SlideShare uma empresa Scribd logo

TDC 2020 Porto Alegre - Data Protection Full Stack

Debora Modesto
Debora Modesto

Este documento apresenta um roadmap para desenvolvedores na área de proteção de dados, cobrindo conceitos jurídicos, de negócios e técnicos. Ele descreve as principais áreas de conhecimento, como privacidade, segurança, governança e ciência de dados. Também discute novas atividades para desenvolvedores, como testes de privacidade, minimização de dados e prestação de contas. Por fim, fornece uma trilha recomendada de conhecimento, incluindo certificações, normas e ferramentas.

Tecnologia
1 de 36
Baixar para ler offline
Data Protection Full Stack Um Roadmap para o Desenvolvedor na Área de Proteção de Dados DÉBORA MODESTO & DOUGLAS SIVIOTTI Porto Alegre, Dezembro de 2020
Sobre DOUGLAS SIVIOTTI DÉBORA MODESTO Analista de sistemas com especialização em engenharia de software pela Universidade Federal do Rio Grande do Sul. Atua com desenvolvimento há mais de 20 anos e é arquiteto e software do SERPRO desde 2005. Nos últimos anos atua especialmente com arquitetura, qualidade de software, segurança e proteção de dados (LGPD), sendo um dos criadores do "guia de desenvolvimento confiável" do SERPRO. Autor do blog ArteSoftware.com.br Mestre em Informática pela Universidade Federal do Estado do Rio de Janeiro. Atua desde 2010 no Serviço Federal de Processamento de Dados (SERPRO). Gerente de projetos, vivenciando todas as dores e alegrias de uma equipe de desenvolvimento no contexto da empresa pública e agora, lidando com a proteção de dados em seus projetos. Autora do blog ArteSoftware.com.br Desenvolvedor Dev Implementação Arquitetura & Design Requisitos DevOps
Escopo: P&PD* no Desenvolvimento *Privacidade e Proteção de Dados Parte 1 Áreas de conhecimento estruturantes para proteção de dados Parte 2 Foco em novas atividades para o desenvolvedor Destaque para atividades já conhecidas Parte 3 Um Roadmap com os principais conceitos (amostragem)
Áreas de Conhecimento em P&PD
Computação Negócio Eixos de Conhecimento Software Tradicional Computação - Programação - Redes/Infra - Banco de Dados - Segurança Negócio - Parte Específica - Usuário/Titular - Sistemas e Softwares Software Tradicional
Computação Estatística Negócio Eixos de Conhecimento Ciência de Dados Ciência de Dados Pesquisa Tradicional Software Tradicional Aprendizado de Máquina
Segurança & TI / Infra Negócio & Sistemas / UX Eixos de Conhecimento Segurança/TI Tradicional Segurança - ISO 27001, padrões - Redes, Nuvem, Infra - DAST, SAST, Ameaças - Superfície de Ataque Negócio - Continuidade, Resposta - Autenticação / Autorização - Segregação, Perfis de acesso Risco & Resposta
Três Eixos da Proteção de Dados Jurídico - LGPD, GDPR etc - Marco Civil da Internet - Legislação Específica - Direitos do Titular Negócio - Contratos e Responsabilidades - Controlador ou Operador - Interesses Legítimos Segurança & TI / Infra Jurídico Negócio & Sistemas / UX Proteção de Dados Pessoais Privacidade Risco & Resposta Compliance
Segurança & TI / Infra Jurídico Negócio & Sistemas / UX Quarta Área Governança / Processos Proteção de Dados Pessoais - Privacidade By Design - Processos de Desenv. - Processos de Segurança - Governança de Dados - Políticas Corporativas - Capacitação/Sensibilização - Relacionamento com - Titulares - Entes Regulatórios Privacidade Risco & Resposta Compliance Governança Processos
Eixos (Práticas) Quarta Área Práticas x Políticas Governança (Políticas) DAST / SAST Quando executar? Quem? Resposta ao Titular Prazo, Responsáveis, Formato Gestão de Riscos Papéis envolvidos, formato, divulgação
Segurança Áreas de Conhecimento Do Desenvolvedor Governança (Políticas) Desenvolvedor Jurídico Negócio
Atividades além do DevSecOps
DevOps Etapas
DevSecOps DevOps + Segurança https://www.primecontrol.com.br/engenharia-de-qualidade-devops/
DevSecOps Atividades de Segurança https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Response Detect Monitor Threat Intelligence Log Audit Recover
DevSecOps + Privacidade Atividades Expandidas https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Recover Response Detect Monitor Threat Intelligence Log Audit Atividade expandida para privacidade (e.g. ISO 27.701) Legenda Atividade compartilhada entre Seg. e Privacidade
DevSecOps + Privacidade Expandidas + Específicas https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Recover Response Detect Monitor Threat Intelligence Log Audit Atividade expandida para privacidade (e.g. ISO 27.701) Teste de Privacidade Embasamento Prestação de Contas (Direitos do Titular) Adequação Metamodelagem Anonimização Minimização Assessmenent Descontinuidade Legenda Atividades de Específicas de Privacidade/PD
