O documento discute a importância do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia. Ele destaca que as violações podem resultar em multas até 20 milhões de euros ou 4% da receita anual global de uma empresa. Além disso, vazamentos de dados podem causar danos à reputação de uma organização. O RGPD também introduz novas responsabilidades relacionadas ao consentimento do cliente, direito de apagar dados pessoais e nomear um oficial de proteção de dados.
5. PwC
Porque é importante?
5
Setores mais vulneráveis:
• Estado
• Saúde
• Seguros & Banca
• Retalho
• Tecnologia
Industry Company/Organization Date Country N. Records
National Electoral Institute 4/22/2016 Mexico 93,400,000
Commission on Elections 4/23/2016 Philippines 54,363,329
Department of Health and 3/28/2016 United States 4,000,000
National Electoral Institute 5/20/2016 Mexico 2,072,585
California Correctional Health 5/13/2016 United States 400,000
Banner Health 08/03/2016 United States 3,700,000
21st Century Oncology Services03/04/2016 United States 2,200,000
Centene Corporation 1/25/2016 United States 950,000
Bon Secours Health Systems 08/12/2016 United States 655,000
Highline Medical Center 09/07/2016 United States 655,000
YJFX 02/02/2016 Japan 185,626
Invest Bank 12/02/2015 United Arab Emirates 100,000
State Farm Insurance 06/09/2016 Canada 77,000
HSBC USA 01/06/2016 United States 39,684
Bank of Jerusalem 1/24/2016 Israel 36,000
Alibaba 02/02/2016 China 99,000,000
Interpark 7/25/2016 South Korea 10,000,000
Sanrio 12/21/2015 Japan 3,300,000
Menulog 3/31/2016 Australia 400,000
The Kroger Company 05/06/2016 United States 1,100,000
Myspace 5/31/2016 United States 427,000,000
Tumblr 05/12/2016 United States 65,469,298
iMesh 6/13/2016 United States 51,000,000
VerticalScope 6/14/2016 Canada 45,000,000
Lifeboat 4/26/2016 United States 7,000,000
T-Mobile 6/14/2016 Czech Republic 1,500,000
Verizon Enterprise Solutions 3/24/2016 United States 1,500,000
Deutsche Telekom 6/28/2016 Denmark 64,000
Tanzania Telecommunications 2/15/2016 United Republic 64,000
Time Warner Cable 2/28/2016 United States 4,191
Communications
Financial services
Government
Healthcare
Retail
Technology
Top Customer Data Breaches Of The Past 12 Months
Source: CyberFactors
Probabilidade
6. PwC
Porque é importante?
6
Exemplo da Saúde:
• Dados pessoais de saúde são 10 vezes mais
valiosos do que os dados financeiros
quando vendidos na ‘dark web’
• Orçamento para lidar com riscos
relacionados com ciber-segurança são
extremamente reduzidos
• O estudo ‘Global State of Information
Security Survey 2016’ revela que as
maiores fugas de informação da história
ocorreram durante o ano passado.
Probabilidade
8. PwC
Porque é importante?
8
Dificilmente uma organização consegues estar em cumprimento
total com o RGPD….
…e o regulador passa a ter direitos de supervisão direta.
Probabilidade
10. PwC
Quais as novidades?
10
Multas O RGPD define que o limite máximo
de uma multa pode atingir os €20
milhões ou 4% do volume de
negócios a nível internacional.
Consenti
mento
As entidades são obrigadas a obter
consentimento explícito do
consumidor para a utilização e
tratamento da sua informação
pessoal e a comprová-lo se
solicitado.
Direito a
ser
esquecido
O consumidor pode solicitar a uma
entidade para apagar todos os seus
dados pessoais em qualquer altura e
mesmo que esta informação tenha
sido distribuída a terceiros a
responsabilidade de eliminação
destes dados é da entidade.
Supervisão Apesar de ter sido removida a
obrigatoriedade de notificação sobre
a utilização de dados pessoais ao
regulador, passam a ter direitos de
supervisão direta sobre entidades .
Aplicação
territorial
O RGPD é muito mais abrangente em
termos territoriais. Todas as
organizações que operem na Europa
terão de cumprir o RGPD, incluindo
organizações sem entidades fiscais na
UE, mas com operação de bens e
serviços a pessoas na EU.
Notificação
de fugas de
informação
As entidades têm a responsabilidade
de informar os reguladores e pessoas
afetadas num prazo máximo de 72
horas (se possível).
Compliance Monitorização contínua da proteção
de dados e segurança. Realizar
“Privacy Impact Assessments” (PIA)
em todas as novas situações, seja
novos projetos ou tratamentos.
