CIS Controls v8 Privacy Guide Portuguese ONLINE 2022 0513

Guia Complementar
de Privacidade
Janeiro 2022
Guia Complementar de Privacidade 1

Agradecimentos
O CIS gostaria de agradecer aos muitos especialistas em segurança que doaram seu tempo
e talento para apoiar os Controles Críticos de Segurança do CIS (Controles CIS) e outros
trabalhos do CIS. Os produtos CIS representam o esforço de um verdadeiro exército de
voluntários de toda a indústria, generosamente doando seu tempo e talento em nome de uma
experiência online mais segura para todos.
Editores
Joshua M. Franklin, CIS
Christina Runnegar, Internet Society
Contribuintes
Ginger Anderson, CIS
Michael Felt, IBM
Alexis Hancock, Electronic Frontier Foundation
Robin Regnier, CIS
Tony Rutowski, ETSI
Valecia Stocchetti, CIS
e outros especialistas voluntários da Comunidade CIS pelo conteúdo e edição deste guia.
Este trabalho foi licenciado sob uma Licença Pública Internacional Creative Commons Atribuição-Não Comercial-SemDerivações 4.0 (link em https://
creativecommons.org/licenses/by-nc-nd/4.0/legalcode.pt).
Para esclarecer sobre a licença Creative Commons relacionada ao conteúdo dos Controles CIS®, você está autorizado a copiar e redistribuir o conteúdo
como um framework para seu uso, dentro e fora da sua organização, apenas para fins não comerciais, desde que (i) seja dado o crédito apropriado ao
CIS, e (ii) um link para a licença seja fornecido. Além disso, se você remixar, transformar ou desenvolver sobre os Controles CIS, não poderá distribuir
os materiais modificados. Usuários do framework de Controles CIS também devem consultar (http://www.cisecurity.org/controls/) ao se referir aos
Controles CIS, a fim de garantir que os usuários estejam empregando as orientações mais atualizadas. O uso comercial dos Controles CIS está sujeito à
aprovação do Center for Internet Security, Inc. (CIS®).
Guia Complementar de Privacidade Agradecimentos i

Reconhecimento
O CIS agradece a todos os voluntários especialistas da comunidade de cibersegurança

por partilharem o seu tempo e talento com a organização do CIS, e à Modulo Security pela
tradução e divulgação deste documento à comunidade de língua portuguesa.
Guia Complementar de Privacidade Reconhecimento ii

Conteúdo
Introdução 1
Metodologia 2
Estrutura do Documento 4
Audiência 5
Escopo 6
Avaliação de Privacidade 7
Visão geral da aplicabilidade 8
CONTROLE 01 Inventário e Controle de Ativos Corporativos 9

Aplicação de Privacidade 9
Implicações de Privacidade 9
Discussão Adicional 10
Princípios FIPP (Fair Information Practice Principles) 10
Princípios GDPR (General Data Protection Regulation) 11
Controle 1 Tabela de Aplicação de Privacidade 12
CONTROLE 02 Inventário e Controle de Ativos do Software 13

CONTROLE 03 Proteção de Dados 17

CONTROLE 04 Configuração Segura de Ativos Corporativos e Software 22

CONTROLE 05 Gestão de Contas 27

Guia Complementar de Privacidade Conteúdo iii

CONTROLE 06 Gestão de Acesso 31
CONTROLE 07 Gestão Contínua de Vulnerabilidades 35

CONTROLE 08 Gestão de Logs de Auditoria 38

CONTROLE 09 Proteções para Navegador Web e E-mail 42

CONTROLE 10 Defesas Contra Malware 46

CONTROLE 11 Recuperação de Dados 49

CONTROLE 12 Gestão de Infraestrutura de Redes 52

Guia Complementar de Privacidade Conteúdo iv

CONTROLE 13 Monitoramento e Proteção de Rede 56
Implicações de privacidade 56
Tabela de Aplicabilidade de Privacidade do Controle 13 58
CONTROLE 14 Conscientização de Segurança e Treinamento de Competência 60

Aplicabilidade de Privacidade 60
Tabela de Aplicabilidade de Privacidade do Controle 14 62
CONTROLE 15 Gestão de Provedores de Serviço 64

CONTROLE 16 Segurança de Aplicativos 68

CONTROLE 17 Gestão de Resposta a Incidente 74

CONTROLE 18 Teste de Invasão 78

Siglas e Abreviaturas 81
Links e Recursos 82
Notas Finais 83
Guia Complementar de Privacidade Conteúdo v

Introdução
Os Controles de Segurança Crítica do CIS (Controles CIS) são um conjunto priorizado de

ações que formam coletivamente uma abordagem de defesa em profundidade e melhores
práticas para mitigar os ataques mais comuns contra sistemas e redes. Os Controles CIS são
desenvolvidos por uma comunidade de especialistas em tecnologia da informação (TI) que
aplicam sua experiência em primeira mão como defensores cibernéticos para criar essas
melhores práticas de segurança globalmente aceitas. Os especialistas que desenvolvem
os Controles CIS vêm de uma ampla gama de setores, incluindo varejo, manufatura, saúde,
transporte, educação, governo, defesa, entre outros. Enquanto os Controles CIS abordam as
práticas gerais que a maioria das empresas deve tomar para proteger seus sistemas, alguns
ambientes operacionais e aspectos de um programa de segurança da informação podem
apresentar requisitos exclusivos não abordados pelos Controles CIS.
Muitos profissionais do setor de cibersegurança lutam para entender as diferenças entre

privacidade e segurança. Alguns veem ambos como um meio interrelacionado para um fim, tal
como privacidade fornecida por meio do uso da criptografia para proteger a confidencialidade.
Alguns profissionais de TI também equiparam “privacidade” à confidencialidade. Essa
confusão torna um desafio para os profissionais de TI protegerem a privacidade de forma
eficaz, uma vez que muitas vezes é impraticável alcançar privacidade sem segurança;
no entanto, é possível obter segurança sem privacidade. Ou pior, a segurança pode ser
alcançada às custas da privacidade. Além disso, a equipe jurídica lida com as implicações de
mudanças tecnológicas que muitas vezes superam a lei. O objetivo do Guia de Privacidade
dos Controles CIS é desenvolver as melhores práticas e orientações para a implementação
dos Controles CIS, considerando cuidadosamente os impactos de privacidade na força de
trabalho, clientes e terceiros. O Guia de Privacidade apoia os objetivos dos Controles CIS,
alinhando princípios de privacidade e destacando potenciais preocupações de privacidade
que possam surgir através do uso dos Controles CIS. Considerações são apresentadas para
que a equipe de TI, jurídico e qualquer outra equipe com responsabilidades de privacidade
possam identificar oportunidades de integrar considerações de privacidade aos controles de
segurança de dados.
Guia Complementar de Privacidade Introdução 1

Metodologia
Uma abordagem consistente é necessária para analisar os Controles CIS no contexto da

privacidade. O CIS está aproveitando os Princípios FIPP (Fair Information Practice Principles)
(FIPPs)1 e a General Protection Data Regulation (GDPR)2 para ajudar a analisar as Implicações
de Privacidade de cada Controle do CIS.
Os FIPPs são diretamente citados da seguinte forma:
1 O Princípio da Limitação da Coleta: Deve haver limites para a coleta de dados

pessoais e tais dados devem ser obtidos por meios legais e justos e, se for o caso, com o
conhecimento ou consentimento do titular de dados.
2 O Princípio da Qualidade de Dados: Os dados pessoais devem ser relevantes para as

finalidades para os quais devem ser utilizados e, na medida do necessário para esses fins,
devem ser precisos, completos e atualizados.
3 O Princípio da Especificação da Finalidade: As finalidades para os quais os dados

pessoais são coletados devem ser especificadas o mais tardar no momento da Coleta de
Dados e o uso subsequente limitado ao cumprimento dessas finalidades ou de outras que
não sejam incompatíveis com essas finalidades e conforme especificadas em cada ocasião
de mudança da finalidade.
4 O Princípio da Limitação de Uso: Os dados pessoais não devem ser divulgados,

disponibilizados ou utilizados de outra forma para fins diferentes daqueles especificados,
exceto a) com o consentimento do titular de dados, ou b) pela autoridade de direito.
5 O Princípio das Medidas de Segurança: Os dados pessoais devem ser protegidos por
medidas de segurança razoáveis contra riscos como perda ou acesso não autorizado,
destruição, uso, modificação ou divulgação de dados.
6 O Princípio da Transparência: Deve haver uma política geral de Transparência sobre

desenvolvimentos, práticas e políticas em relação aos dados pessoais. Meios devem estar
prontamente disponíveis para estabelecer a existência e a natureza dos dados pessoais
e as principais finalidades de seu uso, bem como a identidade e a residência habitual do
controlador de dados.
7 O Princípio da Participação do Indivíduo: Um indivíduo deve ter o direito:
a obter de um controlador de dados, ou de outra forma, confirmação se o controlador de

dados possui ou não dados relacionados a ele;
b fazer com que os dados que lhe digam respeito lhe sejam comunicados, dentro de um
prazo razoável, a um custo, se houver, que não seja excessivo; de maneira razoável, e de
forma que seja prontamente inteligível para ele;
c de receber razões se um pedido feito nos termos das alíneas (a) e (b) for negado e ser
capaz de contestar tal recusa; e
d contestar dados relacionados a ele e, se a contestação for bem sucedida, fazer com que
os dados sejam apagados, corrigidos, completados ou alterados.
8 O Princípio da Prestação de Contas: Um controlador de dados deve ser responsabilizado

pelo cumprimento das medidas que dão efeito aos princípios acima indicados.
1 Princípios FIPP (Fair Information Practice Principles) (iapp.org)

2 General Protection Data Regulation (gdpr.eu)
Guia Complementar de Privacidade Metodologia 2

A GDPR é uma regulação multifacetada que rege o processamento de dados pessoais,
bem como outros aspectos técnicos de uma corporação, na União Europeia (UE) e além.
As características essenciais da regulamentação são proteger os dados pessoais como um
direito fundamental e que a privacidade deve ser respeitada. Muitas novas leis de privacidade
em todo o mundo estão usando a GDPR como estrutura para a lei de privacidade em seu
próprio país, estado ou região. A UE escreveu a GDPR de tal forma que se aplica a qualquer
corporação que processe os dados dos cidadãos da UE. Portanto, cada Controle do CIS
é analisado para as etapas que as corporações precisam seguir para garantir que estão
incluindo os princípios da GDPR em seus negócios. Isso não quer dizer que a implementação
de cada Controle do CIS tornará uma corporação compatível com a GDPR.
Como a GDPR é uma lei de grande porte, abrangendo múltiplas áreas, o CIS destacou as
áreas da GDPR a serem cobertas por este guia abaixo.3
9 Legalidade, justiça e transparência: processados legalmente, de forma justa e

transparente em relação ao titular dos dados.
10 Limitação da finalidade: coletada para finalidades especificadas, explícitas e legítimas e

não processada de forma incompatível com essas finalidades; tratamento posterior para
fins de arquivamento de interesse público, fins de pesquisa científica ou histórica ou fins
estatísticos não serão considerados incompatíveis com as finalidades iniciais.
11 Minimização de dados: adequados, pertinentes e limitados ao necessário em relação às

finalidades para as quais são processados.
12 Precisão dos dados: precisos e, se necessário, mantidos atualizados; todas as medidas

razoáveis devem ser tomadas para garantir que os dados pessoais que são imprecisos,
tendo em conta as finalidades para as quais são processados, sejam apagados ou
corrigidos sem demora.
13 Limitação de armazenamento: mantidos em uma forma que permita a identificação de

titulares de dados por não mais do que o necessário para os fins para os quais os dados
pessoais são processados; os dados pessoais podem ser armazenados por períodos
mais longos, na medida em que os dados pessoais serão processados exclusivamente
para fins de arquivamento de interesse público, pesquisa científica ou histórica ou fins
estatísticos de acordo com o artigo 89(1) sujeito à implementação das medidas técnicas
e organizacionais apropriadas [sic] exigidas pela presente Regulamentação para
salvaguardar os direitos e liberdades do titular de dados.
14 Integridade e confidencialidade: processados de forma que garanta a segurança

adequada dos dados pessoais, incluindo proteção contra processamento não autorizado
[sic] ou ilegal e contra perda, destruição ou danos acidentais, utilizando medidas técnicas
ou organizacionais apropriadas [sic].
Estes são apenas os princípios da GDPR. A GDPR também declara uma série de direitos para
os usuários, sendo alguns deles conceitos um tanto novos. Isso inclui o direito de apagamento
(“direito a ser esquecido”), que permite que o usuário solicite que seus dados sejam excluídos
de um proprietário de dados se determinadas condições forem atendidas. Outros direitos
incluem a capacidade dos usuários de acessar seus próprios dados e corrigir imprecisões.
Além dos direitos dos usuários, estipulações são impostas para corporações da UE, como
notificações obrigatórias de violação, se uma empresa sofrer uma violação de dados e projetar
todos os produtos futuros de empresas para alavancar a privacidade como um princípio
fundamental. A GDPR contém muitos itens para analisar neste único documento, e este guia
se concentrará nos Princípios 1 a 6 da GDPR.
3 https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN#d1e1797-1-1
Guia Complementar de Privacidade Metodologia 3

Estrutura do Documento
Para cada um dos 18 Controles CIS, as seguintes informações são fornecidas

neste documento:
Aplicação de Privacidade — Explora o grau em que um Controle do CIS diz respeito à

privacidade. Apenas Medidas de Segurança específicas de um Controle contribuem para
a privacidade. Isso pode incluir a proteção da privacidade de funcionários e clientes, mas
também pode incluir os sistemas de TI da empresa.
Implicações de Privacidade — Inclui as questões de privacidade e/ou riscos associados

