessment Tratamento 1 Tratamento 2 Tratamento 3 Registro de Atividades de Tratamentos (RoPA*) Análise dos Processos de Negócio (PN) da Organização Assessment RIPD (DPIA) Multidisciplinar PN
Avaliação do Processo de Negócio Assessment Multidisciplinar Tratamento Origem Forma de Entrada Período Prorrogação Embasamento Utilização Derivação Ampliação Subconjunto Destinos Jurisdição Motivação Estratégia Auditoria
Avaliação do Processo de Negócio Assessment RequisitosDesignNegócio OperadorControlador Ambientes de Nuvem Decisões Bancos de Dados Bancos de Dados - Toma decisões - Define a finalidade - Define a base legal - Define meios essenciais - Define os dados pessoais - Define retenção e exclusão - Define compartilhamento - É um papel opcional - Não precisa de contrato formal (GDPR sim) - Mantém registros de tratamentos (art. 37) - Realiza tratamento sob instruções - Pode ser responsabilizado - Define meios não essenciais (tecnologia, ferramentas, linguagens, seg. etc) Log
Classificação de Metadados Metamodelagem Requisitos Dados Pessoais Sensíveis Dados Pessoais de Crianças e Adolescentes Dados Pessoais Dados não pessoais Dados Anonimizados Dados Pseudonimizados
Dados Viram Não Pessoais Anonimização RequisitosImplementação 2 1 3 4 Pseudonimização AnonimizaçãoSubconjunto (dados ainda pessoais)
Usando Somente o Necessário Minimização Cliente Solicita Dev SoftwareImplementa Requisitos Negócio RequisitoDados Minimização Dados Dados Jurídico Banco de Dados AD/DBA Projeta Administra Feedback Minimização Feedback Mundo Real: Software em Produção
Teste de Software e de Requisitos Teste de Privacidade Testes Testador Software Teste Registro Defeito (não é Bug) Testador Teste Registro Inadequação (não é defeito) Requisitos Guia / Plano Requisitos Software LGPD GDPR etc Guia / Plano
“Correção” das Inadequações Adequação A. Requisito Implementador Adequação Testador Teste Registro Inadequação (não é defeito) Requisitos Software LGPD GDPR etc Guia / Plano ImplementaçãoRequisitos
Accountability Prestação de Contas DevOps 1 – Confirmação de existência 2 – Acesso aos dados 3 – Correção dos dados 4 – Decisão sobre desconformidades* 5 – Portabilidade 6 – Eliminação se consentido 7 – Info. sobre compartilhamentos 8 – Consequências de não consentir 9 – Revogar consentimento Registro de Atividades de Tratamentos (RoPA*) Gestão de Consentimento Relacionamento com Titular Solução de Acesso às Informações (Automatização) * Registy of Processing Activities (GDPR)
Limpeza criteriosa Descontinuidade DevOps Software Banco de Dados - É necessário reter os dados por questões legais? - Os dados podem ser reusados em outro software? - Posso anonimizar e gerar outra base de conhecimento? - Responsáveis definidos (a equipe pode não existir mais) - Custo, backup e continuidade foram previstos?
Novas práticas e necessidades DevOps Atividades Expandidas Validação de Conformidade Modelagem de Ameaças Log AuditoriaPolíticas Casos de Abuso de Privacidade Registro de Tratamentos Prestação de Contas Conformidade com LGPD, GDPR etc Pol. de Privacidade Termos de Uso
Um possível Roadmap
Segurança Proteção de Dados Trilha de Conhecimento Recomendada Governança (Políticas) Desenvolvedor Jurídico Negócio
Segurança Proteção de Dados Trilha de Conhecimento Recomendada Governança (Políticas) Desenvolvedor Jurídico Negócio Certificações DPO
f Finalidades Bases Legais Tratamentos Metamodelagem Minimização Anonimização Ciclo de Vida ... Relacionamento com Titular UX / Cookies Privacidade By Design LGPD GDPR ISO 27.701 Governança de Dados Plataformas e Ferramentas Gestão de Risco Marco Civil OWASP Log e Auditoria Criptografia TLS, SSH, etc Segurança Jurídico Negócio Governança Normas Técnicas
Nossos Contatos DÉBORA MODESTO DOUGLAS SIVIOTTI /modestodebora deb.modesto@gmail.com /douglas-siviotti douglas.siviotti@gmail.com facebook.com/ artesoftware.com.br artesoftware.com.brinstagram.com/ artesoftware
1 de 36