DevSecOps + Privacidade Atividades de Privacidade/PD Teste de Privacidade Embasamento Prestação de Contas (Direitos do Titular) Validação de Conformidade Modelagem de Ameaças Log Auditoria Adequação Metamodelagem Anonimização Minimização Assessmenent Descontinuidade Políticas
Embasamento Finalidades e Bases Legais Embasamento Requisitos Negócio
Bases Legais Embasamento Requisitos Negócio Dados Pessoais Art. 7 Dados P. Sensíveis Art. 11 Poder Público Art. 23 Marco Civil da Internet Outras Legislações LAI Lei de Acesso a Informação Hipóteses Legais LGPD Base Legal Empresa Pública Provedor de Internet Órgão Público Empresa Privada Base legal não é um conceito da LGPD
Avaliação do Processo de Negócio Assessment Tratamento 1 Tratamento 2 Tratamento 3 Registro de Atividades de Tratamentos (RoPA*) Análise dos Processos de Negócio (PN) da Organização Assessment RIPD (DPIA) Multidisciplinar PN
Avaliação do Processo de Negócio Assessment Multidisciplinar Tratamento Origem Forma de Entrada Período Prorrogação Embasamento Utilização Derivação Ampliação Subconjunto Destinos Jurisdição Motivação Estratégia Auditoria
Avaliação do Processo de Negócio Assessment Requisitos Design Negócio Operador Controlador Ambientes de Nuvem Decisões Bancos de Dados Bancos de Dados - Toma decisões - Define a finalidade - Define a base legal - Define meios essenciais - Define os dados pessoais - Define retenção e exclusão - Define compartilhamento - É um papel opcional - Não precisa de contrato formal (GDPR sim) - Mantém registros de tratamentos (art. 37) - Realiza tratamento sob instruções - Pode ser responsabilizado - Define meios não essenciais (tecnologia, ferramentas, linguagens, seg. etc) Log
Classificação de Metadados Metamodelagem Requisitos Dados Pessoais Sensíveis Dados Pessoais de Crianças e Adolescentes Dados Pessoais Dados não pessoais Dados Anonimizados Dados Pseudonimizados
Dados Viram Não Pessoais Anonimização Requisitos Implementação 2 1 3 4 Pseudonimização Anonimização Subconjunto (dados ainda pessoais)
Usando Somente o Necessário Minimização Cliente Solicita Dev Software Implementa Requisitos Negócio Requisito Dados Minimização Dados Dados Jurídico Banco de Dados AD/DBA Projeta Administra Feedback Minimização Feedback Mundo Real: Software em Produção
Teste de Software e de Requisitos Teste de Privacidade Testes Testador Software Teste Registro Defeito (não é Bug) Testador Teste Registro Inadequação (não é defeito) Requisitos Guia / Plano Requisitos Software LGPD GDPR etc Guia / Plano
“Correção” das Inadequações Adequação A. Requisito Implementador Adequação Testador Teste Registro Inadequação (não é defeito) Requisitos Software LGPD GDPR etc Guia / Plano Implementação Requisitos
Accountability Prestação de Contas DevOps 1 – Confirmação de existência 2 – Acesso aos dados 3 – Correção dos dados 4 – Decisão sobre desconformidades* 5 – Portabilidade 6 – Eliminação se consentido 7 – Info. sobre compartilhamentos 8 – Consequências de não consentir 9 – Revogar consentimento Registro de Atividades de Tratamentos (RoPA*) Gestão de Consentimento Relacionamento com Titular Solução de Acesso às Informações (Automatização) * Registy of Processing Activities (GDPR)
Limpeza criteriosa Descontinuidade DevOps Software Banco de Dados - É necessário reter os dados por questões legais? - Os dados podem ser reusados em outro software? - Posso anonimizar e gerar outra base de conhecimento? - Responsáveis definidos (a equipe pode não existir mais) - Custo, backup e continuidade foram previstos?
Novas práticas e necessidades DevOps Atividades Expandidas Validação de Conformidade Modelagem de Ameaças Log Auditoria Políticas Casos de Abuso de Privacidade Registro de Tratamentos Prestação de Contas Conformidade com LGPD, GDPR etc Pol. de Privacidade Termos de Uso
Um possível Roadmap
Segurança Proteção de Dados Trilha de Conhecimento Recomendada Governança (Políticas) Desenvolvedor Jurídico Negócio
Segurança Proteção de Dados Trilha de Conhecimento Recomendada Governança (Políticas) Desenvolvedor Jurídico Negócio Certificações DPO
f Finalidades Bases Legais Tratamentos Metamodelagem Minimização Anonimização Ciclo de Vida ... Relacionamento com Titular UX / Cookies Privacidade By Design LGPD GDPR ISO 27.701 Governança de Dados Plataformas e Ferramentas Gestão de Risco Marco Civil OWASP Log e Auditoria Criptografia TLS, SSH, etc Segurança Jurídico Negócio Governança Normas Técnicas
Nossos Contatos DÉBORA MODESTO DOUGLAS SIVIOTTI /modestodebora deb.modesto@gmail.com /douglas-siviotti douglas.siviotti@gmail.com facebook.com/ artesoftware.com.br artesoftware.com.br instagram.com/ artesoftware