à implementação de controles específicos do CIS. Isso ajuda a implementar os FIPPs de
Limitação de Uso, Medidas de Segurança e Prestação de Contas.
• Coleta de Dados. Isso se concentra nos tipos de dados coletados pela corporação na
implementação de um Controle de CIS. Embora haja sempre um foco específico em
informações de identificação pessoal (PII), outros tipos de dados também podem ser
avaliados, como dados abertos, dados comerciais e dados do cliente (por exemplo,
informações sobre indivíduos que usam os serviços de uma empresa).
• Armazenamento de Dados. Depois que os dados são coletados, eles devem ser
armazenados em algum lugar até que sejam excluídos. Essa parte analisa questões
associadas ao armazenamento de dados, como onde e como os dados são armazenados.
Isso também inclui as partes envolvidas no processo de armazenamento.
Discussão Adicional — Uma área de orientação geral para incluir ferramentas, produtos

ou informações de ameaças relevantes que possam ser úteis podem ser encontradas aqui.
Isso ajuda a implementar os FIPPs de Transparência, Qualidade dos Dados e Integridade e
Confidencialidade.
Princípios FIPP (Fair Information Practice Principles) — Preocupações e outras informações

associadas aos princípios FIPPs. Apenas FIPPs relevantes serão listados.
Princípios GDPR (General Data Protection Regulation) — Preocupações e outras

informações associadas aos princípios GDPR. Apenas os princípios pré-especificados da
GDPR serão listados.
Além disso, uma Tabela de Aplicabilidade do Controle é fornecida no final de cada seção.
Esta tabela mostra a aplicabilidade de cada Medida de Segurança CIS à privacidade. A
letra “S” mostra que uma Medida de Segurança CIS tem impactos de privacidade, e “N”
significa que não há impacto na privacidade. Essas tabelas descrevem quaisquer impactos
de privacidade que uma determinada Medida de Segurança CIS possa ter e seja capaz de
ajudar nos esforços de aplicação da privacidade. Às vezes era difícil identificar quando uma
Medida de Segurança era diretamente aplicável à privacidade. Por exemplo, muitas Medidas
de Segurança são projetadas para manter as informações protegidas contar divulgação
não autorizada através de uso de criptografia e controle de acesso. Mas ao identificar se
uma Medida de Segurança é aplicável à privacidade, avaliar se um Controle pode proteger
a segurança dos dados pessoais, em última análise, não foi considerado. Se fosse uma
consideração, então todas as Medidas de Segurança dos Controles CIS seriam aplicáveis, pois
são projetadas para proteger os sistemas de TI que mantém os dados pessoais.
Guia Complementar de Privacidade Estrutura do Documento 4

Audiência
Este Guia de Privacidade é um recurso destinado tanto aos profissionais de segurança de

TI, que estão familiarizados com os Controles CIS, quanto com o pessoal da equipe jurídica
ou privacidade em uma empresa. Os usuários deste guia devem ter um conhecimento
prático sobre conceitos básicos de privacidade. Os FIPPs previamente introduzidos em
muitos aspectos são um elemento fundamental no espaço de privacidade. Este documento
fornece um histórico de seu desenvolvimento e uso. O National Institute of Standards and
Technology (NIST®) Privacy Framework fornece um guia básico para conceitos de privacidade.
Finalmente, certificações como o Certified Information Privacy Professional (CIPP) de
International Association of Privacy Professionals (IAPP) podem auxiliar os profissionais na
aprendizagem para entender os conceitos centrais para aplicar a privacidade e gerenciar os
riscos de privacidade.
Este documento fornece uma ponte entre os profissionais de segurança de TI que buscam
entender melhor como a privacidade se aplica aos controles de segurança de TI e
profissionais de privacidade ou jurídicos que precisam entender melhor como a tecnologia
moderna e os processos de TI podem afetar a privacidade. Esperamos que este documento
possa permitir uma linha de comunicação entre esses dois grupos e melhorar o processo
geral de governança pelo qual a gestão legal e de negócios se comunicam com as equipes de
segurança e TI. A governança adequada dos dados ajudará as empresas a entender melhor
as Implicações de Privacidade associadas à implementação de Controles CIS específicos e
potencialmente desenvolver mitigações adicionais para ajudar a atender aos objetivos de
privacidade de uma empresa.
Esperamos que os profissionais de privacidade aprendam sobre os Controles CIS e como

eles podem ser uma ferramenta para apoiar os requisitos de privacidade. Este guia deve ser
um bom ponto de partida para estabelecer um diálogo construtivo e cooperação entre todos
os grupos. O Guia de Privacidade é útil para empresas de qualquer porte: grandes empresas
que podem não ter comunicação sólida entre TI e equipes jurídicas e Pequenas/Médias
Empresas (PMEs) que podem não saber o que precisam saber. O guia descreve algumas das
Implicações de Privacidade dos Controles do CIS e sugere abordagens de mitigação. A equipe
técnica pode não estar ciente de tópicos como requisitos regulatórios, normas de proteção
de dados, requisitos em acordos de parceiros e leis de divulgação de violação, que eles
precisam preparar para relatórios. Não há solução mágica para abordar as considerações de
privacidade, pois muitas vezes são complexas e variam de acordo com país, estado, setor, tipo
de cliente e outros fatores.
Guia Complementar de Privacidade Audiência 5

Escopo
Embora um tratamento completo de privacidade possa ser bastante demorado, este guia é
apenas um ponto de partida para delinear os processos mais essenciais que toda empresa
deve focar ao lidar com questões de privacidade e segurança de dados. Embora os seguintes
tópicos estejam fora do escopo do guia, encorajamos as empresas a estarem atentas às
seguintes questões, quando aplicável:
• Evolução das leis nacionais e internacionais de privacidade
• Requisitos de divulgação de violação que são aplicáveis localmente, regionalmente ou

nacionalmente, incluindo quaisquer outras leis de divulgação de violação exclusivas de
uma indústria ou setor
• Privacidade relacionada a dispositivos móveis pessoais usados na empresa
• Privacidade relacionada à alavancagem da plataforma ou serviço de outra empresa (por

exemplo, computação em nuvem)
• Dados criados como resultado do uso de produtos e serviços de outra empresa que podem
impactar a privacidade de funcionários e usuários
• Requisitos de portabilidade de dados
• Transferências internacionais
Ao observar as implicações de privacidade dos Controles CIS e sugerir mitigações, este

documento tem uma visão ampla da privacidade, uma vez que as leis variam. Por isto, é
fundamental que as equipes de segurança de TI e privacidade trabalhem em conjunto para
alcançar metas de privacidade regulatórias e internas.
Por fim, no contexto deste guia, a privacidade foi considerada para funcionários e clientes
de produtos e serviços feitos pela empresa. Essencialmente, privacidade dos funcionários
da empresa foi considerada, e também a privacidade para os usuários finais de terem suas
senhas postadas online.
Guia Complementar de Privacidade Escopo 6

Avaliação de Privacidade
Existem muitas maneiras de avaliar como a privacidade é protegida em uma empresa. O

National Academy of Sciences (NAS) Privacy Research and Best Practices report4 afirma
que, “as organizações devem desenvolver e adaptar continuamente suas próprias políticas e
práticas internas para proteger a privacidade — além daquelas que são legalmente exigidas —
para serem eficazes e manter a confiança de seus stakeholders e do público.” Portanto, o CIS
incentiva as empresas a se comprometerem em uma avaliação de privacidade ao implementar
novos sistemas ou controles de TI. Muitos frameworks de avaliação de privacidade existem e
são baseados em princípios fundamentais diferentes, mas muitas vezes relacionados.
O PIA - Privacy Impact Assessment (Análise de Impacto da Privacidade) é uma maneira de

realizar avaliações de privacidade. Os PIAs ajudam uma empresa a identificar dados pessoais
que uma empresa coleta, processa, compartilha e mantém. Eles podem ajudar a demonstrar
que gestores de programas e os proprietários de sistemas incorporam intencionalmente os
princípios de privacidade em seus sistemas de informação e práticas comerciais. Existem
várias maneiras de realizar uma avaliação de impacto de privacidade. O governo da Nova
Zelândia publicou um documento fornecendo passos úteis para a realização de uma avaliação
de impacto de privacidade.
O NIST fornece uma Estrutura de Privacidade que é uma abordagem mais recente para avaliar
a privacidade em uma empresa. A estrutura é uma “ferramenta que pode ajudar sua empresa
a criar ou melhorar um programa de privacidade. Uma gestão eficaz de riscos de privacidade
pode ajudá-lo a construir confiança em seus produtos e serviços, comunicar-se melhor sobre
suas práticas de privacidade e cumprir suas obrigações de conformidade. Uma boa segurança
cibernética é importante, mas não pode resolver todos os riscos de privacidade.” O NIST®
fornece vários recursos para ajudar pequenas e médias empresas a incorporar princípios de
privacidade em suas práticas atuais de TI.
Finalmente, o European Telecommunications Standards Institute (ETSI) forneceu recursos

para implementações de melhoria de privacidade usando os Controles CIS via ETSI TR
103 305-5. Existem uma variedade de mecanismos neste documento que podem facilitar e
incentivar a proteção da privacidade. Além disso, os Controles podem ajudar a cumprir as
disposições da GDPR da UE usando os Controles Críticos de Segurança do CIS. O presente
documento é direcionado tanto para alcançar objetivos de privacidade quanto para a
realização de avaliações de impacto de privacidade.
Os Controles do CIS não contêm um Controle especificamente focado em privacidade. Por

isto, o CIS não recomenda uma única abordagem para a realização de uma avaliação de
privacidade. Em vez disso, várias abordagens são fornecidas para conscientizar os usuários
finais das opções existentes para facilitar o aumento dos mecanismos de privacidade.
4 National Academies of Sciences, Engineering, and Medicine. 2016. Privacy Research and Best Practices: Summary of a Workshop for the Intelligence
Community. Washington, DC: The National Academies Press. doi:10.17226/21879.
Guia Complementar de Privacidade Avaliação de Privacidade 7

Visão geral da aplicabilidade
Controle
0% das Medidas CIS Título do controle CIS Aplicabilidade
se aplicam
Entre 1% e 60% das medidas 01 Inventário e Controle de Ativos Corporativos
CIS se aplicam
02 Inventário e Controle de Ativos do Software
Mais de 60% das medidas
CIS se aplicam 03 Proteção de Dados
04 Configuração Segura de Ativos Corporativos e Softwares
05 Gestão de Contas
06 Gestão de Acesso
07 Gestão Contínua de Vulnerabilidade
08 Gestão de Log de Auditoria
09 Proteções para Navegador Web e E-mail
10 Defesa Contra Malware
11 Recuperação de Dados
12 Gestão de Infraestrutura de Rede
13 Monitoramento e Proteção de Rede
14 Conscientização de Segurança e Treinamento de Competências
15 Gestão de Provedores de Serviço
16 Segurança de Aplicativos
17 Gestão de Resposta a Incidentes
18 Penetration Testing
Guia Complementar de Privacidade Visão geral da aplicabilidade 8

CONTROLE
01 Inventário e Controle de
Ativos Corporativos
Visão Geral Gerencie de forma ativa (inventariar, rastrear e corrigir) todos os ativos corporativos
(dispositivos de usuário final, incluindo portáteis e móveis; dispositivos de rede;
dispositivos não computacionais; Internet das Coisas (IoT); e servidores) conectados
fisicamente à infraestrutura, virtualmente, remotamente, e aqueles em ambientes de
nuvem, para saber com precisão a totalidade dos ativos que precisam ser monitorados e
protegidos na empresa. Isso também ajudará na identificação de ativos não autorizados e
não gerenciados para removê-los ou remediá-los.
Aplicação de Privacidade
Este Controle CIS é aplicável à criação e manutenção de inventários de dispositivos. Os

princípios de privacidade devem ser incorporados ao processo de inventário do dispositivo,
tanto do ponto de vista tecnológico quanto processual. Muitas das Medidas de Segurança
neste Controle são aplicáveis à privacidade.
Implicações de Privacidade
O conhecimento sobre um dispositivo, onde ele está localizado, quem o está usando e como
está usando, poderia fornecer informações sobre um indivíduo (“dados pessoais”). Além disso,
muitas empresas usam o nome ou identificador de um indivíduo, que liga explicitamente
o dispositivo ao indivíduo. Assim, os inventários de ativos corporativos devem ser tratados
como se contivessem dados pessoais. Observe que isso pode ocorrer com laptops, IoT
e dispositivos móveis. Em algum momento, é possível que o software de monitoramento
e rastreamento cruze uma linha e afete negativamente a segurança e a privacidade dos
funcionários, tornando-se essencialmente “surveillanceware” dos funcionários.
É comum que as empresas provisionem modelos de dispositivos aos funcionários com base
em seu papel na empresa. Por exemplo, os desenvolvedores podem ser provisionados com
laptops mais poderosos do que os funcionários gerais, ou os executivos podem receber
tablets. O conhecimento dessas informações pode permitir a inferência do papel do usuário
na empresa e características potencialmente associadas, como faixa salarial provável.
Com alguns cenários de implantação de dispositivos móveis, como Bring Your Own Device
(BYOD) ou Corporately Owned, Personally Enabled (COPE), as plataformas de gestão de
dispositivos podem rastrear a localização desse dispositivo a qualquer momento, o que pode
expor o paradeiro de um usuário. Algumas plataformas de gestão de dispositivos também
podem acompanhar o uso do dispositivo e até mesmo o conteúdo, que provavelmente
envolverá dados pessoais.
Coleta de Dados
Os tipos de dados comuns coletados para este Controle CIS incluirão informações sobre o
dispositivo, como modelo, proprietário, IP e Nome do dispositivo. O Nome do dispositivo pode
incluir Nomes de usuário ou outras informações do usuário. As informações de identificação
(ou seja, dados pessoais) sobre o usuário geralmente são armazenadas no inventário do
dispositivo, como Nome, sobrenome, função de funcionário e informações de contato, como
número de telefone e endereço de e-mail. As informações coletadas de dispositivos móveis
podem incluir informações detalhadas sobre o dispositivo móvel para incluir número de
telefone e identificadores de dispositivo.
Guia Complementar de Privacidade Controle 01: Inventário e Controle de Ativos Corporativos 9

Armazenamento de Dados
As informações de inventário do dispositivo podem ser armazenadas em uma planilha do