Tdc 2020-poa-data-protection-full-stack

Baixar para ler offline
Software

Apresentação sobre conhecimentos da área de proteção de dados e LGPD

Douglas Siviotti
Douglas SiviottiArteSoftware

Recomendados

Privacidade By Design no Ciclo de Vida do Produto por
Privacidade By Design no Ciclo de Vida do ProdutoPrivacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoDouglas Siviotti
266 visualizações32 slides
Privacidade By Design por
Privacidade By DesignPrivacidade By Design
Privacidade By DesignDouglas Siviotti
775 visualizações35 slides
Arquitetando seus dados na prática para a LGPD - Alessandra Martins por
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsiMasters
3.3K visualizações30 slides
Como o SERPRO Atende os Direitos dos Titulares por
Como o SERPRO Atende os Direitos dos TitularesComo o SERPRO Atende os Direitos dos Titulares
Como o SERPRO Atende os Direitos dos TitularesDouglas Siviotti
190 visualizações23 slides
TDC Future 2021 - Privacy After Design por
TDC Future 2021 - Privacy After DesignTDC Future 2021 - Privacy After Design
TDC Future 2021 - Privacy After DesignDouglas Siviotti
165 visualizações38 slides
TDC Connections 2021 Artigo 37 da LGPD por
TDC Connections 2021 Artigo 37 da LGPDTDC Connections 2021 Artigo 37 da LGPD
TDC Connections 2021 Artigo 37 da LGPDDouglas Siviotti
116 visualizações44 slides

Mais conteúdo relacionado

Mais procurados

LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE... por
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
354 visualizações29 slides
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas por
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentasGustavo Lichti Mendonça
291 visualizações31 slides
Proderj lgpd f nery 24jun2019 por
Proderj lgpd f nery 24jun2019Proderj lgpd f nery 24jun2019
Proderj lgpd f nery 24jun2019Fernando Nery
761 visualizações21 slides
LGPD Lei Geral de Proteção de Dados Pessoais por
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisDouglas Siviotti
5.6K visualizações43 slides
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D... por
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...Wellington Monaco
1.3K visualizações30 slides
LGPD - Lei Geral de Protecao de Dados Pessoais por
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisEliézer Zarpelão
981 visualizações34 slides

Mais procurados(18)

LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE... por Wellington Monaco
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
Wellington Monaco354 visualizações
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas por Gustavo Lichti Mendonça
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
2019 04-25 - ciclo de desenvolvimento seguro pessoas processos ferramentas
Gustavo Lichti Mendonça291 visualizações
Proderj lgpd f nery 24jun2019 por Fernando Nery
Proderj lgpd f nery 24jun2019Proderj lgpd f nery 24jun2019
Proderj lgpd f nery 24jun2019
Fernando Nery761 visualizações
LGPD Lei Geral de Proteção de Dados Pessoais por Douglas Siviotti
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
Douglas Siviotti5.6K visualizações
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D... por Wellington Monaco
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
LGPD | FASE-4: GOVERNANÇA | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO D...
Wellington Monaco1.3K visualizações
LGPD - Lei Geral de Protecao de Dados Pessoais por Eliézer Zarpelão
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados Pessoais
Eliézer Zarpelão981 visualizações
tdc-recife-2020-lgpd-para-desenvolvedores por Douglas Siviotti
tdc-recife-2020-lgpd-para-desenvolvedorestdc-recife-2020-lgpd-para-desenvolvedores
tdc-recife-2020-lgpd-para-desenvolvedores
Douglas Siviotti126 visualizações
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ... por André Ribeiro
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
André Ribeiro222 visualizações
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais por Rosalia Ometto
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Rosalia Ometto391 visualizações
LGPD | CICLO DE PALESTRAS por Wellington Monaco
LGPD | CICLO DE PALESTRASLGPD | CICLO DE PALESTRAS
LGPD | CICLO DE PALESTRAS
Wellington Monaco308 visualizações
Harvard Business Review - LGPD por Thiago Santiago
Harvard Business Review - LGPDHarvard Business Review - LGPD
Harvard Business Review - LGPD
Thiago Santiago296 visualizações
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa por Graziela Brandão
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaO que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
Graziela Brandão290 visualizações
Workshop (LGPD) por Marcos Aurelio Paixao
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)
Marcos Aurelio Paixao234 visualizações
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST... por Wellington Monaco
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
LGPD | FASE-3: DEFINIÇÃO E IMPLEMENTAÇÃO | JORNADA DE ADEQUAÇÃO | SGPD - SIST...
Wellington Monaco1K visualizações
Lei Geral de Proteção de Dados (LGPD) por Ed Oliveira
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
Ed Oliveira2.5K visualizações
IT2S Group por Gustavo Sana
IT2S GroupIT2S Group
IT2S Group
Gustavo Sana17 visualizações
Guia de Conformidade - LGPD por Ezequiel Brito
Guia de Conformidade - LGPDGuia de Conformidade - LGPD
Guia de Conformidade - LGPD
Ezequiel Brito569 visualizações
Slides PDPP curso oficial Exin - Formação DPO por Adriano Martins Antonio
Slides PDPP curso oficial Exin - Formação DPOSlides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPO
Adriano Martins Antonio195 visualizações