Recomendados

TDC Connections 2021 Artigo 37 da LGPD
TDC Connections 2021 Artigo 37 da LGPDTDC Connections 2021 Artigo 37 da LGPD
TDC Connections 2021 Artigo 37 da LGPDDouglas Siviotti
 
Tdc 2020-poa-data-protection-full-stack
Tdc 2020-poa-data-protection-full-stackTdc 2020-poa-data-protection-full-stack
Tdc 2020-poa-data-protection-full-stackDouglas Siviotti
 
TDC Future 2021 - Privacy After Design
TDC Future 2021 - Privacy After DesignTDC Future 2021 - Privacy After Design
TDC Future 2021 - Privacy After DesignDouglas Siviotti
 
Privacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoPrivacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoDouglas Siviotti
 
Como o SERPRO Atende os Direitos dos Titulares
Como o SERPRO Atende os Direitos dos TitularesComo o SERPRO Atende os Direitos dos Titulares
Como o SERPRO Atende os Direitos dos TitularesDouglas Siviotti
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By DesignDouglas Siviotti
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsiMasters
 
TDC Recife 2019 - LGPD na prática
TDC Recife 2019 - LGPD na práticaTDC Recife 2019 - LGPD na prática
TDC Recife 2019 - LGPD na práticaPatrícia Castro
 

Recomendados

TDC Connections 2021 Artigo 37 da LGPD
TDC Connections 2021 Artigo 37 da LGPDTDC Connections 2021 Artigo 37 da LGPD
TDC Connections 2021 Artigo 37 da LGPDDouglas Siviotti
 
Tdc 2020-poa-data-protection-full-stack
Tdc 2020-poa-data-protection-full-stackTdc 2020-poa-data-protection-full-stack
Tdc 2020-poa-data-protection-full-stackDouglas Siviotti
 
TDC Future 2021 - Privacy After Design
TDC Future 2021 - Privacy After DesignTDC Future 2021 - Privacy After Design
TDC Future 2021 - Privacy After DesignDouglas Siviotti
 
Privacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoPrivacidade By Design no Ciclo de Vida do Produto
Privacidade By Design no Ciclo de Vida do ProdutoDouglas Siviotti
 
Como o SERPRO Atende os Direitos dos Titulares
Como o SERPRO Atende os Direitos dos TitularesComo o SERPRO Atende os Direitos dos Titulares
Como o SERPRO Atende os Direitos dos TitularesDouglas Siviotti
 
Privacidade By Design
Privacidade By DesignPrivacidade By Design
Privacidade By DesignDouglas Siviotti
 
Arquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsArquitetando seus dados na prática para a LGPD - Alessandra Martins
Arquitetando seus dados na prática para a LGPD - Alessandra MartinsiMasters
 
TDC Recife 2019 - LGPD na prática
TDC Recife 2019 - LGPD na práticaTDC Recife 2019 - LGPD na prática
TDC Recife 2019 - LGPD na práticaPatrícia Castro
 
Tdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoaisTdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoaisDouglas Siviotti
 
tdc-recife-2020-lgpd-para-desenvolvedores
tdc-recife-2020-lgpd-para-desenvolvedorestdc-recife-2020-lgpd-para-desenvolvedores
tdc-recife-2020-lgpd-para-desenvolvedoresDouglas Siviotti
 
Proderj lgpd f nery 24jun2019
Proderj lgpd f nery 24jun2019Proderj lgpd f nery 24jun2019
Proderj lgpd f nery 24jun2019Fernando Nery
 
Prepare-se para a LGPD - Marcela Maciel - DevPP #15
Prepare-se para a LGPD - Marcela Maciel - DevPP #15Prepare-se para a LGPD - Marcela Maciel - DevPP #15
Prepare-se para a LGPD - Marcela Maciel - DevPP #15Felipe Blini
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Ed Oliveira
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisDouglas Siviotti
 
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...André Ribeiro
 
Guia de Conformidade - LGPD
Guia de Conformidade - LGPDGuia de Conformidade - LGPD
Guia de Conformidade - LGPDEzequiel Brito
 
Workshop (LGPD)
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)Marcos Aurelio Paixao
 
LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisEliézer Zarpelão
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
Harvard Business Review - LGPD
Harvard Business Review - LGPDHarvard Business Review - LGPD
Harvard Business Review - LGPDThiago Santiago
 
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaO que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaGraziela Brandão
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO Marcelo Silva - CRISC, COBIT, ITIL
 
Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Soraia Lima
 
LGPD na Prática para Mobile Apps
LGPD na Prática para Mobile AppsLGPD na Prática para Mobile Apps
LGPD na Prática para Mobile AppsOctavio Braga
 
Slides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOSlides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOAdriano Martins Antonio
 
Os Desafios e as Oportunidades para TI no Mundo Pós-Pandemia
Os Desafios e as Oportunidades para TI no Mundo Pós-PandemiaOs Desafios e as Oportunidades para TI no Mundo Pós-Pandemia
Os Desafios e as Oportunidades para TI no Mundo Pós-PandemiaEliézer Zarpelão
 
TDC Recife 2020 - LGPD para Desenvolvedores
TDC Recife 2020 - LGPD para DesenvolvedoresTDC Recife 2020 - LGPD para Desenvolvedores
TDC Recife 2020 - LGPD para DesenvolvedoresDebora Modesto
 
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...ssuser4cf889
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?Centus Consultoria
 

Mais conteúdo relacionado

Mais procurados

Tdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoaisTdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoaisDouglas Siviotti
 
tdc-recife-2020-lgpd-para-desenvolvedores
tdc-recife-2020-lgpd-para-desenvolvedorestdc-recife-2020-lgpd-para-desenvolvedores
tdc-recife-2020-lgpd-para-desenvolvedoresDouglas Siviotti
 
Proderj lgpd f nery 24jun2019
Proderj lgpd f nery 24jun2019Proderj lgpd f nery 24jun2019
Proderj lgpd f nery 24jun2019Fernando Nery
 
Prepare-se para a LGPD - Marcela Maciel - DevPP #15
Prepare-se para a LGPD - Marcela Maciel - DevPP #15Prepare-se para a LGPD - Marcela Maciel - DevPP #15
Prepare-se para a LGPD - Marcela Maciel - DevPP #15Felipe Blini
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Ed Oliveira
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisDouglas Siviotti
 
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...André Ribeiro
 
Guia de Conformidade - LGPD
Guia de Conformidade - LGPDGuia de Conformidade - LGPD
Guia de Conformidade - LGPDEzequiel Brito
 
LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisEliézer Zarpelão
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisRosalia Ometto
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...Wellington Monaco
 
Harvard Business Review - LGPD
Harvard Business Review - LGPDHarvard Business Review - LGPD
Harvard Business Review - LGPDThiago Santiago
 
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaO que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaGraziela Brandão
 
Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Soraia Lima
 
LGPD na Prática para Mobile Apps
LGPD na Prática para Mobile AppsLGPD na Prática para Mobile Apps
LGPD na Prática para Mobile AppsOctavio Braga
 
Slides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOSlides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOAdriano Martins Antonio
 
Os Desafios e as Oportunidades para TI no Mundo Pós-Pandemia
Os Desafios e as Oportunidades para TI no Mundo Pós-PandemiaOs Desafios e as Oportunidades para TI no Mundo Pós-Pandemia
Os Desafios e as Oportunidades para TI no Mundo Pós-PandemiaEliézer Zarpelão
 

Mais procurados (19)

Tdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoaisTdc 2021-innovation-lgpd-dados-pessoais
Tdc 2021-innovation-lgpd-dados-pessoais
 
tdc-recife-2020-lgpd-para-desenvolvedores
tdc-recife-2020-lgpd-para-desenvolvedorestdc-recife-2020-lgpd-para-desenvolvedores
tdc-recife-2020-lgpd-para-desenvolvedores
 
Proderj lgpd f nery 24jun2019
Proderj lgpd f nery 24jun2019Proderj lgpd f nery 24jun2019
Proderj lgpd f nery 24jun2019
 
Prepare-se para a LGPD - Marcela Maciel - DevPP #15
Prepare-se para a LGPD - Marcela Maciel - DevPP #15Prepare-se para a LGPD - Marcela Maciel - DevPP #15
Prepare-se para a LGPD - Marcela Maciel - DevPP #15
 
Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD) Lei Geral de Proteção de Dados (LGPD)
Lei Geral de Proteção de Dados (LGPD)
 
LGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados PessoaisLGPD Lei Geral de Proteção de Dados Pessoais
LGPD Lei Geral de Proteção de Dados Pessoais
 
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
Direito à Privacidade na Sociedade da informação: Desafios e Impactos na Era ...
 
Guia de Conformidade - LGPD
Guia de Conformidade - LGPDGuia de Conformidade - LGPD
Guia de Conformidade - LGPD
 
Workshop (LGPD)
Workshop (LGPD)Workshop (LGPD)
Workshop (LGPD)
 
LGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados PessoaisLGPD - Lei Geral de Protecao de Dados Pessoais
LGPD - Lei Geral de Protecao de Dados Pessoais
 
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados PessoaisDicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
Dicas básicas sobre LGPD - Lei Geral de Proteção de Dados Pessoais
 
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
LGPD | VISÃO GERAL | JORNADA DE ADEQUAÇÃO | SGPD - SISTEMA DE GESTÃO DE PROTE...
 
Harvard Business Review - LGPD
Harvard Business Review - LGPDHarvard Business Review - LGPD
Harvard Business Review - LGPD
 
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresaO que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
O que e mapeamento de dados (data mapping) e como elaborar um para sua empresa
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)Lei Geral de Proteção aos Dados (LGPD)
Lei Geral de Proteção aos Dados (LGPD)
 
LGPD na Prática para Mobile Apps
LGPD na Prática para Mobile AppsLGPD na Prática para Mobile Apps
LGPD na Prática para Mobile Apps
 
Slides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPOSlides PDPP curso oficial Exin - Formação DPO
Slides PDPP curso oficial Exin - Formação DPO
 
Os Desafios e as Oportunidades para TI no Mundo Pós-Pandemia
Os Desafios e as Oportunidades para TI no Mundo Pós-PandemiaOs Desafios e as Oportunidades para TI no Mundo Pós-Pandemia
Os Desafios e as Oportunidades para TI no Mundo Pós-Pandemia
 

Semelhante a TDC 2020 Porto Alegre - Data Protection Full Stack

TDC Recife 2020 - LGPD para Desenvolvedores
TDC Recife 2020 - LGPD para DesenvolvedoresTDC Recife 2020 - LGPD para Desenvolvedores
TDC Recife 2020 - LGPD para DesenvolvedoresDebora Modesto
 
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...ssuser4cf889
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?Centus Consultoria
 
tdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdftdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdfDouglas Siviotti
 
A01 sistemas de informações gerenciais apresentação
A01 sistemas de informações gerenciais apresentaçãoA01 sistemas de informações gerenciais apresentação
A01 sistemas de informações gerenciais apresentaçãoLetícia Reis Rodrigues
 
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...tdc-globalcode
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebEduardo Lanna
 
Projetos de software alem da tecnologia
Projetos de software alem da tecnologiaProjetos de software alem da tecnologia
Projetos de software alem da tecnologiaRoberto Brandini
 
Jornada IBM rumo à GDPR.pptx
Jornada IBM rumo à GDPR.pptxJornada IBM rumo à GDPR.pptx
Jornada IBM rumo à GDPR.pptxCristian129328
 
Engenharia de Software 100% Agil (SCRUM, FDD e XP)
Engenharia de Software 100% Agil (SCRUM, FDD e XP)Engenharia de Software 100% Agil (SCRUM, FDD e XP)
Engenharia de Software 100% Agil (SCRUM, FDD e XP)Rildo (@rildosan) Santos
 
Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ...
Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ... Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ...
Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ...Erika Ragghiante B Pavao
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...tdc-globalcode
 