Microsoft Excel localizada no sistema de um administrador do sistema. O inventário também
pode ser hospedado em um banco de dados local armazenado na rede corporativa. É bastante
comum o uso de um aplicativo para auxiliar na criação e manutenção de um inventário de
dispositivos. Essas informações podem ser armazenadas localmente, mas também podem ser
armazenadas em um sistema baseado em nuvem fora do controle da empresa. O provedor
de serviços externo pode ter acesso a todas as informações do inventário de dados, tornando
relevante que as políticas de privacidade do provedor de serviços sejam conhecidas antes do
uso. Quaisquer hot sites ou outras organizações/hardwares que forneçam redundância de
dados também podem armazenar esses dados e informações do usuário.
Discussão Adicional
A equipe técnica deve trabalhar com o gestor de privacidade ou o advogado para identificar
quais requisitos são necessários para a proteção da privacidade em relação a este Controle
CIS. Deve ser mantida a preservação da privacidade dos Nomes de host, especialmente para
dispositivos que devem operar fora da rede corporativa (por exemplo, telefones, laptops de
viagem). Os inventários de dispositivos devem ser protegidos contra acesso e exposição não
autorizados por meio de outros Controles e Medidas de Segurança CIS relevantes, uma vez
que contêm dados pessoais e podem ser usados para atacar uma empresa, seus funcionários,
contratantes e provedores de serviços.
Sistemas de inventário automatizados devem ser configurados para coletar apenas as

informações exigidas pela empresa para seu inventário e excluir informações obsoletas
em tempo hábil. Sistemas de inventário automatizados também devem ser auditados
manualmente para confirmar que os dados estão sendo coletados, mantidos e excluídos
conforme o planejado. Isso pode exigir tempo e configuração adicionais. A documentação
deve refletir explicitamente as decisões de privacidade e as razões associadas, e as
mitigações em vigor para a criação e manutenção do inventário de hardware.
Princípios FIPP (Fair Information Practice Principles)
O Princípio da Limitação da Coleta — A TI deve coletar apenas os dados necessários dos

dispositivos ao criar e manter um inventário. A TI deve considerar cuidadosamente se os
dados são realmente necessários para manter e gerenciar um inventário com segurança.
O Princípio da Qualidade de Dados — Dados desnecessários não devem ser coletados

ou mantidos em um inventário de ativos corporativos. Os dados devem ser atualizados
regularmente e utilizados apenas para fins de inventário de dados. Os dados obsoletos devem
ser excluídos em tempo hábil.
O Princípio da Especificação da Finalidade — Os funcionários devem entender quais dados

pessoais serão mantidos dentro do inventário de ativos corporativos e como serão usados.
O Princípio da Limitação de Uso — Os dados pessoais armazenados nos inventários de

ativos corporativos não devem ser compartilhados ou usados para outros fins sem permissão
explícita do funcionário. Essas outras finalidades devem ser necessárias e razoáveis.
O Princípio das Medidas de Segurança — Os Controles CIS podem ser potencializados para
permitir esse princípio, como o Controle 3: Proteção de Dados.
O Princípio da Transparência — Os funcionários devem entender quais sistemas externos

podem conter dados pessoais e por quê.
O Princípio da Participação do Indivíduo — Os funcionários devem ter a capacidade de

solicitar de forma razoável quais dados são mantidos sobre eles no inventário.

O Princípio da Prestação de Contas — Este princípio tem que ser discutido com o prestador
de serviços antes da seleção e uso.
Princípios GDPR (General Data Protection Regulation)
Legalidade, justiça e transparência — Os funcionários devem entender quais dados pessoais

serão mantidos dentro do inventário de ativos corporativos e como serão usados. Uma base
legal é necessária para coletar dados pessoais no inventário de ativos corporativos.
Limitação da finalidade — Os usuários devem ser informados por escrito sobre sua finalidade
de coletar dados pessoais no inventário de ativos corporativos desde o início da coleta. Os
dados pessoais mantidos no inventário de ativos corporativos só devem ser usados para fins
de inventário. Isso pode entrar em conflito com a necessidade de aproveitar os dados de
inventário de ativos para baselines de segurança e gestão de vulnerabilidades. Isso só pode
se aplicar a dispositivos de propriedade pessoal. Os dispositivos de propriedade da empresa
podem não estar sujeitos a este princípio.
• Minimização de dados. Dados de inventário desnecessários não devem ser coletados ou
mantidos em um inventário de ativos corporativos. Os dados coletados para o inventário de
hardware devem ser usados especificamente para o inventário de hardware e nada mais.
• Precisão dos dados. Os dados devem ser atualizados regularmente, quando necessário
e utilizados apenas para fins de inventário de dados. Os processos escritos devem ser
documentados sobre como o inventário de ativos corporativos é mantido e como os dados
incorretos são corrigidos.
• Limitação de armazenamento. Os dados de inventário que podem identificar um indivíduo
só devem ser armazenados pelo tempo necessário. Os dados obsoletos devem ser
excluídos sem mais tardar.
Integridade e confidencialidade — Os Controles CIS podem ser potencializados para permitir

esse princípio, como o Controle 3: Proteção de Dados. Os dados de inventário de ativos
corporativos devem ser protegidos contra acesso, modificação e divulgação não autorizados.

Controle 1 Tabela de Aplicação de Privacidade
Segurança
Medida de
Aplicabilidade Incluída?
Tipo de Função de Título do Controle/ Justificativa de aplicabilidade e considerações de
ativo Segurança Descrição privacidade
1.1 Dispositivos Identificar Estabelecer e manter o inventário detalhado de Sim

ativos corporativos As informações coletadas nos inventários de
Estabeleça e mantenha um inventário preciso, ativos provavelmente contêm ou estão diretamente
detalhado e atualizado de todos os ativos conectadas a sistemas de informação contendo
corporativos com potencial para armazenar ou PII e outros dados pessoais. Certifique-se de que
processar dados, incluindo: dispositivos de usuário sua empresa tenha, e implementa, uma política de
final (incluindo portáteis e móveis), dispositivos manuseio de dados para o inventário que aplica os
de rede, dispositivos não computacionais/IoT e princípios (acima).
servidores. Certifique-se de que o inventário registre
o endereço de rede (se estático), endereço de
hardware, nome da máquina, proprietário do ativo de
dados, departamento para cada ativo e se o ativo foi
aprovado para se conectar à rede. Para dispositivos
móveis de usuário final, as ferramentas do tipo MDM
podem oferecer suporte a esse processo, quando
apropriado. Este inventário inclui ativos conectados à
infraestrutura fisicamente, virtualmente, remotamente
e aqueles dentro dos ambientes de nuvem. Além
disso, inclui ativos que são regularmente conectados
à infraestrutura de rede corporativa, mesmo que
não estejam sob o controle da empresa. Revise e
atualize o inventário de todos os ativos corporativos
semestralmente ou com mais frequência.
1.2 Dispositivos Responder Endereçar ativos não autorizados Sim

Assegure que exista um processo para lidar com A identificação e endereçamento de ativos não
ativos não autorizados semanalmente. A empresa autorizados pode envolver intencionalmente ou não
pode escolher remover o ativo da rede, negar que o a coleta de dados pessoais (por exemplo, os nomes
ativo se conecte remotamente à rede ou colocar o dos identificadores de dispositivos de servidor sem
ativo em quarentena. fio (Wi-Fi) comumente utilizados (SSIDs) usados
por um dispositivo móvel, que poderia conter nomes
de indivíduos como Alice e Bob ou o nome de um
provedor médico ou outro lugar que o indivíduo tenha
visitado anteriormente).
1.3 Dispositivos Detectar Usar uma ferramenta de descoberta ativa Sim

Utilize uma ferramenta de descoberta ativa para O uso de ferramentas automatizadas para verificar
identificar ativos conectados à rede corporativa. dispositivos pode obter informações que a empresa
Configure a ferramenta de descoberta ativa para poderia usar para vincular dispositivos a indivíduos.
executar diariamente ou com mais frequência. Quando verificados, os dispositivos podem mostrar
informações de identificação como resposta.
1.4 Dispositivos Identificar Usar o Log do Dynamic Host Configuration Sim

Protocol (DHCP) para atualizar o inventário de Os logs do DHCP contêm informações confidenciais
ativos corporativos porque mapeiam identificadores de dispositivos para
Use o log do DHCP em todos os servidores um endereço IP,
DHCP ou ferramentas de gestão de endereço por isso é fundamental que uma empresa limite quem
Internet Protocol (IP) para atualizar o inventário de tenha acesso, proteja cuidadosamente os dados e
ativos corporativos. Revise e use logs para atualizar tenha uma política de retenção de dados que limite o
o inventário de ativos corporativos semanalmente ou tempo que ele retém esses dados.
com mais frequência.
1.5 Dispositivos Detectar Usar uma ferramenta de descoberta passiva Sim

Use uma ferramenta de descoberta passiva para A descoberta passiva pode envolver a coleta e o
identificar ativos conectados à rede corporativa. uso de identificadores de dispositivos únicos (por
Revise e use varreduras para atualizar o inventário exemplo, nomes de host, controle de acesso à
de ativos corporativos pelo menos semanalmente ou mídia (MAC) endereços e endereços IP). A empresa
com mais frequência. provavelmente tem a capacidade de vincular esses
identificadores a usuários individuais. Quando
esses identificadores são combinados com outros
dados sobre esses usuários, as informações
resultantes podem ser dados pessoais. Até mesmo
os identificadores, quando vinculados ou capazes
de serem vinculados a um indivíduo, podem ser
considerados dados pessoais.

CONTROLE
02 Inventário e Controle de
Ativos do Software
Visão Geral Gerencie de forma ativa (inventariar, rastrear e corrigir) todos os softwares (sistemas
operacionais e aplicações) na rede para que apenas software autorizado seja instalado e
possa ser executado, e que software não autorizado e não gerenciado seja encontrado e
impedido de ser instalado ou executado
Este Controle CIS é aplicável ao desenvolvimento e manutenção de inventários de software.

Os princípios de privacidade devem ser incorporados ao processo de inventário de software,
tanto do ponto de vista tecnológico quanto processual. Várias Medidas de Segurança não
foram incluídas para privacidade.
Os inventários de software listam softwares (e versões) autorizados instalados em dispositivos

aprovados pela empresa. Esses ativos de software estão diretamente ligados a indivíduos
específicos e podem coletar e manipular dados pessoais sobre usuários específicos.
Certos ativos de software conterão informações sobre funcionários, como informações

médicas de aplicações de bem-estar garantidas, informações financeiras de softwares
contábeis e de folha de pagamento e informações pessoais de softwares de gestão de
recursos humanos.
Softwares em dispositivos móveis habilitados para BYOD pessoais podem ser capazes de
acessar ou solicitar informações pessoais relacionadas ao estilo de vida, rastreamento de
saúde ou finanças pessoais. Quando os usuários estão usando dispositivos pessoais para o
trabalho, isso se torna mais grave, pois certas aplicações podem indicar estilos de vida que
podem ser usados para discriminar funcionários específicos. Em algum momento, é possível
que o software de monitoramento e rastreamento cruze uma linha e afete negativamente a
segurança e a privacidade dos funcionários, tornando-se essencialmente “surveillanceware”.
Coleta de Dados
Os tipos de dados comuns coletados para este Controle CIS incluirão informações sobre o
dispositivo, como modelo, proprietário, IP e Nome do dispositivo. O Nome do dispositivo pode
incluir nomes de usuário ou outras informações do usuário. As informações de identificação
(ou seja, dados pessoais) sobre o usuário geralmente são armazenadas no inventário do
dispositivo, como Nome, sobrenome, função de funcionário e informações de contato, como
número de telefone e endereço de e-mail. As informações coletadas de dispositivos móveis
podem incluir informações detalhadas sobre o dispositivo móvel para incluir número de
telefone e identificadores de dispositivo
Guia Complementar de Privacidade Controle 02: Inventário e Controle de Ativos do Software 13

Essas informações podem ser armazenadas em uma planilha do Microsoft Excel localizada
no sistema de um administrador de sistema ou hospedadas em um banco de dados local
armazenado na rede corporativa. É comum usar uma aplicação para apoiar no inventário de
software. Essas informações podem ser armazenadas localmente, mas também podem ser
armazenadas em um sistema baseado em nuvem fora do controle da empresa. O provedor de
serviços pode ter acesso a todas as informações de inventário de dados. Quaisquer hot sites
ou outras organizações que forneçam redundância de dados também podem armazenar esse
inventário e informações do usuário.
No inventário de software, deve-se fazer esforço para identificar software que possam conter
informações pessoais ou confidenciais. Aplique proteções apropriadas ao inventário e a
softwares sensíveis. As empresas devem ter uma política de privacidade que deixe os usuários
saberem essas características e o que pode ser obtido dos dispositivos que possuem. Além
disso, os sistemas automatizados devem ser configurados adequadamente para coletar
apenas informações necessárias, e a documentação deve refletir explicitamente as decisões
de privacidade e mitigações em vigor. A TI deve estar ciente das decisões de privacidade
neste processo e seguir a documentação aprovada.
O Princípio da Limitação da Coleção — A TI deve coletar apenas os dados necessários do

software ao criar e manter um inventário.
O Princípio da Qualidade de Dados — Dados desnecessários não devem ser mantidos em

um inventário de software. Os dados devem ser atualizados regularmente e utilizados apenas
para fins de inventário de dados.
O Princípio da Especificação da Finalidade — Os funcionários devem entender quais dados

pessoais serão mantidos dentro do inventário do software e como serão usados.
O Princípio da Limitação de Uso — Os dados pessoais armazenados nos inventários de

software não devem ser usados para outros fins que não os previamente estabelecidos, sem
permissão explícita de funcionários ou clientes.
O Princípio de Medidas de Segurança — A equipe técnica deve trabalhar com o gestor de

privacidade corporativo, ou advogado, para identificar quais requisitos são necessários para a
proteção de dados de privacidade.
O Princípio da Transparência — Os funcionários devem entender quais sistemas externos

podem conter dados pessoais.
O Princípio da Participação do Indivíduo — Os funcionários devem ter a capacidade de

solicitar quais dados são mantidos sobre eles no inventário.
O Princípio da Prestação de Contas — Este princípio tem que ser discutido com o prestador
de serviços antes da seleção e uso.
Legalidade, justiça e transparência — Os funcionários devem entender quais dados pessoais

serão mantidos dentro do inventário de ativos de software e como serão usados. Uma base
legal é necessária para a coleta de dados pessoais, neste caso, qual software estaria em
dispositivos pessoais, no inventário de software.

de coletar dados pessoais no inventário de ativos de software desde o início da coleta.
Os dados pessoais mantidos no inventário do software só devem ser usados para fins
de inventário. Isso pode entrar em conflito com a necessidade de aproveitar os dados de
inventário de software para baselines de segurança e gestão de vulnerabilidades. Isso pode
se aplicar apenas a dispositivos de propriedade pessoal. Os dispositivos de propriedade da
empresa podem não estar sujeitos a este princípio.
Minimização de dados — Dados desnecessários de inventário de software não devem ser

coletados ou mantidos em um inventário de ativos corporativos. Os dados coletados para
o inventário de software devem ser usados especificamente para o inventário de software
e nada mais.
Precisão dos dados — Os dados de inventário devem ser atualizados regularmente, quando
necessário e utilizados apenas para fins de inventário de dados. Os processos devem ser
documentados de como o inventário de software é mantido e como os dados incorretos
são corrigidos.
Limitação de armazenamento — Os dados de inventário que podem identificar um

indivíduo só devem ser armazenados pelo tempo necessário. Os dados obsoletos devem ser
excluídos sem demora.

esse princípio, como o Controle 3: Proteção de Dados. Os dados de inventário de software
devem ser protegidos contra acesso, modificação e divulgação não autorizados.