Similar a Tdc 2020-poa-data-protection-full-stack

TDC Recife 2020 - LGPD para Desenvolvedores por
TDC Recife 2020 - LGPD para DesenvolvedoresTDC Recife 2020 - LGPD para Desenvolvedores
TDC Recife 2020 - LGPD para DesenvolvedoresDebora Modesto
91 visualizações36 slides
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat... por
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...ssuser4cf889
4 visualizações25 slides
Você está preparado para o GDPR? por
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?Centus Consultoria
192 visualizações43 slides
tdc-2022-poa-quem-tem-medo-low-code.pdf por
tdc-2022-poa-quem-tem-medo-low-code.pdftdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdfDouglas Siviotti
79 visualizações29 slides
A01 sistemas de informações gerenciais apresentação por
A01 sistemas de informações gerenciais apresentaçãoA01 sistemas de informações gerenciais apresentação
A01 sistemas de informações gerenciais apresentaçãoLetícia Reis Rodrigues
520 visualizações31 slides
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ... por
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...tdc-globalcode
366 visualizações22 slides

Similar a Tdc 2020-poa-data-protection-full-stack(20)

TDC Recife 2020 - LGPD para Desenvolvedores por Debora Modesto
TDC Recife 2020 - LGPD para DesenvolvedoresTDC Recife 2020 - LGPD para Desenvolvedores
TDC Recife 2020 - LGPD para Desenvolvedores
Debora Modesto91 visualizações
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat... por ssuser4cf889
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
ssuser4cf8894 visualizações
Você está preparado para o GDPR? por Centus Consultoria
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?
Centus Consultoria192 visualizações
tdc-2022-poa-quem-tem-medo-low-code.pdf por Douglas Siviotti
tdc-2022-poa-quem-tem-medo-low-code.pdftdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdf
Douglas Siviotti79 visualizações
A01 sistemas de informações gerenciais apresentação por Letícia Reis Rodrigues
A01 sistemas de informações gerenciais apresentaçãoA01 sistemas de informações gerenciais apresentação
A01 sistemas de informações gerenciais apresentação
Letícia Reis Rodrigues520 visualizações
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ... por tdc-globalcode
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...
tdc-globalcode366 visualizações
Projetos de software alem da tecnologia por Roberto Brandini
Projetos de software alem da tecnologiaProjetos de software alem da tecnologia
Projetos de software alem da tecnologia
Roberto Brandini608 visualizações
Jornada IBM rumo à GDPR.pptx por Cristian129328
Jornada IBM rumo à GDPR.pptxJornada IBM rumo à GDPR.pptx
Jornada IBM rumo à GDPR.pptx
Cristian1293283 visualizações
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web por Eduardo Lanna
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Eduardo Lanna1.4K visualizações
Analise de Requisitos Software por Rildo (@rildosan) Santos
Analise de Requisitos SoftwareAnalise de Requisitos Software
Analise de Requisitos Software