Data
protection
officer
(DPO)
De forma a assegurar o cumprimento
da organização com o RGPD deverá
nomear um encarregado da proteção
de dados (DPO).
11. PwC
Quais as novidades?
11
Multas O RGPD define que o limite máximo
de uma multa pode atingir os €20
milhões ou 4% do volume de
negócios a nível internacional.
Consenti
mento
As entidades são obrigadas a obter
consentimento explícito do
consumidor para a utilização e
tratamento da sua informação
pessoal e a comprová-lo se
solicitado.
Direito a
ser
esquecido
O consumidor pode solicitar a uma
entidade para apagar todos os seus
dados pessoais em qualquer altura e
mesmo que esta informação tenha
sido distribuída a terceiros a
responsabilidade de eliminação
destes dados é da entidade.
Supervisão Apesar de ter sido removida a
obrigatoriedade de notificação sobre
a utilização de dados pessoais ao
regulador, passam a ter direitos de
supervisão direta sobre entidades .
Aplicação
territorial
O RGPD é muito mais abrangente em
termos territoriais. Todas as
organizações que operem na Europa
terão de cumprir o RGPD, incluindo
organizações sem entidades fiscais na
UE, mas com operação de bens e
serviços a pessoas na EU.
Notificação
de fugas de
informação
As entidades têm a responsabilidade
de informar os reguladores e pessoas
afetadas num prazo máximo de 72
horas (se possível).
Compliance Monitorização contínua da proteção
de dados e segurança. Realizar
“Privacy Impact Assessments” (PIA)
em todas as novas situações, seja
novos projetos ou tratamentos.
Data
protection
officer
(DPO)
De forma a assegurar o cumprimento
da organização com o RGPD deverá
nomear um encarregado da proteção
de dados (DPO).
13. PwC
Direito a ser esquecido
Dificuldade em garantir a eliminação por completo dos dados
em toda a organização (e.g. complexidade dos sistemas de
informação, dados no poder de terceiros, dados em computadores
locais/pessoais, registos em papel, etc.).
Com a massificação do requisito este poder tornar-se num processo
muito exigente em termos de consumo de recursos internos e
que poderá obrigar a implementação de processos e pessoas
dedicadas ao tema.
Inexistência de mecanismos nos sistemas de informação para
remoção dos dados de uma entidade (porque pode por em causa a
integridade da base de dados).
Quais as principais questões?
13
14. PwC
Direito a ser esquecido
• Que dados tenho?
• Onde estão os dados?
• Quem tenho de notificar?
• Qual o processo / procedimento a adotar?
• Quem é o responsável?
• Existem outras entidades envolvidas? Como proceder ao
roll-forward do pedido?
• Que garantia tenho de que os dados foram removidos?
• Consigo executar o pedido?
… e se este pedido fosse concretizado amanhã?
14
15. PwC
Dados na organização
15
Quem tem acesso a
esta informação?
Qual a idade desta
informação e ainda
se mantém válida?
Qual a origem desta
informação?
Onde se encontra
esta informação?Que informação é
esta?
16. PwC
O que deve saber sobre os seus dados
16
1. Onde estão os dados sensíveis?
2. Os dados estão seguros contra acessos indevidos?
3. Existem dados distribuídos, duplicados ou obsoletos?
4. Está a manter dados mais tempo que o necessário?
5. Quem são os donos e utilizadores dos dados?
6. Que dados estão sujeitos a restrições legais?
7. Que controlos de prevenção de fuga de informação tenho?
18. PwC
Poupanças relativas a custos com armazenamento
Redução da complexidade dos dados
Proteção de dados contínua
Redução de risco de segurança
Redução de risco de regulação
Quais os benefícios de gerir os dados
18
19. PwC
8 princípios para a proteção de dados
19
1. Obter e processar os dados de forma justa
2. Manter os dados pessoais para um fim concreto e lícito
3. Apenas utilizar dados pessoais com consentimento
4. Manter os dados pessoais seguros (acesso restrito)
5. Manter dados pessoais exatos, completos e atualizados
6. Garantir que os dados pessoais guardados são relevantes e não excessivos
7. Reter os dados pessoais não mais do que o necessário
8. Envolver o DPO no caso de receber um pedido de tratamento ou acesso a
dados de pessoais
21. PwC
Complexidade tecnológica
Aplicação
Base de Dados
Infraestrutura de suporte
(sistema operativo e rede de dados)
SQL, NoSQL,
NewSQL
ERP, CRM,
POS, BI, etc.
