Privacy by Design: produtos que garantem a privacidade do usuário.

Privacy by Design: produtos que garantem a privacidade do usuário.

Item essencial no roadmap de produtos que recebem dados o conceito design by privacy, utiliza a privacidade desde a concepção do projeto, produto ou serviço, a integrando desde a criação.

Atualmente organizações que oferecem soluções que utilizam dados como plataformas de e-commerce, sistemas de pagamentos, ERP’s, CRM,  ferramentas de análises de dados, além de garantir a segurança de dos ativos, devem se atentar ao design dos produtos.  Afinal, cada vez mais  cybersecurity é um tema importante para as organizações que lidam com dados sensíveis, garantirem a privacidade  e proteção do usuário.

Sendo vital para empresas criarem ações praticas para garantir a sua privacidade e autonomia das informações.

Neste aspecto, a metodologia Privacy by Design (ou “privacidade desde a concepção”) pode ser uma grande aliada para estabelecer produtos, rotinas mais seguras e funcionais evitando problemas como o vazamento de dados que manjam a reputação e causam prejuízos financeiros as empresas.

O Privacy by Design surgiu na década de 1990 com o objetivo de estabelecer uma filosofia de desenvolvimento que garanta aos usuários transparência e controle sobre os dados compartilhados com empresas e instituições.

Além de ser uma boa prática do setor, o Privacy by Design está alinhado à Lei Geral de Proteção de Dados – LGPD. Conceitos como segurança ponta-a-ponta, transparência, prevenção de acidentes e a autodeterminação informativa (o usuário deve poder optar pelo acesso, restrições ou até eliminação dos dados) são comuns tanto à metodologia Privacy by Design quanto à LGPD. Mas, como veremos a seguir, os benefícios do PbD vão muito além do cumprimento legal.

Conheça mais sobre esta metodologia!

PRIVACIDADE DO USUÁRIO NO CENTRO DO DESENVOLVIMENTO.

O Privacy by Design é uma metodologia criada na década de 1990 pela especialista em privacidade de dados Dra. Ann Cavoukian. O sistema foi aceito internacionalmente na 32ª Conferência Internacional de Comissários de Proteção de Dados e Privacidade, realizada em Jerusalém em 2010.

Esta metodologia estabelece que as práticas de negócio e todos os ciclos do desenvolvimento de um produto ou serviço devem ter a privacidade do usuário em primeiro lugar. Com isso, o Privacy by Design deve ir além das equipes de desenvolvimento e ser aplicado em toda a cadeia das empresas, fazendo parte da cultura e das práticas de governança.

No Privacy by Design, também é importante que todas as ações estejam registradas, pois a metodologia é fortemente baseada em compliance e prevê diligências independentes em certos casos.

Na prática, isso se reflete em sete princípios fundamentais, que veremos logo mais. Antes, é importante diferenciar os agentes na tratativa de dados:

Controlador: é a instituição que detém os dados dos usuários. Por exemplo, ao contratar uma solução da Semantix (como a Semantix Data Platform) para tratar os dados de seus clientes que neste caso são dados de terceiros, a sua organização é a controladora dos dados.

Operador: é a instituição que faz o tratamento dos dados do Controlador. No nosso exemplo, a Semantix é a Operadora dos dados em poder de quem nos contrata.

DPO: o encarregado conhecido por Data Protection Officer é o especialista em proteção de dados responsável com independência para orientar de maneira técnica e embasar as decisões corporativas para que estejam aderentes à legislação de proteção de dados pessoais. Sendo ele um aliado para orientar a organização como um todo a respeito das práticas de governança na proteção de dados pessoais.

Ou seja o operador é uma pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais ou coorporativos em nome do controlador. 

Já o controlador é responsável pela comunicação e transparência com o titular dos dados. E ambos podem processar e gerenciar as informações de acordo com as regras estabelecidas pelo controlador e são responsáveis em manter os registros de suas respectivas atuações e encargos em relação a tratativa das informações seguindo as orientações de proteção instruídas pelo DPO.

 

 7 Princípios fundamentais do Privacy by Design.

1- Respeito pela privacidade e foco no usuário: nada de entrelinhas, informações pouco claras ou aceites escondidos. As controladoras devem ter o aceite ativo dos usuários, que precisam saber exatamente quais dados estão compartilhando com as empresas, o motivo de estes dados serem solicitados e qual uso será feito dessas informações.