Rildo (@rildosan) Santos69.3K visualizações
Informatica por Lucas Dos Santos
InformaticaInformatica
Informatica
Lucas Dos Santos247 visualizações
MERCADO DE TI.pdf por Vagner Oliveira
MERCADO DE TI.pdfMERCADO DE TI.pdf
MERCADO DE TI.pdf
Vagner Oliveira10 visualizações
Engenharia de Software 100% Agil (SCRUM, FDD e XP) por Rildo (@rildosan) Santos
Engenharia de Software 100% Agil (SCRUM, FDD e XP)Engenharia de Software 100% Agil (SCRUM, FDD e XP)
Engenharia de Software 100% Agil (SCRUM, FDD e XP)
Rildo (@rildosan) Santos13.2K visualizações
Outsourcing por Inovy IT Solutions
OutsourcingOutsourcing
Outsourcing
Inovy IT Solutions406 visualizações
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docx por PauloFilho489457
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docxApresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
PauloFilho48945733 visualizações
Currículo online por Eliel Genilhu
Currículo onlineCurrículo online
Currículo online
Eliel Genilhu6.1K visualizações
Banco de Dados - Conceitos Básicos por Adriano Leite da Silva
Banco de Dados - Conceitos BásicosBanco de Dados - Conceitos Básicos
Banco de Dados - Conceitos Básicos
Adriano Leite da Silva15.1K visualizações
Ciencia de dados na pratica, com transparencia e produtividade por John Lemos Forman
Ciencia de dados na pratica, com transparencia e produtividadeCiencia de dados na pratica, com transparencia e produtividade
Ciencia de dados na pratica, com transparencia e produtividade
John Lemos Forman218 visualizações
Apresentação Executiva S2it por S2it Solutions Consultoria Ltda
Apresentação Executiva S2itApresentação Executiva S2it
Apresentação Executiva S2it
S2it Solutions Consultoria Ltda2K visualizações
Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ... por Erika Ragghiante B Pavao
Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ... Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ...
Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ...
Erika Ragghiante B Pavao55 visualizações

Mais de Douglas Siviotti

tdc-2023-bh-ciclomatica-ou-cognitiva.pdf por
tdc-2023-bh-ciclomatica-ou-cognitiva.pdftdc-2023-bh-ciclomatica-ou-cognitiva.pdf
tdc-2023-bh-ciclomatica-ou-cognitiva.pdfDouglas Siviotti
8 visualizações46 slides
tdc-2022-poa-lgpd-metaverso.pdf por
tdc-2022-poa-lgpd-metaverso.pdftdc-2022-poa-lgpd-metaverso.pdf
tdc-2022-poa-lgpd-metaverso.pdfDouglas Siviotti
18 visualizações32 slides
TDC Connections 2021 Clausula de Guarda por
TDC Connections 2021 Clausula de GuardaTDC Connections 2021 Clausula de Guarda
TDC Connections 2021 Clausula de GuardaDouglas Siviotti
178 visualizações46 slides
Tdc 2021-innovation-lgpd-dados-pessoais por
Tdc 2021-innovation-lgpd-dados-pessoaisTdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoaisDouglas Siviotti
149 visualizações32 slides
Artesoftware Explicando LGPD por
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPDDouglas Siviotti
677 visualizações115 slides
tdc-2020-poa-pedra-tesoura-papel por
tdc-2020-poa-pedra-tesoura-papeltdc-2020-poa-pedra-tesoura-papel
tdc-2020-poa-pedra-tesoura-papelDouglas Siviotti
115 visualizações41 slides