Segurança
Medida de
2.1 Aplicações Identificar Estabelecer e manter um Inventário de Software Sim

Estabeleça e mantenha um inventário detalhado As informações coletadas nos inventários de
de todos os softwares licenciados instalados em ativos provavelmente contêm ou estão diretamente
ativos corporativos. O inventário de software deve conectadas a sistemas de informação contendo PII e
documentar o título, editor, data inicial de instalação/ outros dados pessoais.
uso e objetivo de negócio de cada entrada; quando
apropriado, inclua o Uniform Resource Locator (URL),
app store(s), versão(ões), mecanismo de implantação
e data de desativação. Revise e atualize o inventário
de software semestralmente ou com mais frequência.
2.2 Aplicações Identificar Assegurar que o software autorizado seja Não

atualmente suportado Garantir que os ativos de software sejam suportados
Assegure que apenas software atualmente suportado para não apresentar impactos de privacidade.
seja designado como autorizado no inventário de
software para ativos corporativos. Se o software não
é suportado, mas é necessário para o cumprimento
da missão da empresa, documente uma exceção
detalhando os controles de mitigação e a aceitação
do risco residual. Para qualquer software não
suportado sem uma documentação de exceção,
designe como não autorizado. Revise o inventário
de software para verificar o suporte do software pelo
menos uma vez por mês ou com mais frequência.

Segurança
Medida de Aplicabilidade Incluída?
2.3 Aplicações Recuperar Endereçar o software não autorizado Não

Assegure que o software não autorizado seja retirado A remoção de Aplicações não autorizadas não
de uso em ativos corporativos ou receba uma exceção apresenta impactos de privacidade, embora possa
documentada. Revise mensalmente ou com mais causar a exclusão dos dados pessoais de um
frequência. funcionário (por exemplo, fotos em um aplicativo de
compartilhamento de fotos). A exclusão dos dados
pessoais de um indivíduo pode ser um impacto de
privacidade em algumas circunstâncias. Mas, a empresa
pode afirmar que o funcionário não estava autorizado a
criar, coletar, receber, compartilhar ou armazenar esses
dados no dispositivo.
2.4 Aplicações Detectar Utilizar ferramentas automatizadas de inventário de Sim

software O uso de ferramentas automatizadas para identificar
Utilize ferramentas de inventário de software, quando ativamente aplicações instaladas provavelmente
possível, em toda a empresa para automatizar a fornecerá dados pessoais ao empregador,
descoberta e documentação do software instalado. especialmente em plataformas móveis. Isso pode incluir
informações sobre aplicativos relacionados ao estilo de
vida, rastreamento de saúde ou finanças pessoais.
2.5 Aplicações Proteger Lista de permissões de Software autorizado Sim

Use controles técnicos, como a lista de permissões Lista de permissões de Software em dispositivos móveis
de aplicações, para garantir que apenas o software pessoais pode ser invasivo à privacidade com base no
autorizado possa ser executado ou acessado. Reavalie sistema operacional de celulares e implementações
semestralmente ou com mais frequência. específicas.
2.6 Aplicações Proteger Lista de permissão de Bibliotecas Autorizadas Não

Use os controles técnicos para garantir que apenas Este tipo específico de lista de permissão não apresenta
as bibliotecas de software autorizadas, como arquivos impactos de privacidade.
.dll, .ocx, .so, etc. específicos, tenham permissão para
carregar em um processo do sistema. Impedir que
bibliotecas não autorizadas sejam carregadas em um
processo do sistema. Reavalie semestralmente ou com
mais frequência.
2.7 Aplicações Proteger Lista de permissão de Scripts Autorizados Não

Use controles técnicos, como assinaturas digitais e Este tipo específico de lista de permissão não apresenta
controle de versão, para garantir que apenas scripts impactos de privacidade.
autorizados, como arquivos .ps1, .py, etc. específicos,
tenham permissão para executar. Bloqueie a execução
de scripts não autorizados. Reavalie semestralmente ou
com mais frequência.

CONTROLE
03 Proteção de
Dados
Visão Geral Desenvolva processos e controles técnicos para identificar, classificar, manusear com
segurança, reter e descartar dados.
Proteção de Dados é um Controle CIS que pode ajudar a proteger uma infinidade de tipos
de informações em uma rede corporativa, incluindo PII e outros dados pessoais. Sem as
Medidas de Segurança listadas aqui, grande parte das informações pessoais e de clientes
que as empresas mantêm estariam em risco de exposição não autorizada. No entanto, como
afirmado no Escopo deste guia, manter as informações a salvo da divulgação não autorizada
não é a única consideração para ser aplicável à privacidade. Se fosse a única consideração,
então todas as Medidas de Segurança nos Controles CIS seriam aplicáveis. Por isto, apenas
algumas das Medidas de Segurança estão listadas como aplicáveis.
A falha na implementação de muitas das Medidas de Segurança deste Controle CIS

provavelmente seria insuficiente para proteger o PII e outros dados pessoais.
Dispositivos portáteis e mídias provavelmente armazenam PII e outros dados pessoais.

Embora possa ser difícil endereçar esses fatores, vale a pena o esforço e os custos extras.
A implementação de muitas das Medidas de Segurança deste Controle pode proteger o PII
e outros dados pessoais. Ainda, esses mesmos sistemas podem exigir funções e acessos
privilegiados para funcionar como pretendido. Entender as ações que o software está
tomando em segundo plano e quais informações estão sendo coletadas é uma atividade que
vale a pena.
Coleta de Dados
Os tipos de informações devem ser rotulados de acordo com o esquema de dados

estabelecido na Medida de Segurança 3.7 – Estabelecer e Manter um Esquema de
Classificação de Dados. Isso não precisa necessariamente ser realizado de forma
automatizada via software, mas os administradores de TI e os Gestores de Privacidade devem
ter um conhecimento geral dos tipos de dados coletados. Os funcionários de TI devem saber
como identificar e relatar casos de dados pessoais recém-descobertos.
Medida de Segurança 3.13 – Implantar uma solução de prevenção contra perda de dados
pode ser aproveitada de forma automatizada para identificar PII e outros dados pessoais
coletados na empresa. O uso de DLP pode revelar dados pessoais e PII desconhecidos e
devem ser monitorados regularmente. O acesso a dados confidenciais deve ser registrado de
acordo com a Medida de Segurança 3.14 – Registrar o Acesso a Dados Sensíveis. Isso garante
que, após a revisão dos registros, pode-se determinar que apenas indivíduos autorizados
foram capazes de acessar dados pessoais. Isso provavelmente não pode ser realizado em
dispositivos móveis.
Guia Complementar de Privacidade Controle 03: Proteção de Dados 17

Os inventários de dados devem ser protegidos com as Medidas de Segurança deste

Controle. Quaisquer dados armazenados em sistemas de nuvem também devem ser
protegidos, e os dados pessoais lá armazenados devem ser explicitamente compreendidos e
aprovados. Consulte o CIS Controls Cloud Companion Guide sobre como proteger sistemas
baseados em nuvem.
Há poucas Implicações diretas de Privacidade relacionadas ao Controle do CIS 3, já que

a maioria das Medidas de Segurança melhoram ativamente a privacidade por prevenir a
divulgação não autorizada de informações. Dito isso, existem implicações de privacidade
para algumas das Medidas de Segurança como mencionado acima. Um processo de gestão
de dados, para incluir um esquema de classificação de inventário de dados, poderia ser
interpretado de forma a melhorar a privacidade. Essas Medidas de Segurança também podem
ser usadas para ajudar a entender os tipos de dados pessoais e de clientes armazenados
dentro da empresa (por exemplo, PII, proprietário) e classificações de dados podem então ser
aproveitadas para identificar métodos necessários de proteção de dados que auxiliam nas
proteções de privacidade.
Implemente auditoria de requisitos regulatórios e de acordos com terceiros para verificar

a localização e a proteção adequada de todos os dados de privacidade. Como observado
anteriormente, muitas das Medidas de Segurança deste Controle desempenham um papel
fundamental na proteção de informações privadas, como o uso de criptografia. Na dúvida, as
empresas são encorajadas a usar as Medidas de Segurança do Controle 3 porque protegem
dados pessoais. Além disso, se houver uma violação, pode ser possível provar a falta de
controles suficientes para proteger os dados. Implementação incorreta de criptografia, uso de
algoritmos de criptografia fracos ou gerenciamento inseguro de chaves de criptografia criam
uma situação frequente de violação de dados.
O Princípio da Limitação da Coleta — Os dados pessoais geralmente não devem ser

coletados como parte deste Controle, com exceção dos registros de acesso de dados e
sistemas de Prevenção de Perda de Dados (DLP).
O Princípio da Qualidade de Dados — Quaisquer dados coletados devem ser relevantes para

a razão pela qual foram coletados. Por exemplo, o DLP não deve estar coletando dados que
não se destina a coletar.
O Princípio da Especificação da Finalidade — Os funcionários devem entender por que

certos sistemas, como o DLP, estão coletando seus dados.
O Princípio da Limitação de Uso — Os dados de DLP ou registros de acesso não devem ser
compartilhados a menos que o consentimento seja fornecido.
O Princípio das Medidas de Segurança — O Controle 3, e os Controles CIS em geral, podem

ajudar na proteção de PII e outros dados pessoais.
O Princípio da Transparência — As pessoas que têm seus dados coletados e registrados

devem entender quais sistemas externos podem conter dados pessoais.
O Princípio da Participação do Indivíduo — É improvável que isso seja implementado sem

uma discussão séria com qualquer prestador de serviços de antemão. Os funcionários devem
ter a capacidade de solicitar para ver quais dados são mantidos sobre eles no inventário.
O Princípio da Prestação de Contas — É pouco comum encontrar provedores de serviços que

cumpram com muitos dos FIPPs.

Legalidade, justiça e transparência — Os funcionários devem ter a oportunidade de

tomar uma decisão informada sobre o tipo de dados pessoais que serão mantidos como
resultado da implementação deste Controle. Uma base legal é necessária para a coleta de
dados pessoais, neste caso, qual software estaria em dispositivos pessoais, no inventário
de software.
de coletar dados pessoais desde o início da coleta.
Minimização de dados — Dados pessoais e de clientes desnecessários não devem ser

coletados ou mantidos, a menos que sejam especificamente necessários. Os dados coletados
devem ser especificamente utilizados para a finalidade original.
• Precisão dos dados. Todos os dados pessoais e do cliente devem ser atualizados
regularmente, quando necessário e utilizados apenas para fins de gestão de dados. Isso
inclui DLP e dados de logs. Os processos devem ser documentados sobre como esses
dados são mantidos e como os dados incorretos são corrigidos.
• Limitação de armazenamento. Dados pessoais, de clientes, DLP e dados de log
que podem ajudar a identificar um indivíduo só devem ser armazenados pelo tempo
necessário. Os dados obsoletos devem ser excluídos sem demora.
• Integridade e confidencialidade. Os Controles CIS podem ser potencializados para
permitir esse princípio, como o Controle 3: Proteção de Dados. Os dados de inventário de
software devem ser protegidos contra acesso, modificação e divulgação não autorizados.

Segurança
Medida de
3.1 Dados Identificar Estabelecer e manter um processo de gestão Sim

de dados. Isso pode ser potencializado para gerenciar PII e
Estabeleça e mantenha um processo de gestão de outros tipos de informações privadas.
dados. No processo, trate a sensibilidade dos dados,
o proprietário dos dados, o manuseio dos dados,
os limites de retenção de dados e os requisitos de
descarte, com base em padrões de sensibilidade
e retenção para a empresa. Revise e atualize a
documentação anualmente ou quando ocorrerem
mudanças significativas na empresa que possam
impactar esta medida de segurança.
3.2 Dados Identificar Estabelecer e manter um inventário de dados. Sim

Estabeleça e mantenha um inventário de dados, com Isso pode ser potencializado para gerenciar PII e
base no processo de gestão de dados da empresa. outros tipos de informações privadas.
No mínimo, inventarie os dados sensíveis. Revise e
atualize o inventário anualmente, no mínimo, com
prioridade para os dados sensíveis.
3.3 Dados Proteger Configurar listas de controle de acesso a dados. Sim

Configure listas de controle de acesso a dados com Apenas certos usuários e funções devem possuir
base na necessidade de conhecimento do usuário. acesso a certos tipos de informações protegidas e
Aplique listas de controle de acesso a dados, também privadas.
conhecidas como permissões de acesso, a sistemas
de arquivos, bancos de dados e aplicações locais e
remotos.
3.4 Dados Proteger Aplicar retenção de dados. Sim

Retenha os dados de acordo com o processo de As implicações de privacidade associadas aos dados
gestão de dados da empresa. A retenção de dados retidos devem ser analisadas e compreendidas.
deve incluir prazos mínimos e máximos.