Infra-estrutura
física ou cloud
computing
21
22. PwC
Complexidade tecnológica
SAP
Negócios
Emergentes
103
Backoffice
Barco
Gestão e controlo da
produção de malhas
Gestão e controlo da
produção de tecidos
Ring Expert
Sliver Expert
XRT
Tesouraria -
Reconciliação
Bancária
TIM
(AS400)
Fiação
MAIS
COPS
Malhas
Tricotagem
DISPO
MASH
SOS K2DEY
Acabamentos
Confeção
Produção
Tecidos
Produção
Encomendas
Compras
Vendas
Stocks Facturação
Lab Expert
Millmaster
GES Quatro
Processamento de
salários
Têxtil
101
LB
102
FI/CO
MM
SD
Cyland
Winstore
(Frontoffice)
SCF
Gestão de Produção
Storeland
(Backoffice)
SQL/Broker
(Têxtil & LB)
Portal/Intranet
Análise de contratos
(ANC)
Processo de reclamação
(criação de encomendas)
Relatórios de gestão
WinMac
Gestão de
Manutenção
Qualidade
Gestão de qualidade
AutomotiveTêxteisLightningBolt
Receção de peças da Somelos
Encomendas de venda
(tamanhos)
Encomendas de venda das Feiras
(Multix)
Criação de clientes
Criação de fornecedores
Lançamentos FI
(comissões, planos de viagem)
SAP
Automotive
105
PP
FI/CO
MM
SD
SQL/Broker
(Automotive)
Portal/Intranet
Análise de contratos
(ANC)
Relatórios de gestão
Encomendas de venda
(tamanhos)
Criação de clientes
Criação de fornecedores
MSQL
(55DB)
MSQL
MSQL
MSQL
Arquiteturas aplicacionais
cada vez mais complexas
22
25. PwC
Complexidade tecnológica
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1
25
26. PwC
Complexidade tecnológica
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1 (PROD)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (TST)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1(DEV)
26
27. PwC
Complexidade tecnológica
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1 (PROD)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (TST)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1(DEV)
Backup
27
• Transaction logs and
database dump logs
• Backup para disco ou tape
• Backup off-site
28. PwC
Complexidade tecnológica
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1 (PROD)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (TST)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1(DEV)
Backup Logs
28
29. PwC
Complexidade tecnológica
Responsável pelos dados
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1 (PROD)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (TST)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (DEV)
Backup Logs
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #2 (cloud)
Replica online
Datacenter #1 (PROD)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (TST)
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
Aplicação
Base de
Dados
Infraestrutur
a de suporte
ERP CallcenterSGFC
Datacenter #1 (DEV)
Backup Logs
Subcontratado #1
29
30. PwC
Complexidade tecnológica
Base de dados estruturadas vs Base de dados noSQL
Distribuição inerente dos dados
Controlos de acesso pouco maduros
31. PwC
Modelo de governação de dados
Business Governance
Data Governance Board
Business and IT Representatives
Business – Data Owners
Processes, Procedures and Systems
Data Governance Centre of Excellence
Assess, support and On-going compliance monitoring
Data Governance Framework
Principles based ‘rules’ or ‘values’ by which
you manage information
3rdLineofdefence
2ndLine1stLine
Policy &
Standards
Data
Directory and
Business Glossary
Deficiency &
Change
Management
32. PwC
Diretório de dados
32
O diretório de dados é o pilar de toda a
gestão de dados
Este deve descrever:
• A utilização dos dados
• Requisitos de qualidade
• Origem dos dados
• Donos dos dados
• Controlos e métricas
34. PwC
Abordagem PwC
34
Gap Analysis
& Priorização
Exemplos
Avaliar segurança e acessos
Modelo de governação dos dados
Desenvolvimento de políticas
Gestão de identidade e acessos
Gestão de risco de terceiros
Auditoria e cumprimento
Identificar e mapear dados
Monitorização e Indicadores
Gestão de ameaças e vulnerabilidades
Revisão de processos e controlos
Privacy Impact Assessment
Caraterísticas Especiais
Recursos e
plano de
projeto
Cultura e
Ética
Estrutura e
Organizaçã
o Legal
Localizações
e Geografia
Apetite de
Risco
Operação
do Negócio
Plano de
Negócios
Registo
histórico
regulament
ar
Indústrias
Resultados
R.A.T.
ReadinessAssessmentTool
Gap Analysis Workstreams
Workshop de
Características Especiais
R.A.T
Resultados
Enforceme
nt Tracker
Compreender Medir Implementar