Mais de Douglas Siviotti(13)

tdc-2023-bh-ciclomatica-ou-cognitiva.pdf por Douglas Siviotti
tdc-2023-bh-ciclomatica-ou-cognitiva.pdftdc-2023-bh-ciclomatica-ou-cognitiva.pdf
tdc-2023-bh-ciclomatica-ou-cognitiva.pdf
Douglas Siviotti8 visualizações
tdc-2022-poa-lgpd-metaverso.pdf por Douglas Siviotti
tdc-2022-poa-lgpd-metaverso.pdftdc-2022-poa-lgpd-metaverso.pdf
tdc-2022-poa-lgpd-metaverso.pdf
Douglas Siviotti18 visualizações
TDC Connections 2021 Clausula de Guarda por Douglas Siviotti
TDC Connections 2021 Clausula de GuardaTDC Connections 2021 Clausula de Guarda
TDC Connections 2021 Clausula de Guarda
Douglas Siviotti178 visualizações
Tdc 2021-innovation-lgpd-dados-pessoais por Douglas Siviotti
Tdc 2021-innovation-lgpd-dados-pessoaisTdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoais
Douglas Siviotti149 visualizações
Artesoftware Explicando LGPD por Douglas Siviotti
Artesoftware Explicando LGPDArtesoftware Explicando LGPD
Artesoftware Explicando LGPD
Douglas Siviotti677 visualizações
tdc-2020-poa-pedra-tesoura-papel por Douglas Siviotti
tdc-2020-poa-pedra-tesoura-papeltdc-2020-poa-pedra-tesoura-papel
tdc-2020-poa-pedra-tesoura-papel
Douglas Siviotti115 visualizações
tdc-recife-2020-complexidade-cognitiva por Douglas Siviotti
tdc-recife-2020-complexidade-cognitivatdc-recife-2020-complexidade-cognitiva
tdc-recife-2020-complexidade-cognitiva
Douglas Siviotti323 visualizações
clean code por Douglas Siviotti
clean codeclean code
clean code
Douglas Siviotti1.1K visualizações
Clean Code na Prática por Douglas Siviotti
Clean Code na PráticaClean Code na Prática
Clean Code na Prática
Douglas Siviotti1K visualizações
Complexidade Cognitiva por Douglas Siviotti
Complexidade CognitivaComplexidade Cognitiva
Complexidade Cognitiva
Douglas Siviotti3.6K visualizações
Negócio Escrito em Código por Douglas Siviotti
Negócio Escrito em CódigoNegócio Escrito em Código
Negócio Escrito em Código
Douglas Siviotti168 visualizações
Dívida Técnica por Douglas Siviotti
Dívida TécnicaDívida Técnica
Dívida Técnica
Douglas Siviotti2.7K visualizações
Complexidade Ciclomática por Douglas Siviotti
Complexidade CiclomáticaComplexidade Ciclomática
Complexidade Ciclomática
Douglas Siviotti5.2K visualizações