Visto que o usuário deve ter acesso fácil e simples aos termos de uso de suas informações – e ter facilidade em alterar os acessos concedidos, inclusive retirando seu consentimento para o compartilhamento das informações e solicitando a eliminação de seus dados.

Além disso, as controladoras precisam estabelecer processos para garantir que os dados estejam atualizados para o propósito a que se destinam.

As operadoras também devem proporcionar aos usuários controle e transparência sobre o uso das informações e estabelecer canais de comunicação ou reclamação em caso de conflitos sobre o uso dos dados (compliance).

Os procedimentos para acesso e extração dos dados e alteração no consentimento do usuário são uma obrigação das Controladoras, e não das Operadoras. Ainda assim, as ferramentas da Semantix possibilitam tais ações mediante configurações específicas.

2 – Visibilidade e transparência: com o objetivo de orientar sistemas confiáveis, um dos princípios do Privacy by Design é a visibilidade e transparência, pois elas proporcionam confiança aos projetos.

Na prática, isso significa:

  • Abertura e transparência: garantir que os as políticas e práticas de privacidade estejam abertas e disponíveis de forma simples aos usuários
  • Responsabilização: é fundamental que cada procedimento relacionado à coleta e uso dos dados estejam formalmente documentado, com identificação dos agentes responsáveis em cada etapa.
  • Compliance: as empresas devem executar continuamente mecanismos de compliance que possibilitem monitorar, avaliar e checar o uso das informações.

Aqui, temos mais um ponto em comum com a LGPD brasileira, pois a legislação também determina que os usuários devem ter livre acesso e accountability sobre seus dados.

3- Segurança completa em todo o ciclo de vida: sem segurança, não há privacidade de dados, certo? Como a privacidade é priorizada desde o primeiro passo no Privacy by Design, produtos e serviços têm mecanismos de segurança observados em todos os pontos da cadeia.

Da coleta à destruição dos dados, todas as etapas devem apresentar mecanismos de segurança, criptografia e controle de acesso. Tudo isso sem prejuízo à integridade, confiabilidade transparência e disponibilidade dos dados – tanto para os usuários quanto para os próprios operadores.

Este é mais um ponto em comum com a LGPD brasileira: as controladoras precisam garantir a segurança dos dados de terceiros, evitando o vazamento ou mau uso das informações em seu poder.

4- Funcionalidade completa: esqueça dilemas como “Privacidade x Rendimento”. Como boa metodologia de design, o Privacy by Design busca a eficiência dos sistemas em todos os aspectos que sejam legítimos à organização – e não apenas naqueles diretamente relacionados à privacidade.

A metodologia pretende incorporar todos os interesses coerentes às instituições, sem que um objetivo inviabilize outro. A funcionalidade dos sistemas deve ser total, assim como a segurança e a privacidade dos dados. Todos os objetivos importantes para os projetos devem ser acomodados de forma que um complemente o outro, em uma soma positiva que proporcione benefícios a todos os agentes.

5- Privacidade incorporada ao design: observada com seriedade desde o começo dos projetos, a privacidade não deve ser um “elemento complementar” e sim um “elemento fundamental” dos sistemas.

Tratar a privacidade como valor essencial que deve estar presente em todas as etapas dos sistemas traz algumas boas práticas e desafios. 

Como o Privacy by Design deve fazer parte das práticas de toda a organização – e não apenas das equipes de produtos ou desenvolvimento de TI – o primeiro desafio é ter uma visão mais holística e integrativa dos sistemas organizacionais, que considere contextos e cenários mais amplos do que a área de tecnologia.

Para vislumbrar tais cenários, é preciso que haja integração entre os diferentes departamentos interessados. Todos devem ser consultados.

Não são tarefas simples, e por isso certamente a criatividade será importante. Afinal, em muitos casos será preciso imaginar novas práticas que garantam a segurança, confiabilidade e eficiência dos sistemas.

6- Privacidade é configuração padrão: nesta metodologia, a privacidade é o padrão dos sistemas. Com isso, o usuário não precisa se preocupar em adotar uma política de privacidade mais ou menos restrita, pois as melhores práticas em privacidade são parte intrínseca dos sistemas.

Na prática, isto significa ter propósitos claros, específicos, limitados e relevantes para a coleta, armazenamento e tratamento dos dados.