Ciencia de dados na pratica, com transparencia e produtividade
Ciencia de dados na pratica, com transparencia e produtividadeCiencia de dados na pratica, com transparencia e produtividade
Ciencia de dados na pratica, com transparencia e produtividadeJohn Lemos Forman
 
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docxApresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docxPauloFilho489457
 

Semelhante a TDC 2020 Porto Alegre - Data Protection Full Stack (20)

TDC Recife 2020 - LGPD para Desenvolvedores
TDC Recife 2020 - LGPD para DesenvolvedoresTDC Recife 2020 - LGPD para Desenvolvedores
TDC Recife 2020 - LGPD para Desenvolvedores
 
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
RFA-0069_2019-07-21T111917_TDC_ArquiteturaCorporativa_SP_Arquitetura Corporat...
 
Você está preparado para o GDPR?
Você está preparado para o GDPR?Você está preparado para o GDPR?
Você está preparado para o GDPR?
 
tdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdftdc-2022-poa-quem-tem-medo-low-code.pdf
tdc-2022-poa-quem-tem-medo-low-code.pdf
 
A01 sistemas de informações gerenciais apresentação
A01 sistemas de informações gerenciais apresentaçãoA01 sistemas de informações gerenciais apresentação
A01 sistemas de informações gerenciais apresentação
 
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...
TDC2018SP | Trilha Arquitetura Corporativa - EA + IA: como dar maturidade às ...
 
Analise de Requisitos Software
Analise de Requisitos SoftwareAnalise de Requisitos Software
Analise de Requisitos Software
 
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores WebGerenciamento de Vulnerabilidades em Aplicações e Servidores Web
Gerenciamento de Vulnerabilidades em Aplicações e Servidores Web
 
Projetos de software alem da tecnologia
Projetos de software alem da tecnologiaProjetos de software alem da tecnologia
Projetos de software alem da tecnologia
 
Jornada IBM rumo à GDPR.pptx
Jornada IBM rumo à GDPR.pptxJornada IBM rumo à GDPR.pptx
Jornada IBM rumo à GDPR.pptx
 
Informatica
InformaticaInformatica
Informatica
 
Engenharia de Software 100% Agil (SCRUM, FDD e XP)
Engenharia de Software 100% Agil (SCRUM, FDD e XP)Engenharia de Software 100% Agil (SCRUM, FDD e XP)
Engenharia de Software 100% Agil (SCRUM, FDD e XP)
 
MERCADO DE TI.pdf
MERCADO DE TI.pdfMERCADO DE TI.pdf
MERCADO DE TI.pdf
 
Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ...
Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ... Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ...
Saiba coisas de Design da Tecnologia, Programação e Análise de Sistemas que ...
 
Apresentação Executiva S2it
Apresentação Executiva S2itApresentação Executiva S2it
Apresentação Executiva S2it
 
Outsourcing
OutsourcingOutsourcing
Outsourcing
 
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
TDC2017 | São Paulo - Trilha Segurança e Criptografia How we figured out we h...
 
Ciencia de dados na pratica, com transparencia e produtividade
Ciencia de dados na pratica, com transparencia e produtividadeCiencia de dados na pratica, com transparencia e produtividade
Ciencia de dados na pratica, com transparencia e produtividade
 
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docxApresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
Apresentação da P e B Compliance para Adequação de cartórios à LGPD.docx
 