Tdc 2020-poa-data-protection-full-stack

  • 1. Data Protection Full Stack Um Roadmap para o Desenvolvedor na Área de Proteção de Dados DÉBORA MODESTO & DOUGLAS SIVIOTTI Porto Alegre, Dezembro de 2020
  • 2. Sobre DOUGLAS SIVIOTTI DÉBORA MODESTO Analista de sistemas com especialização em engenharia de software pela Universidade Federal do Rio Grande do Sul. Atua com desenvolvimento há mais de 20 anos e é arquiteto e software do SERPRO desde 2005. Nos últimos anos atua especialmente com arquitetura, qualidade de software, segurança e proteção de dados (LGPD), sendo um dos criadores do "guia de desenvolvimento confiável" do SERPRO. Autor do blog ArteSoftware.com.br Mestre em Informática pela Universidade Federal do Estado do Rio de Janeiro. Atua desde 2010 no Serviço Federal de Processamento de Dados (SERPRO). Gerente de projetos, vivenciando todas as dores e alegrias de uma equipe de desenvolvimento no contexto da empresa pública e agora, lidando com a proteção de dados em seus projetos. Autora do blog ArteSoftware.com.br Desenvolvedor Dev Implementação Arquitetura & Design Requisitos DevOps
  • 3. Escopo: P&PD* no Desenvolvimento *Privacidade e Proteção de Dados Parte 1 Áreas de conhecimento estruturantes para proteção de dados Parte 2 Foco em novas atividades para o desenvolvedor Destaque para atividades já conhecidas Parte 3 Um Roadmap com os principais conceitos (amostragem)
  • 5. Computação Negócio Eixos de Conhecimento Software Tradicional Computação - Programação - Redes/Infra - Banco de Dados - Segurança Negócio - Parte Específica - Usuário/Titular - Sistemas e Softwares Software Tradicional
  • 6. Computação Estatística Negócio Eixos de Conhecimento Ciência de Dados Ciência de Dados Pesquisa Tradicional Software Tradicional Aprendizado de Máquina
  • 7. Segurança & TI / Infra Negócio & Sistemas / UX Eixos de Conhecimento Segurança/TI Tradicional Segurança - ISO 27001, padrões - Redes, Nuvem, Infra - DAST, SAST, Ameaças - Superfície de Ataque Negócio - Continuidade, Resposta - Autenticação / Autorização - Segregação, Perfis de acesso Risco & Resposta
  • 8. Três Eixos da Proteção de Dados Jurídico - LGPD, GDPR etc - Marco Civil da Internet - Legislação Específica - Direitos do Titular Negócio - Contratos e Responsabilidades - Controlador ou Operador - Interesses Legítimos Segurança & TI / Infra Jurídico Negócio & Sistemas / UX Proteção de Dados Pessoais Privacidade Risco & Resposta Compliance
  • 9. Segurança & TI / Infra Jurídico Negócio & Sistemas / UX Quarta Área Governança / Processos Proteção de Dados Pessoais - Privacidade By Design - Processos de Desenv. - Processos de Segurança - Governança de Dados - Políticas Corporativas - Capacitação/Sensibilização - Relacionamento com - Titulares - Entes Regulatórios Privacidade Risco & Resposta Compliance Governança Processos
  • 10. Eixos (Práticas) Quarta Área Práticas x Políticas Governança (Políticas) DAST / SAST Quando executar? Quem? Resposta ao Titular Prazo, Responsáveis, Formato Gestão de Riscos Papéis envolvidos, formato, divulgação
  • 11. Segurança Áreas de Conhecimento Do Desenvolvedor Governança (Políticas) Desenvolvedor Jurídico Negócio
  • 15. DevSecOps Atividades de Segurança https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Response Detect Monitor Threat Intelligence Log Audit Recover
  • 16. DevSecOps + Privacidade Atividades Expandidas https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Recover Response Detect Monitor Threat Intelligence Log Audit Atividade expandida para privacidade (e.g. ISO 27.701) Legenda Atividade compartilhada entre Seg. e Privacidade
  • 17. DevSecOps + Privacidade Expandidas + Específicas https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Recover Response Detect Monitor Threat Intelligence Log Audit Atividade expandida para privacidade (e.g. ISO 27.701) Teste de Privacidade Embasamento Prestação de Contas (Direitos do Titular) Adequação Metamodelagem Anonimização Minimização Assessmenent Descontinuidade Legenda Atividades de Específicas de Privacidade/PD
  • 18. DevSecOps + Privacidade Atividades de Privacidade/PD Teste de Privacidade Embasamento Prestação de Contas (Direitos do Titular) Validação de Conformidade Modelagem de Ameaças Log Auditoria AdequaçãoMetamodelagem Anonimização Minimização Assessmenent Descontinuidade Políticas
  • 19. Embasamento Finalidades e Bases Legais Embasamento RequisitosNegócio