Segurança
3.5 Dados Proteger Descartar dados com segurança. Sim

Descarte os dados com segurança conforme descrito Todos os dados corporativos devem ser descartados
no processo de gestão de dados da empresa. com segurança, especialmente se informações
Certifique-se de que o processo e o método de privadas ou de clientes estiverem incluídas.
descarte sejam compatíveis com a sensibilidade
dos dados.
3.6 Dispositivos Proteger Criptografar dados em dispositivos de usuário final. Sim

Criptografe os dados em dispositivos de usuário final Isso ajuda a proteger informações privadas
que contenham dados sensíveis. Implementações de armazenadas.
exemplo podem incluir: Windows BitLocker®, Apple
FileVault®, Linux® dm-crypt.
3.7 Dados Identificar Estabelecer e manter um esquema de classificação Sim

de dados. Isso pode ser potencializado para gerenciar PII e
Estabeleça e mantenha um esquema geral de outros tipos de informações privadas.
classificação de dados para a empresa. As empresas
podem usar rótulos, como “Sensível”, “Confidencial”
e “Público”, e classificar seus dados de acordo
com esses rótulos. Revise e atualize o esquema de
classificação anualmente ou quando ocorrerem
3.8 Dados Identificar Documentar Fluxos de Dados. Sim

Documente fluxos de dados. A documentação do Isso pode garantir que uma empresa saiba para onde
fluxo de dados inclui fluxos de dados do provedor os dados pessoais provavelmente serão enviados e
de serviços e deve ser baseada no processo de como eles serão protegidos.
gestão de dados da empresa. Revise e atualize a
3.9 Dados Proteger Criptografar dados em mídia removível. Sim

Criptografe os dados em mídia removível. Isso ajuda a proteger informações privadas
armazenadas em trânsito.
3.10 Dados Proteger Criptografar dados sensíveis em trânsito. Sim

Criptografe dados sensíveis em trânsito. Isso ajuda a proteger informações privadas em
Implementações de exemplo podem incluir: Transport trânsito.
Layer Security (TLS) e Open Secure Shell (OpenSSH)
3.11 Dados Proteger Criptografar dados sensíveis em repouso. Sim

Criptografe dados sensíveis em repouso em Isso ajuda a proteger informações privadas
servidores, aplicações e bancos de dados que armazenadas.
contenham dados sensíveis. A criptografia da camada
de armazenamento, também conhecida como
criptografia do lado do servidor, atende ao requisito
mínimo desta medida de segurança. Métodos de
criptografia adicionais podem incluir criptografia
de camada de aplicação, também conhecida como
criptografia do lado do cliente, onde o acesso ao(s)
dispositivo(s) de armazenamento de dados não
permite o acesso aos dados em texto simples.
3.12 Rede Proteger Segmentar o processamento e o armazenamento Sim

de dados com base na sensibilidade. Os dados pessoais só devem ser armazenados em
Segmente o processamento e o armazenamento de locais aprovados e em sistemas apropriados. O
dados com base na sensibilidade dos dados. Não acesso deve ser adequadamente restrito.
processe dados sensíveis em ativos corporativos
destinados a dados de menor sensibilidade.

Segurança
3.13 Dados Proteger Implantar uma solução de prevenção contra perda Sim
de dados. Isso pode ser útil para identificar PII e outros dados
Implementar uma ferramenta automatizada, como pessoais armazenados dentro da empresa ou saindo
uma ferramenta de prevenção de perda de dados de forma não autorizada.
(DLP) baseada em host para identificar todos
os dados sensíveis armazenados, processados
ou transmitidos por meio de ativos corporativos,
incluindo aqueles localizados no site local ou em um
provedor de serviços remoto, e atualizar o inventário
de dados sensíveis da empresa.
3.14 Dados Detectar Registrar o acesso a dados sensíveis. Sim

Registre o acesso a dados sensíveis, incluindo Apenas usuários e funções aprovadas devem acessar
modificação e descarte. informações privadas, e isso pode ajudar a criar uma
trilha de auditoria para examinar após a ocorrência
deuma violação. Os registros de log também podem
ser úteis para identificar se ocorreu uma violação.

CONTROLE
04 Configuração Segura de Ativos
Corporativos e Software
Visão Geral Estabeleça e mantenha a configuração segura de ativos corporativos (dispositivos
de usuário final, incluindo portáteis e móveis; dispositivos de rede; dispositivos não
computacionais/IoT; e servidores) e software (sistemas operacionais e aplicações).
Configurações seguras para ativos de hardware e software podem ajudar a viabilizar a

privacidade dos funcionários, evitando violações de dados e roubo de contas. Certas
configurações em produtos populares podem conter vulnerabilidades descaradas, enquanto
outras configurações podem enfraquecer um sistema ou software e torná-lo mais suscetível a
um ataque bem-sucedido. Diante disto, a maioria das Medidas de Segurança deste Controle
pode ter um impacto de privacidade quando implementada em uma empresa.
Certas configurações de hardware e software podem afetar negativamente a privacidade

dos funcionários. Portanto, uma revisão de privacidade das configurações é necessária para
garantir que certos produtos não armazenem ou transmitam dados privados de funcionários
intencionalmente ou não.
A configuração adequada de certos ativos pode fazer com que os dados sejam coletados,
como logs de tráfego ou logs de acesso a dados. Como essas informações podem ser
sensíveis, a TI deve entender as configurações que estão habilitando para que essas
informações não sejam deixadas desprotegidas.
Aparelhos de rede e aplicações, como DNS (Domain Name System, sistema de nomes
de domínio) e firewalls rastrearão de forma granular os usuários, funcionando conforme
esperado. A forma como esses equipamentos e aplicações funcionam deve ser compreendida
pela TI, para que seus dados possam ser regularmente mantidos e protegidos.
Coleta de Dados
As configurações para ativos e softwares corporativos devem ser habilitadas de forma

a abster-se de coletar dados pessoais dos funcionários. Isso significa que sistemas com
opções para hospedar ou enviar dados para outros provedores de serviços não devem ser
configurados para fazê-lo.
Na prática, os sistemas controlados e operados por provedores de serviços externos não

devem ser configurados para armazenar dados pessoais fora da empresa. O menor número
possível de pessoas deve ter acesso às informações dos funcionários e apenas para
fins legítimos.
Guia Complementar de Privacidade Controle 04: Configuração Segura de Ativos Corporativos e Software 22
Muitas das Medidas de Segurança neste Controle ajudam a fornecer proteções básicas
contra formas comuns de acesso não autorizado, tal como o uso de uma senha de bloqueio
de tela na Medida 4.3 – Configurar bloqueio automático de sessão em ativos corporativos.
A configuração adequada para todos os ativos corporativos deve ser realizada por meio de
um processo de configuração seguro para sistemas tradicionais e ativos de rede (Medidas
de Segurança 4.1, 4.2). Isso deve incluir a configuração adequada de firewalls de servidor e
software de firewall baseado em host no dispositivo (Medidas de Segurança 4.4, 4.5).
A configuração de dispositivos móveis para suportar privacidade pode ser difícil de equilibrar.
Embora a empresa precise da capacidade de gerenciar e governar com segurança o acesso
aos dados corporativos em um dispositivo móvel, esses dispositivos também contêm
informações pessoais e privadas. Independentemente da propriedade do dispositivo, deve-
se envidar esforços para minimizar o acesso da empresa às informações pessoais dos
funcionários. Isso pode ser configurado através de ferramentas EMM (Enterprise Mobility
Management, gestão de mobilidade corporativa) que ajudam a viabilizar as Medidas de
Segurança 4.11 e 4.12. Essas ferramentas não precisam necessariamente do controle de
todo o dispositivo, mas podem gerenciar um único aplicativo que contenha todos os dados
corporativos, o que permite ambientes de trabalho separados (4.12) e fácil exclusão de dados
conforme necessário (4.11). Consulte o CIS Controls Mobile Companion Guide para discussões
adicionais sobre segurança móvel.
O Princípio da Limitação da Coleta — Empregados nos EUA são tipicamente notificados de

que suas atividades estão sendo rastreadas por seus empregadores nos EUA através de várias
políticas de TI, como uso aceitável. Isso deve ser feito para cumprir este princípio.
O Princípio da Qualidade de Dados — Quaisquer dados coletados devem ser relevantes

para a razão pela qual foram coletados, neste caso, aparelhos de rede que protegem a rede e
outros softwares e sistemas que protegem a rede.
O Princípio da Especificação da Finalidade — Os funcionários devem entender por que os

equipamentos de rede estão coletando seus dados.
O Princípio da Limitação de Uso — Os dados sobre as atividades do usuário na internet não

devem ser compartilhados a menos que o consentimento seja fornecido. Isso inclui fornecer
dados para outros provedores de serviços.
O Princípio das Medidas de Segurança — Deve-se tomar cuidado para proteger quaisquer

dados de rede armazenados, o que provavelmente inclui PII e outros dados pessoais.
O Princípio da Transparência — As pessoas que têm seus dados coletados e registrados

devem entender quais sistemas externos podem conter seus dados pessoais.



tomar uma decisão informada sobre o tipo de dados pessoais que serão mantidos como
resultado da implementação deste Controle. Uma base legal é necessária para a coleta de
dados pessoais, neste caso, qual software estaria em dispositivos pessoais, no inventário
de software.
de coletar dados pessoais desde o início da coleta.
Minimização de dados — Dados pessoais e de clientes desnecessários não devem ser

coletados ou mantidos, a menos que sejam especificamente necessários. Os dados coletados
devem ser especificamente utilizados para a finalidade original. Os funcionários devem
entender por que certos sistemas, como o DLP, estão coletando seus dados.
Precisão dos dados — Todos os dados pessoais e do cliente devem ser atualizados

regularmente, quando necessário e utilizados apenas para fins específicos. Os processos
escritos devem ser documentados para como esses dados são mantidos e como os dados
incorretos são corrigidos.
Limitação de armazenamento — Dados pessoais, de clientes e de log (por exemplo, tráfego,

aplicativo, DNS) que podem ajudar a identificar um indivíduo só devem ser armazenados pelo
tempo necessário. Os dados obsoletos devem ser excluídos sem demora.
Integridade e confidencialidade — Os Controles CIS podem ser potencializados para

permitir este princípio. Grande parte das informações pessoais e de clientes que as empresas
armazenam podem ser protegidas de exposição não autorizada se as Medidas de Segurança
neste Controle forem postas em prática. Além desse princípio da GDPR, muitas das Medidas
de Segurança neste Controle podem ajudar a cumprir as disposições do artigo 32º da GDPR
intitulado Segurança do Processamento. O artigo 32º 1º afirma que, em circunstâncias
específicas, os processadores de dados devem proteger os dados pessoais, para incluir o uso
de dados pseudônimos, via criptografia. As Medidas de Segurança 3.6, 3.9, 3.10 e 3.11 podem
ajudar a realizar essa tarefa.

Segurança
Medida de
4.1 Aplicações Proteger Estabelecer e manter um processo de Sim

configuração segura. Os processos de configuração segura devem
Estabeleça e mantenha um processo de configuração levar em conta a privacidade ao decidir sobre as
segura para ativos corporativos (dispositivos configurações. Isso deve incluir quais dados são
de usuário final, incluindo portáteis e móveis; gerados e onde são armazenados. Também deve
dispositivos não computacionais/IoT; e servidores) e incluir quem pode acessar, coletar e armazenar PII e
software (sistemas operacionais e aplicações). Revise outros dados pessoais.
e atualize a documentação anualmente ou quando
ocorrerem mudanças significativas na empresa que
possam impactar esta medida de segurança.
4.2 Rede Proteger Estabelecer e Manter um Processo de Sim

Configuração Segura para a Infraestrutura de Rede. A privacidade deve ser considerada ao decidir sobre
Estabeleça e mantenha um processo de configuração as configurações. No mínimo, os usuários conectados
segura para dispositivos de rede. Revise e atualize a redes corporativas devem ser protegidos de
a documentação anualmente ou quando ocorrerem varreduras passivas de baixo esforço.
4.3 Comercial Proteger Configurar o bloqueio automático de sessão nos Não

ativos corporativos Isso ajuda a evitar tentativas inocentes de acessar
Configure o bloqueio automático de sessão nos ativos dados pessoais não autorizados, mas não há
corporativos após um período definido de inatividade. impactos na privacidade.
Para sistemas operacionais de uso geral, o período
não deve exceder 15 minutos. Para dispositivos
móveis de usuário final, o período não deve exceder
2 minutos.
Segurança
4.4 Dispositivos Proteger Implementar e gerenciar um firewall nos Sim

servidores. Embora essa Medida de Segurança possa ajudar
Implemente e gerencie um firewall nos servidores, a evitar uma violação de dados, o que seria uma
onde houver suporte. Implementações de exemplo exposição não autorizada de PII e outros dados
incluem um firewall virtual, firewall do sistema pessoais, o impacto da privacidade é o sistema e o
operacional ou um agente de firewall de terceiros. software lendo ou capturando o tráfego do usuário.
4.5 Dispositivos Proteger Implementar e gerenciar um firewall nos Sim

dispositivos de usuário final. Embora essa Medida de Segurança possa ajudar a
Implemente e gerencie um firewall baseado em evitar uma violação de dados, que seria a exposição
host ou uma ferramenta de filtragem de porta não autorizada de PII e outros dados pessoais, o
nos dispositivos de usuário final, com uma regra impacto da privacidade é o sistema e o software
de negação padrão que bloqueia todo o tráfego, monitorando as atividades do usuário.
exceto os serviços e portas que são explicitamente
permitidos.
4.6 Rede Proteger Gerenciar com segurança os ativos e softwares Sim

corporativos. Os administradores do sistema, por vezes, terão
Gerencie com segurança os ativos e softwares que acessar PII e outros dados pessoais. O uso de
corporativos. Implementações de exemplo incluem protocolos seguros e controle de acesso para fazê-lo
gestão de configuração por meio de version- evita escutas e outros ataques sobre a rede. Os
controlled-infrastructure-as-code e acesso a administradores do sistema devem ser treinados em
interfaces administrativas por meio de protocolos atividades consideradas aceitáveis e em como evitar
de rede seguros, como Secure Shell (SSH) e violações da privacidade do usuário ao agir como
Hypertext Transfer Protocol Secure (HTTPS). administrador.
Não use protocolos de gestão inseguros, como
Telnet (Teletype Rede) e HTTP, a menos que seja
operacionalmente essencial.
4.7 Comercial Proteger Gerenciar contas padrão nos ativos e softwares Sim
corporativos. Certas contas em sistemas receberão privilégios
Gerencie contas padrão nos ativos e softwares adicionais e poderão acessar dados pessoais.
corporativos, como root, administrador e outras O acesso a essas contas precisa ser gerenciado
contas de fornecedores pré-configuradas. adequadamente, com os usuários dessas contas
Implementações de exemplo podem incluir: desativar devidamente treinados sobre como evitar violações
contas padrão ou torná-las inutilizáveis. da privacidade do usuário.
4.8 Dispositivos Proteger Desinstalar ou desativar serviços desnecessários Sim