Currículo online
Currículo onlineCurrículo online
Currículo online
 

TDC 2020 Porto Alegre - Data Protection Full Stack

  • 1. Data Protection Full Stack Um Roadmap para o Desenvolvedor na Área de Proteção de Dados DÉBORA MODESTO & DOUGLAS SIVIOTTI Porto Alegre, Dezembro de 2020
  • 2. Sobre DOUGLAS SIVIOTTI DÉBORA MODESTO Analista de sistemas com especialização em engenharia de software pela Universidade Federal do Rio Grande do Sul. Atua com desenvolvimento há mais de 20 anos e é arquiteto e software do SERPRO desde 2005. Nos últimos anos atua especialmente com arquitetura, qualidade de software, segurança e proteção de dados (LGPD), sendo um dos criadores do "guia de desenvolvimento confiável" do SERPRO. Autor do blog ArteSoftware.com.br Mestre em Informática pela Universidade Federal do Estado do Rio de Janeiro. Atua desde 2010 no Serviço Federal de Processamento de Dados (SERPRO). Gerente de projetos, vivenciando todas as dores e alegrias de uma equipe de desenvolvimento no contexto da empresa pública e agora, lidando com a proteção de dados em seus projetos. Autora do blog ArteSoftware.com.br Desenvolvedor Dev Implementação Arquitetura & Design Requisitos DevOps
  • 3. Escopo: P&PD* no Desenvolvimento *Privacidade e Proteção de Dados Parte 1 Áreas de conhecimento estruturantes para proteção de dados Parte 2 Foco em novas atividades para o desenvolvedor Destaque para atividades já conhecidas Parte 3 Um Roadmap com os principais conceitos (amostragem)
  • 5. Computação Negócio Eixos de Conhecimento Software Tradicional Computação - Programação - Redes/Infra - Banco de Dados - Segurança Negócio - Parte Específica - Usuário/Titular - Sistemas e Softwares Software Tradicional
  • 6. Computação Estatística Negócio Eixos de Conhecimento Ciência de Dados Ciência de Dados Pesquisa Tradicional Software Tradicional Aprendizado de Máquina
  • 7. Segurança & TI / Infra Negócio & Sistemas / UX Eixos de Conhecimento Segurança/TI Tradicional Segurança - ISO 27001, padrões - Redes, Nuvem, Infra - DAST, SAST, Ameaças - Superfície de Ataque Negócio - Continuidade, Resposta - Autenticação / Autorização - Segregação, Perfis de acesso Risco & Resposta
  • 8. Três Eixos da Proteção de Dados Jurídico - LGPD, GDPR etc - Marco Civil da Internet - Legislação Específica - Direitos do Titular Negócio - Contratos e Responsabilidades - Controlador ou Operador - Interesses Legítimos Segurança & TI / Infra Jurídico Negócio & Sistemas / UX Proteção de Dados Pessoais Privacidade Risco & Resposta Compliance
  • 9. Segurança & TI / Infra Jurídico Negócio & Sistemas / UX Quarta Área Governança / Processos Proteção de Dados Pessoais - Privacidade By Design - Processos de Desenv. - Processos de Segurança - Governança de Dados - Políticas Corporativas - Capacitação/Sensibilização - Relacionamento com - Titulares - Entes Regulatórios Privacidade Risco & Resposta Compliance Governança Processos
  • 10. Eixos (Práticas) Quarta Área Práticas x Políticas Governança (Políticas) DAST / SAST Quando executar? Quem? Resposta ao Titular Prazo, Responsáveis, Formato Gestão de Riscos Papéis envolvidos, formato, divulgação
  • 11. Segurança Áreas de Conhecimento Do Desenvolvedor Governança (Políticas) Desenvolvedor Jurídico Negócio
  • 15. DevSecOps Atividades de Segurança https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Response Detect Monitor Threat Intelligence Log Audit Recover
  • 16. DevSecOps + Privacidade Atividades Expandidas https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Recover Response Detect Monitor Threat Intelligence Log Audit Atividade expandida para privacidade (e.g. ISO 27.701) Legenda Atividade compartilhada entre Seg. e Privacidade
  • 17. DevSecOps + Privacidade Expandidas + Específicas https://www.linkedin.com/pulse/devsecops-primer-101-dhaval-shrimankar/ Static Analysis Threat Model Policies Code Review Penetration Testing Compliace Validation Recover Response Detect Monitor Threat Intelligence Log Audit Atividade expandida para privacidade (e.g. ISO 27.701) Teste de Privacidade Embasamento Prestação de Contas (Direitos do Titular) Adequação Metamodelagem Anonimização Minimização Assessmenent Descontinuidade Legenda Atividades de Específicas de Privacidade/PD
  • 18. DevSecOps + Privacidade Atividades de Privacidade/PD Teste de Privacidade Embasamento Prestação de Contas (Direitos do Titular) Validação de Conformidade Modelagem de Ameaças Log Auditoria Adequação Metamodelagem Anonimização Minimização Assessmenent Descontinuidade Políticas