Apenas os dados essenciais para o funcionamento eficiente dos sistemas ou para o cumprimento das obrigações legais devem ser coletados e armazenados – e sempre de forma anonimizada.

O usuário, é claro, precisa ter visibilidade fácil dos propósitos e práticas sobre a coleta, uso e descarte de suas informações.  

7- Proativo e não reativo: o Privacy by Design é uma metodologia que visa a evitar incidentes de privacidade em vez de corrigi-los ou mitigá-los depois que eles já aconteceram.

Para esta prevenção proativa, é fundamental analisar toda a cadeia dos sistemas, identificando e corrigindo pontos de vulnerabilidade. Esta é uma prática que, como vimos em Compliance, deve ser permanente e não apenas na concepção dos projetos.

Também é importante que todos os níveis implicados no sistema estejam comprometidos em seguir as melhores práticas e documentar as ações. O Privacy by Design estabelece padrões muitas vezes mais elevados do que os da LGPD, portanto o engajamento real e duradouro das equipes é fundamental.

RELAÇÕES SOBRE O CONCEITO E A LGPD:

Aprovada em 2018, a Lei Geral de Proteção de Dados – LGPD entrou em vigor em agosto de 2021 com o objetivo de normatizar a coleta e utilização de dados pessoais no Brasil, prevendo pesadas punições em caso de vazamento ou mau uso de dados de terceiros.

Os padrões preconizados pela metodologia Privacy by Design são muitas vezes bem mais elevados do que aqueles estabelecidos pela LGPD.

Em relação à Privacidade e Segurança, os artigos 18, 42 e 46 são bastante importantes:

Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição.

Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

  • As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

Cumprir a LGPD é uma obrigação das organizações no Brasil. Ao adotar o Privacy by Design as instituições estarão cumprindo a lei – e indo além.

Em muitos casos, centralizar a privacidade desde o começo dos projetos pode ser mais eficiente, simples e seguro do que considerá-la apenas nos aspectos previstos pela LGPD. Além disso, o custo em caso de infração à lei pode ser bastante alto, superando os investimentos em uma política de privacidade robusta, consistente e confiável – sem contar os dados à imagem e credibilidade das instituições.

Em um contexto de preocupação crescente em relação à privacidade e uso de dados, o Privacy by Design é mais do que um importante aliado para o cumprimento da lei: representa uma notável vantagem competitiva para as organizações.

Na Semantix, a segurança de dados é levada a sério temos processos de governança e o ISSO 27 001 que atestam a alta qualidade dos nossos produtos.

Quer saber mais sobre como utilizar uma estratégia de dados a favor a sua organização, converse com nossos especialistas.

Product Improvements January 2022.

Product Improvements January 2022.

Com o objetivo demostrar as evoluções realizadas no mês, pontuamos as atualizações realizadas para aprimorarmos a segurança, UX e acessibilidade para os seguintes produtos, recursos e funções:

Semantix Data Platform.

Inclusão de vídeos na tela Home “Welcome”

Visando a melhoria contínua do produto, logo após ao usuário realizar o login na plataforma, ele é direcionado para Tela Home, onde incluímos diversos vídeos de boas vindas detalhando sobre como funciona o manuseio das funcionalidade das features em cada etapa.

Está mudança foi realizada após coletarmos feedbacks de usuários internos e externos tornando nossa plataforma mais user friendly, permitindo assim, que o usuário se familiarize com as features de maneira intuitiva, sem a necessidade de interação com time de operação e delivery do SDP.

Documentação do SDP.

Toda plataforma necessita de formalização da documentação. Isto reforça a perspectiva de governança e de processos de certificações adquiridas pelo produto o que proporciona automaticamente mais segurança aos usuários.

Além de conter formalmente as descrições de funcionalidades do produto, em cada etapa como objetivo principal.

Ter uma documentação permite que o usuário explore seus recursos, compreenda o propósito de cada processo e consiga extrair o máximo de benefícios com informações técnicas do produto e afins.

Visando ampliar ainda mais a operacionalidade, melhoramos nossa infraestrutura através de incremento de novos clusters, proporcionando mais confiabilidade das operações do backend do produto.