nos ativos e softwares corporativos. Serviços desnecessários podem ser um vetor para
Desinstale ou desative serviços desnecessários nos acesso não autorizado e devem ser desativados.
ativos e softwares corporativos, como um serviço de Serviços desnecessários podem atuar como spyware
compartilhamento de arquivos não utilizado, módulo e coletar informações do usuário. Contudo alguns
de aplicação da web ou função de serviço. serviços que podem ser considerados desnecessários
por uma empresa podem realmente melhorar a
segurança e a privacidade, por exemplo, se uma
empresa optar por não disponibilizar uma rede virtual
privada (VPN), mas o usuário está usando um serviço
confiável e respeitável ou o usuário incluiu uma
extensão anti-rastreamento de bloqueio de anúncios
em seu navegador. A desinstalação ou desativação de
serviços, especialmente sem aviso prévio ao usuário,
pode causar a perda de dados pessoais armazenados
nesses serviços para aquele usuário. No entanto, a
empresa argumentaria que esses serviços não eram
autorizados em qualquer caso.
4.9 Dispositivos Proteger Configurar servidores DNS confiáveis nos ativos Sim
corporativos. O uso de um servidor DNS não confiável pode
Configure servidores DNS confiáveis nos ativos enganar os usuários a fornecer dados pessoais
corporativos. As implementações de exemplo a partes mal-intencionadas. É possível que um
incluem: configuração de ativos para usar servidores provedor de DNS possa vender/compartilhar o
DNS controlados pela empresa e/ou servidores DNS tráfego de DNS com anunciantes ou outros, o que
confiáveis acessíveis externamente. teria um impacto de privacidade.
Segurança
4.10 Dispositivos Responder Impor o bloqueio automático nos dispositivos Não

portáteis do usuário final. Isso ajuda a evitar tentativas inocentes de acessar
Imponha o bloqueio automático do dispositivo dados pessoais não autorizados nos dispositivos.
seguindo um limite pré-determinado de tentativas Também ajuda a evitar tentativas mais sofisticadas de
de autenticação local com falha nos dispositivos quebra. Não há impacto na privacidade
portáteis de usuário final, quando compatível.
Para laptops, não permita mais de 20 tentativas de
autenticação com falha; para tablets e smartphones,
não mais do que 10 tentativas de autenticação com
falha. Implementações de exemplo incluem Microsoft®
InTune Device Lock e Apple® Configuration Profile
maxFailedAttempts.
4.11 Dispositivos Proteger Impor a capacidade de limpeza remota nos Sim

dispositivos portáteis do usuário final. Esta Medida se Segurança pode ajudar a remover
Limpe remotamente os dados corporativos de dados pessoais se um dispositivo for perdido ou
dispositivos portáteis de usuário final de propriedade roubado ou o titular do dispositivo não estiver mais
da empresa quando for considerado apropriado, autorizado a acessar os dados.
como dispositivos perdidos ou roubados, ou quando
um indivíduo não trabalha mais na empresa.
4.12 Dispositivos Proteger Separar os Espaços de Trabalho Corporativos nos Sim

dispositivos móveis. Espaços de trabalho distintos ajudam as empresas
Certifique-se de que a separação de espaços de a acessar, gerenciar e excluir apenas informações
trabalho corporativos seja usada nos dispositivos corporativas. Eles também podem ajudar com o uso
móveis de usuário final, onde houver suporte. privado de um dispositivo móvel, fornecendo acesso
Implementações de exemplo incluem o uso de um corporativo ao espaço de trabalho apenas no telefone
Apple® Configuration Profile ou Android ™ Work Profile gerenciado pelo empregador.
para separar aplicações e dados corporativos de
aplicações e dados pessoais.
CONTROLE
05 Gestão de
Contas
Visão Geral Use processos e ferramentas para atribuir e gerenciar autorização de credenciais para
contas de usuário, incluindo contas de administrador, bem como contas de serviço, de
ativos corporativos e software.
A autenticação é um tópico complexo que inclui a criação de identidades, credenciais

vinculantes, atribuição de privilégios e gestão do ciclo de vida das contas. Este Controle
se concentra no gerenciamento de vários aspectos do processo de autenticação. O
gerenciamento de contas é aplicável a todas as aplicações, dispositivos e serviços utilizados
pela empresa. Todos os funcionários da empresa precisarão de uma conta para acessar
aplicações, dispositivos e provedores de serviços internos ou externos para usá-los. A maioria
das Medidas de Segurança neste Controle terá algum impacto de privacidade.
Dados pessoais podem ser vazados através da criação, uso e divulgação de credenciais.
Os usuários devem se abster de colocar dados pessoais em senhas e outras credenciais,
incluindo respostas a perguntas de segurança da conta. Algumas vezes, essas informações
podem não ser armazenadas com segurança, e se roubadas ou vazadas podem ser usadas
para invadir outras contas
Quando atores mal-intencionados hackeiam uma empresa, geralmente liberam senhas e

outras credenciais ao público. Outras informações da conta também podem ser incluídas em
quaisquer bancos de dados vazados, que podem incluir nomes de usuário e/ou endereços de
e-mail. As contas do provedor de serviços também podem ser afetadas.
Coleta de Dados
Nomes de usuário, identificadores (por exemplo, endereços de e-mail) e credenciais como

senhas e informações criptográficas serão coletados por aplicações e serviços corporativos
internos, juntamente com provedores de serviços terceirizados que requerem autenticação.
A informação biométrica também é preocupante. Durante o registro, esses sistemas também
podem coletar amostras biométricas, como íris, informações da face ou impressões digitais,
que são então usados para criar modelos biométricos. Esses modelos contêm informações
exclusivamente pessoais e, se mal projetados, podem ser usados para fazer engenharia
reversa da biometria do indivíduo ou características de sua biometria. Geralmente um usuário
final não sabe quais dados são coletados, como são armazenados, se serão mantidos seguros
e se serão excluídos quando não forem mais necessários.
O armazenamento seguro de informações de contas corporativas e outros dados relativos à

autenticação pode ser resolvido com a implementação de vários controles CIS. Os sistemas
que armazenam informações da conta precisam permanecer atualizados nos patches e
garantir que métodos seguros de armazenamento sejam aplicados de acordo, incluindo o uso
de senhas com hash (embaralhadas), juntamente com o uso de criptografia, quando aplicável.
Todas as empresas devem entender as práticas de segurança que estão sendo usadas para
proteger as informações antes de usar qualquer serviço de terceiros.
Guia Complementar de Privacidade Controle 05: Gestão de Contas 27

Usar plataformas de autenticação que permitem uma única identidade e um conjunto de

credenciais para acessar vários serviços é uma prática recomendada de segurança. No
entanto, esses sistemas de identidade federada ou Single Sign-On (SSO) têm acesso a todas
as informações de autenticação em uma empresa, que podem ser mal utilizadas, e podem
não ser as melhores ferramentas de uma perspectiva de privacidade. As políticas e práticas
de privacidade dos serviços SSO devem ser cuidadosamente examinadas antes de serem
implementadas.
O Princípio da Limitação da Coleta — Ao criar uma conta, a TI deve abster-se de obter mais
dados pessoais do que o necessário.
O Princípio da Qualidade de Dados — Quaisquer dados pessoais coletados devem ser

usados apenas para acesso ou verificação de acesso a sistemas corporativos.
O Princípio da Especificação da Finalidade — Os funcionários devem ser informados por que

suas informações pessoais estão sendo coletadas e como serão usadas.
O Princípio da Limitação de Uso — Os funcionários devem ser informados se essas

informações serão usadas para criar contas em sistemas futuros controlados por provedores
de serviços terceirizados ou para permitir que terceiros tenham acesso aos seus dados.

dados de credenciais armazenados e transmitidos, o que provavelmente inclui PII e outros
dados pessoais.
O Princípio da Transparência — As pessoas que têm seus dados coletados para criação de
contas e/ou gerenciamento de contas (por exemplo, acesso) devem entender quais sistemas
externos podem conter ou ter acesso aos seus dados pessoais e por quê.


cumpram com muitos dos FIPPs. As empresas são encorajadas a usar provedores SSO que
suportam MFA e não compartilham dados de usuários com outras organizações terceirizadas.

tomar uma decisão informada sobre o tipo de dados pessoais que serão coletados, retidos
e compartilhados como resultado da criação e manutenção da conta. Uma base legal é
necessária para coletar e compartilhar dados pessoais, neste caso, potencialmente nome,
endereço, e-mail, telefone e outras informações.
Limitação da finalidade — Os usuários, incluindo funcionários e clientes, devem ser

informados por escrito sobre sua finalidade de coletar dados pessoais desde o início
da coleta. Os dados pessoais mantidos dentro da plataforma de gestão de identidade,
controlador de domínio ou plataforma semelhante só devem ser usados para o gerenciamento
de contas. Isso pode entrar em conflito com a necessidade de integrar o controlador de
domínio com software e plataforma de terceiros. Os funcionários devem ser informados
se essas informações serão usadas para criar contas em futuros sistemas controlados por
provedores de serviços terceirizados.

Minimização de dados — Durante o processo de criação de conta para um novo usuário, a
equipe de TI deve abster-se de obter mais informações do que o necessário. Todos os dados
coletados durante o processo de criação da conta devem ser usados especificamente para
criação e manutenção de contas. Os dados da conta devem ser excluídos quando não forem
mais necessários.
Precisão dos dados — Todos os dados de usuários e clientes associados às contas devem ser
atualizados regularmente, quando necessário e utilizados apenas para o gerenciamento de
contas. Os processos devem ser documentados para como esses dados são mantidos e como
os dados incorretos são corrigidos ou excluídos. Esses processos também devem incluir
como os clientes podem acessar e modificar seus próprios dados.
Limitação de armazenamento — Os dados de funcionários e clientes que podem ajudar

a identificar um indivíduo só devem ser armazenados pelo tempo necessário. Os dados
obsoletos devem ser excluídos sem atraso. Muitas das informações associadas às contas dos
funcionários precisarão ser mantidas indefinidamente.

esse princípio, como o Controle 3: Proteção de Dados. Os dados de contas de funcionários e
clientes devem ser protegidos contra acesso, modificação e divulgação não autorizada.

Segurança
Medida de
5.1 Comercial Identificar Estabelecer e manter um inventário de contas. Sim

Estabeleça e mantenha um inventário de todas É provável que os inventários de contas contenham
as contas gerenciadas na empresa. O inventário dados pessoais, que podem incluir PII e dados
deve incluir contas de usuário e administrador. pessoais. Essas informações precisam ser
O inventário, no mínimo, deve conter o nome da adequadamente protegidas. Um processo deve ser
pessoa, nome de usuário, datas de início/término e formalizado e implementado.
departamento. Valide se todas as contas ativas estão
autorizadas, em uma programação recorrente, no
mínimo trimestralmente ou com mais frequência.
5.2 Comercial Proteger Usar senhas exclusivas. Sim

Use senhas exclusivas para todos os ativos Os usuários devem ser instruídos a não usar
corporativos. As melhores práticas de implementação informações pessoais dentro das senhas. Além disso,
incluem, no mínimo, uma senha de 8 caracteres para o sistema deve alertar os usuários sobre o uso das
contas que usam MFA e uma senha de 14 caracteres senhas mais comuns.
para contas que não usam MFA.
5.3 Comercial Responder Desabilitar contas inativas. Não

Exclua ou desabilite quaisquer contas inativas após Impedir que contas inativas sejam usadas ajuda a
um período de 45 dias de inatividade, onde for evitar a divulgação não intencional de dados pessoais
suportado. que poderiam ser acessados através dessas contas.
5.4 Comercial Proteger Restringir privilégios de administrador a contas de Sim

Administrador dedicadas. Embora esta seja uma prática recomendada por si
Restrinja os privilégios de administrador a contas só, ela pode ajudar uma empresa a proteger dados
de administrador dedicadas nos ativos corporativos. pessoais, uma vez que as contas de administrador
Realize atividades gerais de computação, como são muitas vezes alvos de alto valor para atores
navegação na Internet, e-mail e uso do pacote mal-intencionados e geralmente têm maior acesso
de produtividade, a partir da conta primária não a dados pessoais na rede da empresa. Restringir
privilegiada do usuário. privilégios também restringe a gestão administrativa
de PII e outras informações, a menos que seja
necessário.

5.5 Comercial Identificar Estabelecer e manter um inventário de contas de Sim
serviço. Dependendo de como os inventários de contas de
Estabeleça e mantenha um inventário de contas serviço são desenvolvidos, eles podem conter PII
de serviço. O inventário, no mínimo, deve conter e dados pessoais. Essas informações precisam ser
departamento proprietário, data de revisão e adequadamente protegidas. Um processo deve ser
propósito. Realize análises de contas de serviço para formalizado e implementado.
validar se todas as contas ativas estão autorizadas,
em uma programação recorrente, no mínimo
trimestralmente ou com mais frequência.
5.6 Comercial Proteger Centralizar a gestão de contas. Sim

Centralize a gestão de contas por meio de serviço de A gestão centralizada de contas pode beneficiar
diretório ou de identidade. significativamente uma empresa do ponto de vista
da segurança, mas a empresa externa que fornece
serviços de federação pode ter acesso a dados
pessoais e ser capaz de correlacionar as atividades e
comportamentos de um usuário em vários serviços.