  • 19. Embasamento Finalidades e Bases Legais Embasamento Requisitos Negócio
  • 20. Bases Legais Embasamento Requisitos Negócio Dados Pessoais Art. 7 Dados P. Sensíveis Art. 11 Poder Público Art. 23 Marco Civil da Internet Outras Legislações LAI Lei de Acesso a Informação Hipóteses Legais LGPD Base Legal Empresa Pública Provedor de Internet Órgão Público Empresa Privada Base legal não é um conceito da LGPD
  • 21. Avaliação do Processo de Negócio Assessment Tratamento 1 Tratamento 2 Tratamento 3 Registro de Atividades de Tratamentos (RoPA*) Análise dos Processos de Negócio (PN) da Organização Assessment RIPD (DPIA) Multidisciplinar PN
  • 22. Avaliação do Processo de Negócio Assessment Multidisciplinar Tratamento Origem Forma de Entrada Período Prorrogação Embasamento Utilização Derivação Ampliação Subconjunto Destinos Jurisdição Motivação Estratégia Auditoria
  • 23. Avaliação do Processo de Negócio Assessment Requisitos Design Negócio Operador Controlador Ambientes de Nuvem Decisões Bancos de Dados Bancos de Dados - Toma decisões - Define a finalidade - Define a base legal - Define meios essenciais - Define os dados pessoais - Define retenção e exclusão - Define compartilhamento - É um papel opcional - Não precisa de contrato formal (GDPR sim) - Mantém registros de tratamentos (art. 37) - Realiza tratamento sob instruções - Pode ser responsabilizado - Define meios não essenciais (tecnologia, ferramentas, linguagens, seg. etc) Log
  • 24. Classificação de Metadados Metamodelagem Requisitos Dados Pessoais Sensíveis Dados Pessoais de Crianças e Adolescentes Dados Pessoais Dados não pessoais Dados Anonimizados Dados Pseudonimizados
  • 25. Dados Viram Não Pessoais Anonimização Requisitos Implementação 2 1 3 4 Pseudonimização Anonimização Subconjunto (dados ainda pessoais)
  • 26. Usando Somente o Necessário Minimização Cliente Solicita Dev Software Implementa Requisitos Negócio Requisito Dados Minimização Dados Dados Jurídico Banco de Dados AD/DBA Projeta Administra Feedback Minimização Feedback Mundo Real: Software em Produção
  • 27. Teste de Software e de Requisitos Teste de Privacidade Testes Testador Software Teste Registro Defeito (não é Bug) Testador Teste Registro Inadequação (não é defeito) Requisitos Guia / Plano Requisitos Software LGPD GDPR etc Guia / Plano
  • 28. “Correção” das Inadequações Adequação A. Requisito Implementador Adequação Testador Teste Registro Inadequação (não é defeito) Requisitos Software LGPD GDPR etc Guia / Plano Implementação Requisitos
  • 29. Accountability Prestação de Contas DevOps 1 – Confirmação de existência 2 – Acesso aos dados 3 – Correção dos dados 4 – Decisão sobre desconformidades* 5 – Portabilidade 6 – Eliminação se consentido 7 – Info. sobre compartilhamentos 8 – Consequências de não consentir 9 – Revogar consentimento Registro de Atividades de Tratamentos (RoPA*) Gestão de Consentimento Relacionamento com Titular Solução de Acesso às Informações (Automatização) * Registy of Processing Activities (GDPR)
  • 30. Limpeza criteriosa Descontinuidade DevOps Software Banco de Dados - É necessário reter os dados por questões legais? - Os dados podem ser reusados em outro software? - Posso anonimizar e gerar outra base de conhecimento? - Responsáveis definidos (a equipe pode não existir mais) - Custo, backup e continuidade foram previstos?
  • 31. Novas práticas e necessidades DevOps Atividades Expandidas Validação de Conformidade Modelagem de Ameaças Log Auditoria Políticas Casos de Abuso de Privacidade Registro de Tratamentos Prestação de Contas Conformidade com LGPD, GDPR etc Pol. de Privacidade Termos de Uso
  • 33. Segurança Proteção de Dados Trilha de Conhecimento Recomendada Governança (Políticas) Desenvolvedor Jurídico Negócio
  • 34. Segurança Proteção de Dados Trilha de Conhecimento Recomendada Governança (Políticas) Desenvolvedor Jurídico Negócio Certificações DPO
  • 35. f Finalidades Bases Legais Tratamentos Metamodelagem Minimização Anonimização Ciclo de Vida ... Relacionamento com Titular UX / Cookies Privacidade By Design LGPD GDPR ISO 27.701 Governança de Dados Plataformas e Ferramentas Gestão de Risco Marco Civil OWASP Log e Auditoria Criptografia TLS, SSH, etc Segurança Jurídico Negócio Governança Normas Técnicas
  • 36. Nossos Contatos DÉBORA MODESTO DOUGLAS SIVIOTTI /modestodebora deb.modesto@gmail.com /douglas-siviotti douglas.siviotti@gmail.com facebook.com/ artesoftware.com.br artesoftware.com.br instagram.com/ artesoftware