  • 20. Bases Legais Embasamento RequisitosNegócio Dados Pessoais Art. 7 Dados P. Sensíveis Art. 11 Poder Público Art. 23 Marco Civil da Internet Outras Legislações LAI Lei de Acesso a Informação Hipóteses Legais LGPD Base Legal Empresa Pública Provedor de Internet Órgão Público Empresa Privada Base legal não é um conceito da LGPD
  • 21. Avaliação do Processo de Negócio Assessment Tratamento 1 Tratamento 2 Tratamento 3 Registro de Atividades de Tratamentos (RoPA*) Análise dos Processos de Negócio (PN) da Organização Assessment RIPD (DPIA) Multidisciplinar PN
  • 22. Avaliação do Processo de Negócio Assessment Multidisciplinar Tratamento Origem Forma de Entrada Período Prorrogação Embasamento Utilização Derivação Ampliação Subconjunto Destinos Jurisdição Motivação Estratégia Auditoria
  • 23. Avaliação do Processo de Negócio Assessment RequisitosDesignNegócio OperadorControlador Ambientes de Nuvem Decisões Bancos de Dados Bancos de Dados - Toma decisões - Define a finalidade - Define a base legal - Define meios essenciais - Define os dados pessoais - Define retenção e exclusão - Define compartilhamento - É um papel opcional - Não precisa de contrato formal (GDPR sim) - Mantém registros de tratamentos (art. 37) - Realiza tratamento sob instruções - Pode ser responsabilizado - Define meios não essenciais (tecnologia, ferramentas, linguagens, seg. etc) Log
  • 24. Classificação de Metadados Metamodelagem Requisitos Dados Pessoais Sensíveis Dados Pessoais de Crianças e Adolescentes Dados Pessoais Dados não pessoais Dados Anonimizados Dados Pseudonimizados
  • 25. Dados Viram Não Pessoais Anonimização RequisitosImplementação 2 1 3 4 Pseudonimização AnonimizaçãoSubconjunto (dados ainda pessoais)
  • 26. Usando Somente o Necessário Minimização Cliente Solicita Dev SoftwareImplementa Requisitos Negócio RequisitoDados Minimização Dados Dados Jurídico Banco de Dados AD/DBA Projeta Administra Feedback Minimização Feedback Mundo Real: Software em Produção
  • 27. Teste de Software e de Requisitos Teste de Privacidade Testes Testador Software Teste Registro Defeito (não é Bug) Testador Teste Registro Inadequação (não é defeito) Requisitos Guia / Plano Requisitos Software LGPD GDPR etc Guia / Plano
  • 28. “Correção” das Inadequações Adequação A. Requisito Implementador Adequação Testador Teste Registro Inadequação (não é defeito) Requisitos Software LGPD GDPR etc Guia / Plano ImplementaçãoRequisitos
  • 29. Accountability Prestação de Contas DevOps 1 – Confirmação de existência 2 – Acesso aos dados 3 – Correção dos dados 4 – Decisão sobre desconformidades* 5 – Portabilidade 6 – Eliminação se consentido 7 – Info. sobre compartilhamentos 8 – Consequências de não consentir 9 – Revogar consentimento Registro de Atividades de Tratamentos (RoPA*) Gestão de Consentimento Relacionamento com Titular Solução de Acesso às Informações (Automatização) * Registy of Processing Activities (GDPR)
  • 30. Limpeza criteriosa Descontinuidade DevOps Software Banco de Dados - É necessário reter os dados por questões legais? - Os dados podem ser reusados em outro software? - Posso anonimizar e gerar outra base de conhecimento? - Responsáveis definidos (a equipe pode não existir mais) - Custo, backup e continuidade foram previstos?
  • 31. Novas práticas e necessidades DevOps Atividades Expandidas Validação de Conformidade Modelagem de Ameaças Log AuditoriaPolíticas Casos de Abuso de Privacidade Registro de Tratamentos Prestação de Contas Conformidade com LGPD, GDPR etc Pol. de Privacidade Termos de Uso
  • 33. Segurança Proteção de Dados Trilha de Conhecimento Recomendada Governança (Políticas) Desenvolvedor Jurídico Negócio
  • 34. Segurança Proteção de Dados Trilha de Conhecimento Recomendada Governança (Políticas) Desenvolvedor Jurídico Negócio Certificações DPO
  • 35. f Finalidades Bases Legais Tratamentos Metamodelagem Minimização Anonimização Ciclo de Vida ... Relacionamento com Titular UX / Cookies Privacidade By Design LGPD GDPR ISO 27.701 Governança de Dados Plataformas e Ferramentas Gestão de Risco Marco Civil OWASP Log e Auditoria Criptografia TLS, SSH, etc Segurança Jurídico Negócio Governança Normas Técnicas
  • 36. Nossos Contatos DÉBORA MODESTO DOUGLAS SIVIOTTI /modestodebora deb.modesto@gmail.com /douglas-siviotti douglas.siviotti@gmail.com facebook.com/ artesoftware.com.br artesoftware.com.brinstagram.com/ artesoftware