CONTROLE
06 Gestão de
Acesso
Visão Geral Use processos e ferramentas para criar, atribuir, gerenciar e revogar credenciais
de acesso e privilégios para contas de usuário, administrador e serviço para ativos
e softwares corporativos.
O Controle de Gestão de Acesso destina-se a gerenciar grande parte do processo de

autenticação e autorização, desde como um usuário acessa um dispositivo até a revogação
de credenciais e privilégios de acesso. Implementações minuciosas dos Controles CIS 5 e
6 envolvem políticas escritas que abordam essas áreas antes que dispositivos e acesso à
conta a outros serviços sejam fornecidos aos usuários. Embora o impacto das Medidas de
Segurança deste Controle afete a segurança geral de uma forma importante, o impacto da
privacidade é geralmente menor.
PII e outros dados pessoais são frequentemente armazenados em sistemas de autenticação

e autorização. Esses sistemas precisam ser criados de forma a preservar a privacidade.
Geralmente, a gestão automatizada de acesso é preferida, pois ajuda a evitar qualquer
exposição acidental de informações privadas e sensíveis por pessoas.
A revogação dos direitos deve ser realizada preferencialmente de forma automatizada

para evitar que um humano veja informações pessoais armazenadas com contas. Nessa
medida, pode haver algumas formas de PII e Informações de Saúde Protegida (PHI) que os
administradores do sistema não precisam de privilégios para acessar. Falha no controle do
acesso, mesmo dos administradores, pode ser um requisito de conformidade ou pode resultar
em acesso e divulgação não autorizados.
Os logs relativos a sistemas de autenticação e autorização em geral podem mostrar ações

privadas. Por exemplo, alguns mecanismos de acesso remoto e autenticação multifator
registram a geolocalização dos usuários quando eles se conectam. Outros eventos de
autenticação acionarão logs como tempo de acesso, tentativa de autenticação e recursos
acessados. Embora esses logs não sejam necessariamente negativos, eles podem ser usados
em detrimento da privacidade. Devido a esse e outros fatores, é melhor fazer uma auditoria
regular e verificar quem tem acesso a dados de autenticação e autorização, e apenas manter
esses dados pelo tempo necessário.
Coleta de Dados
Os sistemas de informação que apoiam os administradores a gerenciar direitos e privilégios

na empresa podem ter coletado dados pessoais ao registrar usuários. Administradores e
provedores de serviços terceirizados geralmente terão acesso a esses dados. Isso também
é verdade para os sistemas de autenticação usados para usuários remotos. É provável que
as informações de geolocalização e os dados das impressões digitais do dispositivo sejam
coletados por ambas as partes.
Guia Complementar de Privacidade Controle 06: Gestão de Acesso 31

Os sistemas de informação que apoiam os administradores a gerenciar direitos e privilégios

precisam armazenar as informações coletadas. Os provedores de serviços terceirizados de
gestão de acesso geralmente terão acesso a essas informações.
Ao considerar a atribuição de privilégios aos usuários e suas credenciais, este Controle se

preocupa com a proteção dos próprios privilégios. A autenticação segura permite privacidade
em uma rede, pois o usuário pode acessar fontes corporativas sem monitoramento. Direitos e
privilégios nem sempre são fornecidos; às vezes, eles devem ser removidos.
O Princípio da Limitação da Coleta — Ao conceder acesso a novos recursos, a TI deve

abster-se de obter mais informações de um funcionário do que o necessário.
O Princípio da Qualidade de Dados — Quaisquer dados pessoais coletados devem ser

usados apenas para acesso a sistemas corporativos.
O Princípio da Especificação da Finalidade — Os funcionários devem ser informados sobre

quais dados pessoais e privilégios estão sendo coletados e como eles serão usados.
O Princípio da Limitação de Uso — Os funcionários devem ser informados se esses dados

serão usados para criar contas em futuros sistemas controlados por provedores de serviços
terceirizados ou para permitir que terceiros acessem seus dados.

dados de credenciais armazenados e transmitidos, o que provavelmente inclui PII e outros
dados pessoais
O Princípio da Transparência — As pessoas que têm seus dados coletados para a criação de
contas devem entender quais sistemas externos podem conter seus dados pessoais e por quê.


Legalidade, justiça e transparência — Os funcionários devem ter a oportunidade de tomar

uma decisão informada sobre o tipo de dados pessoais que serão coletados, usados ou
retidos como resultado da criação e manutenção da conta. Uma base legal é necessária para
a coleta de dados pessoais.
Limitação da finalidade — Os privilégios de acesso mantidos dentro da plataforma de gestão

de identidade ou controlador de domínio ou plataforma semelhante só devem ser usados para
gestão de contas. Isso pode entrar em conflito com a necessidade de integrar o controlador
de domínio com software e plataforma de terceiros. Os funcionários devem ser informados
se essas informações serão usadas para criar contas em sistemas futuros controlados por
provedores de serviços terceirizados.
Minimização de dados — Todas as informações coletadas durante o processo de criação da

conta e através do uso regular devem ser destinadas a uma finalidade pré-especificada.

Precisão dos dados — Todas as informações de usuários e clientes associadas a contas,
privilégios e acesso devem ser atualizadas regularmente, quando necessário e usados apenas
para a gestão de contas. Os processos devem ser documentados em como esses dados são
mantidos e como os dados incorretos são corrigidos.
Limitação de armazenamento — Os dados de funcionários e clientes que podem ajudar

a identificar um indivíduo só devem ser armazenados pelo tempo necessário. Os dados
obsoletos devem ser excluídos sem demora. Grande parte das listas de controle de acesso
e privilégios associados às contas dos funcionários podem precisar ser armazenados por
longos períodos de tempo para fins de resposta a incidentes e auditoria.

esse princípio, como o Controle 3: Proteção de Dados. Os dados da conta de funcionários
e clientes, para incluir listas de acesso e privilégios, devem ser protegidos contra acesso,
modificação e divulgação não autorizados.

Segurança
Medida de
6.1 Comercial Proteger Estabelecer um Processo de Concessão de Acesso. Sim

Estabeleça e siga um processo, de preferência A privacidade das informações dos funcionários deve
automatizado, para conceder acesso aos ativos ser levada em conta ao estabelecer esse processo.
corporativos mediante nova contratação, concessão Um processo automatizado é preferido, pois uma
de direitos ou mudança de função de um usuário. pessoa não precisa visualizar PII e outros dados
pessoais. Processos automatizados são preferidos
porque estes podem muitas vezes ser implementados
com as proteções de privacidade apropriadas.
6.2 Comercial Proteger Estabelecer um Processo de Revogação de Acesso. Sim

Estabeleça e siga um processo, de preferência A revogação dos direitos deve ser realizada
automatizado, para revogar o acesso aos ativos preferencialmente de forma automatizada para evitar
corporativos, por meio da desativação de contas que um humano veja essas informações.
imediatamente após o encerramento, revogação
de direitos ou mudança de função de um usuário.
Desativar contas, em vez de excluí-las, pode ser
necessário para preservar as trilhas de auditoria.
6.3 Comercial Proteger Exigir MFA para aplicações expostas externamente. Sim
Exija que todas as aplicações corporativas ou de Alguns mecanismos de autenticação de acesso
terceiros expostas externamente apliquem o MFA, remoto e multifator registram a geolocalização
onde houver suporte. Impor o MFA por meio de dos usuários quando se conectam, que são dados
um serviço de diretório ou provedor de SSO é pessoais. Eles também podem coletar outros dados
uma implementação satisfatória desta medida de pessoais através de impressão digital do dispositivo
segurança. ou outros meios para verificar a identidade do usuário
6.4 Comercial Proteger Exigir MFA para acesso remoto à rede. Sim
Exija MFA para acesso remoto à rede. Alguns mecanismos de autenticação de acesso
remoto e multifator registram a geolocalização
dos usuários quando se conectam, que são dados
pessoais. Eles também podem coletar outros dados
pessoais através de impressão digital do dispositivo
ou outros meios para verificar a identidade do usuário.
6.5 Comercial Proteger Exigir MFA para acesso administrativo. Sim

Exija MFA para todas as contas de acesso Embora seja uma prática recomendada, não há
administrativo, onde houver suporte, em todos os grandes preocupações de privacidade com a
ativos corporativos, sejam gerenciados no site local implementação desta Medida de Segurança. Alguns
ou por meio de um provedor terceirizado. mecanismos de autenticação de acesso remoto e
multifator registram a geolocalização dos usuários
quando eles se conectam ou usam SMS inseguros, e
podem rastrear o acesso dos usuários aos serviços
e através de serviços (por exemplo, aplicativos de
autenticação).

Segurança
6.6 Comercial Identificar Estabelecer e manter um inventário de sistemas de Sim

autenticação e autorização. Os dados pessoais são frequentemente armazenados
Estabeleça e mantenha um inventário dos sistemas em sistemas de autenticação e autorização. Esses
de autenticação e autorização da empresa, incluindo sistemas precisam ser configurados de forma mais
aqueles hospedados no site local ou em um provedor prática possível.
de serviços remoto. Revise e atualize o inventário, no
mínimo, anualmente ou com mais frequência.
6.7 Comercial Proteger Centralizar o controle de acesso. Sim

Centralize o controle de acesso para todos os ativos O controle de acesso centralizado pode beneficiar
corporativos por meio de um serviço de diretório ou significativamente uma empresa do ponto de vista da
provedor de SSO, onde houver suporte. segurança, mas qualquer organização externa que
forneça esses serviços pode ter acesso a informações
pessoais.
6.8 Rede Proteger Definir e manter o controle de acesso baseado em Não

funções. Não há impactos de privacidade ao usar o controle de
Defina e mantenha o controle de acesso baseado em acesso baseado em funções, a menos que usuários
funções, determinando e documentando os direitos individuais sejam destacados como funções dentro
de acesso necessários para cada função dentro da desses sistemas ou que as informações estejam
empresa para cumprir com sucesso suas funções disponíveis de outra forma (por exemplo, podem ser
atribuídas. Realize análises de controle de acesso de inferidas a partir do organograma ou informações
ativos corporativos para validar se todos os privilégios biográficas no site da empresa).
estão autorizados, em uma programação recorrente,
no mínimo uma vez por ano ou com maior frequência.

CONTROLE
07 Gestão Contínua de
Vulnerabilidades
Visão Geral Desenvolva um plano para avaliar e rastrear vulnerabilidades continuamente em todos os
ativos corporativos na infraestrutura da empresa, a fim de remediar e minimizar a janela de
oportunidade para atacantes. Monitore fontes públicas e privadas para novas informações
sobre ameaças e vulnerabilidades.
Este Controle se concentra no uso de software para monitorar as vulnerabilidades contidas

nos softwares usados pela empresa. Aplicando a orientação dos Controles CIS para a gestão
de vulnerabilidades contribuirá para a consciência situacional das vulnerabilidades e tomar
medidas proativas para potenciais fraquezas na privacidade que suportem mitigações
defensivas. O Controle 7 não contém um grande número de Medidas de Segurança com
um impacto de privacidade. Por exemplo, a gestão automatizada de patches e a correção
de vulnerabilidades geralmente não afetam a privacidade ou causam a exposição de dados
confidenciais.
A combinação do inventário de ativos da empresa com as ferramentas e o ecossistema de

software usado para varredura de vulnerabilidades pode compartilhar PII e outros dados
pessoais com outra empresa. Os inventários de ativos geralmente têm informações granulares
sobre indivíduos específicos, como nome, número de telefone, e-mail e endereço físico. As
informações pessoais sobre ativos e indivíduos específicos atribuídos a eles não devem ser
fornecidas aos sistemas de gestão de vulnerabilidades.
Forçar atualizações em dispositivos de propriedade de funcionários sem um acordo explícito

pode ser problemático. As implicações de privacidade geralmente não existem na remediação
de vulnerabilidades dos ativos da empresa.
Coleta de Dados
Na prática, o software de gestão de vulnerabilidades deve ser configurado para se abster de

coletar informações de identificação sobre sistemas. Conectar inventários com sistemas de
gestão de vulnerabilidades é melhor prática, mas o compartilhamento excessivo pode ter um
impacto na privacidade. O software de gestão de vulnerabilidades terá acesso a todas essas
informações sem o consentimento do indivíduo.
Na medida do possível, as empresas devem hospedar todos os dados relacionados a este

software localmente, e não em uma plataforma em nuvem controlada e operada por um
provedor de serviços terceirizado.
Guia Complementar de Privacidade Controle 07: Gestão Contínua de Vulnerabilidades 35

Pode haver requisitos regulatórios ou acordos de terceiros para identificar e gerenciar

vulnerabilidades em sistemas que armazenam dados pessoais. Alguns desses requisitos
regulatórios podem especificamente chamar a atenção para a necessidade de gerenciar
vulnerabilidades, a fim de proteger os dados pessoais contra divulgação não autorizada.
As empresas devem entender as leis de privacidade que regem seu país, estados, região
e indústria.
O Princípio da Limitação da Coleta — A gestão de vulnerabilidades não deve ter acesso a PII
e a outros dados pessoais armazenados no software e inventário de hardware para funcionar.
Essas informações não devem ser fornecidas.
O Princípio da Qualidade de Dados — Quaisquer dados coletados, seja do inventário de

software, ou diretamente do host, devem ser usados exclusivamente para fins de gestão de
vulnerabilidades.
O Princípio da Especificação da Finalidade — Os funcionários devem ser informados por que

suas informações pessoais estão sendo coletadas por agentes de gestão de vulnerabilidades
e como as informações serão usadas.
O Princípio da Limitação de Uso — Os funcionários devem ser informados se esses dados

serão transferidos para outros sistemas controlados por prestadores de serviços terceirizados.

dados de vulnerabilidade armazenados e transmitidos, o que provavelmente inclui PII e outros
dados pessoais.
O Princípio da Transparência — As pessoas que têm seus dados coletados por sistemas
de gestão de vulnerabilidades devem entender quais sistemas externos podem conter seus
dados pessoais e por quê.

ter a capacidade de solicitar quais dados são mantidos sobre eles no inventário.


uma decisão informada sobre o uso de ativos corporativos com base no tipo de dados
pessoais que estarão em uma plataforma de gestão de vulnerabilidades. Uma base legal é
necessária para a coleta de dados pessoais.
de coletar dados pessoais na plataforma de gestão de vulnerabilidades desde o início da
coleta. Os dados pessoais obtidos para a gestão de vulnerabilidades só devem ser usados
para este sistema e os funcionários devem ser informados se seus dados serão transferidos
para outros sistemas controlados por prestadores de serviços terceirizados. Os dispositivos
controlados pela empresa podem não estar sujeitos a este princípio.
Minimização de dados — Nada mais do que é necessário para a gestão de vulnerabilidades

deve ser coletado. Provavelmente haverá sobreposição significativa com as informações
coletadas para os ativos e softwares da empresa.