SDP Finance

Incluímos a produção do OMS (Order Management System) v2 que é gerenciador de envio de ordens em sua segunda versão, ampliando a capacidade de construção de novas estratégias de negociação para nossos usuários, trazendo todas as ordens padrões de mercado e aceitas pela B3, além de abrir espaço para configuração de modelos proprietários.

Realizamos avanços relevantes na Plataforma Risco Sacado como finalização do fluxo de entrada e tratamento de cedentes e sacados, processo de formalização dos contratos de cessão e geração de boletos de cobrança.

Demos início a Plataforma de Barter digital, um projeto inovador que vai reduzir os custos de captação ao pequeno e médio produtor rural com expectativa de entrega no final de Q2.

Realizamos updates na frente de Automação de Fundos. Que agora na frente está aberta para captação ao público do Fundo Quasar Sirius, o primeiro fundo de investimento sistêmico de ponta a ponta (100% baseado em modelos e algoritmos), cuja automação foi desenvolvida 100% em cima do Semantix Data Platform – SDP. Para mais detalhes entrar em contato com [email protected]

SDP Labs.

Incluímos tutoriais de Data Science dento do portal Admin do Semantix Data Platform, permitindo que o usuário possa entender passo a passo como usar a camada de desenvolvimento de algoritmos (Sandbox) da plataforma, de maneira lúdica e simples.

Visando reforçar ainda mais nossa jornada NLP, finalizamos nossa primeira etapa de testes do mecanismo de query no Semantix Data Platform, expandindo o uso do produto nas frentes de NLP.

Desenvolvemos o algoritmo de detecção de fraudes em imagens, sendo mais um recursos SaaS do SDP, localizado em Add-on. Função que permite ao usuário já utilizar o algoritmo para aplicações em detecção de imagens pronto para uso.

Preparamos o algoritmo de recomendação de produtos, sendo mais uma função do SDP Add-on, a qual permite ao usuário ter um algoritmo com critérios determinados para recomendar os melhores produtos para os visitantes e clientes de e-commerce.

Retail SDP.

A fim de melhorar a experiência do usuário final, aprimoramos a interface no admin, incrementando melhores práticas de gestão de acessos e adicionamos o sistema integrado de chamados (ITSM) dentro do admin do produto, facilitando a abertura e visualização de chamados.

LinkApi

Visando este tipo de necessidade, foi implementado no SDP, em cada feature do produto um botão de “documentation”, que direciona os usuários para página que contêm toda documentação de forma simples e rápida.

Acrescentamos o social login, recurso que permite os usuários que possuem contas no Google e o Github possam logar automaticamente utilizando suas contas destas plataformas, impactando diretamente em uma melhor experiência no login.

Tradimus

Nossa marca segue com operação em pleno vapor, atualmente com mais de 29 grupos econômicos atendidos, mais de 146 unidades comerciais e cerca de 4,5MM de guias processadas no mês.

 

Introducing: Semantix.AI – another step-through to grow globally.

Introducing: Semantix.AI – another step-through to grow globally.

Dear Semanticos (as),


As you already know, we are a leading and innovative company in the market, that is
always looking to take our Brazilian DNA for the world.

One of our last milestones to reaffirm this characteristic was to be the first Latin American company to make a transition to the North American public market via SPAC (Special Purpose Acquisition Company) through a merger with Alpha Capital so that we could be updated in the largest technology capital market in the world, NASDAQ.

Seeking to always position Semantix as a leader and have greater relevance, we will change our domain from Semantix.inc to Semantix.ai, a recommendation from our lawyers, stakeholders, investors, and the American market, so that we can continue to grow exponentially with global operations.


Once again, I would like to reinforce my gratitude and immense pride in sharing this
dream and purpose, we will continue to take our essence with humility and hard work to
the four corners of the world, IMPACTING BILLIONS OF LIVES WITH DATA and
aware that people always come first.

Thank you,


Leo Santos.

ISO 27001: Mais segurança de informação no tratamento de dados.

ISO 27001: Mais segurança de informação no tratamento de dados.

Com o propósito de inovar, aprimorar processos internos e propagar a qualidade técnica do nosso sistema de segurança de informações sensíveis conquistamos o ISO 27 001. Uma certificação reconhecida mundialmente por criar e implementar protocolos que proporcionam mais confiança no tratamento adequado dados.

Através da conquista damos mais um passo para realizar com excelência o nosso propósito de impactar bilhões de vidas com dados em toda jornada de dados com mais segurança.

Assim como afirmamos nosso primor na proteção de ativos para nossos clientes e parceiros adotando modelos internacionais de qualidade nos processos de implementação, operação, monitorização e revisão do Sistema de Gestão de Segurança da Informação (ISMS), com procedimentos que garantem confidencialidade, integridade e disponibilidade dos ativos de informações corporativas.

Sendo a certificação do ISO um importante item para organizações que manipulam dados dentro da cultura a data-driven e um marco para a nossa entrada no IPO em NASDAQ programada para o segundo semestre deste ano!

Afinal, o título é homologado e possui normas que zelam pela adoção de um conjunto de requisitos, processos e controles com o objetivo de mitigarem e gerirem adequadamente o risco de ataques de segurança que o causam prejuízos financeiros e danos na reputação de empresas.

Tendo em vista que dados são ativos estratégicos dos negócios e que o vazamento de informações possui impactos intangíveis para a organização, com a iniciativa atestamos nossa idoneidade nos requisitos regulatórios do Regulamento Geral de Proteção de Dados da UE (GDPR), Diretiva sobre Segurança de Redes e Sistemas de Informação e LGPD, minimizando o risco de violação de dados.

Quais padrões de segurança de informação que atestamos com o ISO 27 001?

Antes de abordamos os temas que devem estar em conformidade na organização para a certificação, é importante esclarecer que o ISMS consiste na abordagem de melhores práticas para o gerenciamento de segurança da informação.

Isto significa que empresas com o ISO utilizam metodologias reconhecidas no mercado para gerenciar sua segurança de informação abordando pessoas, processos e tecnologia em uma estrutura única. Deste modo, temos processos de cibersegurança que cumprem os requisitos comerciais e legais que definem as responsabilidades em relação aos riscos da informação.

Ou seja, na prática realizamos o mapeamento de potenciais problemas que podem acontecer com as informações realizando a avaliação de risco e, em seguida, definindo o que precisa ser feito para evitar que tais problemas aconteçam.

Neste sentido quando lidamos com dados é necessário garantir a proteção do teor da informação criando processos que garantem:

  • Confidencialidade: somente as pessoas autorizadas podem ter o direito de acesso as informações.
  • Integridade: apenas as pessoas autorizadas podem alterar as informações.
  • Disponibilidade: a informação deve estar acessível as pessoas autorizadas sempre que necessário.

Em síntese, ao passo que a Semantix adequou seus processos de governança, demonstramos que temos protocolos de controle com políticas que organizam a gestão dos ativos como:  controle de acessos, uso de criptografia, criação de normas para a segurança física e ambiental das informações, formação de padrões de segurança para as operações e comunicações, regras para relações com fornecedores e uso dos recursos humanos, normas para o gerenciamento de incidentes de segurança da informação mantendo a conformidade dos processos com metodologias internacionais para garantir a nossa eficiência operacional.

Quais são as vantagens para o time e para as organizações atendidas?

De antemão pontuamos que com o ISO 27 001 conseguimos mais resiliência na predição de ataques, podemos ser mais assertivos nos custos com tecnologias defensivas para a proteção dos dados, otimizamos o tempo para respostas de possíveis ameaças, aprimoramos recursos humanos e tecnológicos organizando a infraestrutura de TI dos nossos produtos, o que como resultado proporciona base para melhorias contínuas.

Em outras palavras para o time recebemos ganhos como:

  1. Governança Corporativa: criação de regras de negócio de nível estratégico.
  2. Eficiência na gestão de riscos operacionais: processos mais funcionais, por meio da implementação, documentação e determinação de políticas e procedimentos.
  3. Definição de papéis e responsabilidades: redução de retrabalho e processos desnecessários ou redundantes.
  4. Melhoria no gerenciamento de crises.

Benefícios para clientes e parceiros:

  • Diminuição de incidentes com vazamento de informações e paralisação do ambiente.
  • Mais tranquilidade: maior confiança dos parceiros de negócios com a certeza de que suas informações de negócio ou dados privados de usuários estão seguras.

Com a conquista do ISO 27001 estamos mais preparados para atender normas de compliance globais, proporcionando mais oportunidades de negócios para nossos produtos e crescimento da nossa marca.

Enviar Mensagem
Fale com a Semantix pelo WhatsApp!