Precisão dos dados — Os dados do usuário na gestão de vulnerabilidades devem ser
verificados regularmente para obter precisão. Processos devem ser documentados de como
os dados do usuário em plataformas de gestão de vulnerabilidade são mantidos e como os
dados incorretos podem ser corrigidos ou excluídos.
Limitação de armazenamento — Os dados do usuário só devem ser armazenados pelo tempo

necessário em uma plataforma de gestão de vulnerabilidades. Os dados obsoletos devem ser

esse princípio, como os Controles 3, 4 e 5. Os dados de vulnerabilidade devem ser protegidos
contra acesso, modificação e divulgação não autorizados e podem ser potencializados por um
invasor para obter acesso não autorizado aos sistemas de uma empresa.

Segurança
Medida de
7.1 Aplicações Proteger Estabelecer e manter um processo de gestão de Sim

vulnerabilidade. As informações pessoais sobre ativos e
Estabeleça e mantenha um processo de gestão indivíduos específicos atribuídos a eles não
de vulnerabilidade documentado para ativos devem ser fornecidas aos sistemas de gestão de
corporativos. Revise e atualize a documentação vulnerabilidades. Os dados pessoais armazenados
anualmente ou quando ocorrerem mudanças em ativos corporativos devem ser levados em
significativas na empresa que possam impactar esta consideração.
medida de segurança.
7.2 Aplicações Responder Estabelecer e manter um processo de remediação. Sim

Estabeleça e mantenha uma estratégia de Sem potencial para expor informações confidenciais
remediação baseada em risco documentada em um a partes não autorizadas através desta Medida de
processo de remediação, com revisões mensais ou Segurança. Se o processo de remediação pode
mais frequentes. resultar na exclusão dos dados do usuário, então há
uma preocupação com a privacidade.
7.3 Aplicações Proteger Executar a gestão automatizada de patches do Não

sistema operacional. A gestão automatizada de patches não tem impacto
Realize atualizações do sistema operacional em ativos na privacidade.
corporativos por meio da gestão automatizada de
patches mensalmente ou com mais frequência.
7.4 Aplicações Proteger Executar a gestão automatizada de patches de Não

aplicações. A gestão automatizada de patches não tem impacto
Realize atualizações de aplicações em ativos na privacidade.
corporativos por meio da gestão automatizada de
patches mensalmente ou com mais frequência.
7.5 Aplicações Identificar Realizar varreduras automatizadas de Sim

vulnerabilidade em ativos corporativos internos. Ativos em uma rede interna podem ter nomes de
Realize varreduras automatizadas de vulnerabilidade host que expõem informações sobre um indivíduo.
em ativos corporativos internos trimestralmente ou Se uma ferramenta de varredura de vulnerabilidade
com mais frequência. Realize varreduras autenticadas é capaz de verificar que aplicações estão instaladas
e não autenticadas, usando uma ferramenta de em um sistema, isso pode ser uma preocupação de
varredura de vulnerabilidade compatível com o SCAP. privacidade.
7.6 Aplicações Identificar Realizar varreduras automatizadas de Sim

vulnerabilidade em ativos corporativos expostos Os ativos em uma rede externa podem ter nomes
externamente. de host e, muitas vezes, identificar recursos que
Execute varreduras de vulnerabilidade automatizadas podem expor informações sobre um indivíduo. Se
de ativos corporativos expostos externamente usando uma ferramenta de varredura de vulnerabilidade é
uma ferramenta de varredura de vulnerabilidade capaz de verificar quais aplicações estão instaladas
compatível com o SCAP. Execute varreduras em um sistema, isso pode ser uma preocupação de
mensalmente ou com mais frequência. privacidade.

7.7 Aplicações Responder Corrigir vulnerabilidades Detectadas. Não
Corrija as vulnerabilidades Detectadas no software Não existem implicações de privacidade com a
por meio de processos e ferramentas mensalmente, remediação de vulnerabilidades para os ativos da
ou mais frequentemente, com base no processo de empresa.
correção.

CONTROLE
08 Gestão de
Logs de Auditoria
Visão Geral Colete, alerte, analise e retenha logs de auditoria de eventos que podem ajudar a detectar,
compreender ou se recuperar de um ataque.
Firmware, software, sistemas e serviços geram logs de auditoria. Os logs ajudam os

desenvolvedores a projetar e criar produtos, ao mesmo tempo em que ajudam a equipe de TI
a diagnosticar problemas existentes. Esses mesmos logs também ajudam a criar uma trilha de
auditoria para entender as ações que os sistemas e usuários executaram ao usar o sistema.
O controle 8 inclui todas essas atividades. Muitas das Medidas de Segurança neste Controle
carregam implicações de privacidade, pois os logs podem conter dados pessoais.
Os logs podem conter PII e outros dados pessoais, como nomes de usuário, funções e outras
informações coletadas pelo software em um arquivo de log. Para evitar isso, deve ser definido
um processo de gestão de log de auditoria que leve em conta a privacidade (Medida de
Segurança 8.1).
Muitos sistemas diferentes criam e armazenam logs de auditoria. É importante entender quais
sistemas, softwares, bibliotecas e até dispositivos de rede devem ter seus logs coletados e
analisados regularmente.
Coleta de Dados
Os logs de auditoria só devem ser coletados por terceiros se esses concordarem

explicitamente com as proteções de privacidade apropriadas. Os membros da força de
trabalho devem ser treinados para recusar a coleta de log de terceiros, a menos que
explicitamente autorizado pela empresa, e garantir que uma duração de retenção de log seja
definida e aplicada. Arquivos de log mais antigos devem ser arquivados e protegidos através
de mecanismos de criptografia e controle de acesso para evitar que uma violação acesse
todos os logs de uma empresa.
Os dados de log só devem ser armazenados em locais seguros com controles de segurança
apropriados. Estes não são sistemas secundários ou locais de armazenamento; os dados de
log precisam ser protegidos com mitigações defensivas e regularmente verificadas. Isso inclui
provedores de serviços terceirizados, com controles de segurança geralmente conhecidos, e
acordados por escrito.
Guia Complementar de Privacidade Controle 08: Gestão de Logs de Auditoria 39

Os administradores devem trabalhar com o gestor de privacidade, ou departamento jurídico,

para entender quais possíveis PII estão armazenados em logs e alertas. É possível que os
dados pessoais sejam registrados ou armazenados em cache no nível do sistema ou do
aplicativo. Os dados de log devem ser protegidos no mesmo nível dos dados em si, incluindo
os limites de retenção apropriados. Finalmente, os desenvolvedores, tanto funcionários em
tempo integral quanto contratados, devem ser treinados para evitar colocar informações
pessoais nos logs de auditoria e alertas usados para notificar os usuários.
O Princípio da Limitação da Coleta — Os sistemas corporativos devem ser configurados para

gravar o mínimo possível de PII e dados pessoais em logs.
O Princípio da Qualidade de Dados — Quaisquer dados de log com informações pessoais só

devem ser usados em processos de negócios que exijam logs, tais como revisão de uma trilha
de auditoria ou solução de problemas no sistema.
O Princípio da Especificação da Finalidade — Os funcionários devem ser informados quais

dados serão armazenados em arquivos de log e como as informações serão usadas.
O Princípio da Limitação de Uso — Os funcionários devem ser informados se as informações

de log serão transferidas para outros sistemas controlados por provedores de serviços
terceirizados, como um SIEM (Security Information and Event Management) que não está
hospedado localmente.

dados de log armazenados, o que provavelmente inclui PII e outros dados pessoais.
O Princípio da Transparência — Os funcionários com PII e outros dados pessoais coletados

por sistemas corporativos devem entender quais sistemas externos podem conter seus
dados pessoais.

ter a capacidade de solicitar sobre quais dados são mantidos sobre eles no inventário.


uma decisão informada sobre o tipo de dados pessoais que será armazenado em logs
e posteriormente coletado pela empresa. Uma base legal é necessária para coletar logs
contendo dados pessoais.
Limitação da finalidade — Os funcionários devem ser informados sobre quais informações

podem ser armazenadas em arquivos de log e como as informações serão usadas, incluindo
a transferência desses dados para terceiros para análise e correlação posteriores. Mesmo os
dispositivos controlados pela empresa estão sujeitos a este princípio da GDPR.
Minimização de dados — Nada mais do que é necessário deve ser gravado nos arquivos de
log e, posteriormente, coletado ou usado pela empresa.
Precisão dos dados — Os dados do usuário em logs devem ser verificados quanto à precisão.
Quaisquer locais de armazenamento de logs devem ser verificados para garantir que eles
estejam armazenando os logs corretos no formato adequado. Os processos devem ser
documentados em como os logs de dados do usuário são gravados e mantidos.

Limitação de armazenamento — Os dados do usuário só devem ser armazenados pelo tempo
necessário em uma plataforma de logs. Os dados obsoletos devem ser excluídos sem demora.
Os arquivos de log podem precisar ser armazenados por um período significativo de tempo
para fins de resposta a incidentes, auditoria e solução de problemas.

esse princípio, como os Controles 3 e 15. Os dados de log devem ser protegidos contra
acesso, modificação e divulgação não autorizados e podem ser aproveitados por um invasor
para obter acesso não autorizado aos sistemas de uma empresa.

Segurança
Medida de
8.1 Rede Proteger Estabelecer e manter um processo de gestão de Sim

log de auditoria. A privacidade deve ser uma consideração relevante
Estabeleça e mantenha um processo de gestão no desenvolvimento de um processo de gestão de
de log de auditoria que defina os requisitos de log logs de auditoria. Esse processo deve considerar a
da empresa. No mínimo, trate da coleta, revisão e rotação de logs e as informações coletadas dentro
retenção de logs de auditoria para ativos corporativos. dos logs.
Revise e atualize a documentação anualmente
ou quando ocorrerem mudanças significativas na
empresa que possam impactar esta medida de
segurança.
8.2 Rede Detectar Coletar logs de auditoria. Sim

Colete logs de auditoria. Certifique-se de que o Os dispositivos pessoais não devem ter seus logs
log, de acordo com o processo de gestão de log de coletados e visualizados pela empresa, a menos que
auditoria da empresa, tenha sido habilitado em todos seja necessário e discutido anteriormente.
os ativos.
8.3 Rede Proteger Garantir o armazenamento adequado do log de Não

auditoria. O tamanho e a localização do armazenamento de log
Certifique-se de que os destinos dos logs mantenham de auditoria não têm impacto na privacidade.
armazenamento adequado para cumprir o processo
de gestão de log de auditoria da empresa.
8.4 Rede Proteger Padronizar a sincronização de tempo. Não

Padronize a sincronização de tempo. Configure pelo Não existem implicações de privacidade para
menos duas fontes de tempo sincronizadas nos ativos sincronização de tempo.
corporativos, onde houver suporte.
8.5 Rede Detectar Coletar logs de auditoria detalhados. Sim

Configure o log de auditoria detalhado para ativos Logs de auditoria detalhados podem conter PII e
corporativos contendo dados sensíveis. Inclua a outros dados pessoais. Caso essas informações
origem do evento, data, nome de usuário, carimbo sejam coletadas devem ser consideradas em
de data/hora, endereços de origem, endereços de primeiro lugar e as melhores práticas na proteção da
destino e outros elementos úteis que podem ajudar privacidade devem ser incluídas.
em uma investigação forense.
8.6 Rede Detectar Coletar logs de auditoria de consulta DNS. Sim

Colete logs de auditoria de consulta DNS em ativos Os logs de consultas DNS podem ser facilmente
corporativos, quando apropriado e suportado. usados para rastrear usuários e os sites que
eles visitaram, mesmo em dispositivos pessoais
autorizados que acessam a rede. Eles devem ser
tratados como se fossem dados pessoais.
8.7 Rede Detectar Coletar logs de auditoria de requisição de URL. Sim

Colete logs de auditoria de requisição de URL em Os logs de solicitação de URL (Uniform Resource
ativos corporativos, quando apropriado e suportado. Locator) podem ser facilmente usados para rastrear
usuários e podem conter dados pessoais, mesmo
em dispositivos pessoais autorizados que acessam a
rede. Eles devem ser tratados como se fossem dados
pessoais.

Segurança
8.8 Dispositivos Detectar Coletar logs de auditoria de linha de comando. Sim

Colete logs de auditoria de linha de comando. Os logs de auditoria de linha de comando podem
Implementações de exemplo incluem a coleta de ser usados para rastrear como um usuário usa um
logs de auditoria do PowerShell®, BASH ™ e terminais sistema de maneira muito granular.
administrativos remotos. Isso pode revelar informações sobre o usuário, por
exemplo, se eles estão usando um dispositivo de
acessibilidade, seus padrões de trabalho, etc.
8.9 Rede Detectar Centralizar os logs de auditoria. Sim

Centralize, na medida do possível, a coleta e retenção A centralização de todos os logs de auditoria pode
de logs de auditoria nos ativos corporativos. oferecer uma visão muito granular sobre as atividades
e informações específicas de
indivíduos e potencialmente suas atividades pessoais.
8.10 Rede Proteger Reter os logs de auditoria. Sim

Reter os logs de auditoria em ativos corporativos por Os logs só devem ser armazenados ativamente on-
no mínimo 90 dias. line por períodos específicos de tempo. Períodos de
tempo mais longos podem configurar uma violação
de dados.
8.11 Rede Detectar Conduzir revisões de log de auditoria. Sim

Realize análises de logs de auditoria para Detectar Os processos devem ser desenvolvidos para garantir
anomalias ou eventos anormais que possam a privacidade durante as revisões de log de auditoria.
indicar uma ameaça potencial. Realize revisões Esses processos devem incluir pessoal de resposta
semanalmente ou com mais frequência. a incidentes com interesse particular em relação aos
terceiros. O treinamento pode ajudar nesse esforço.
8.12 Dados Detectar Colete logs do provedor de serviços. Sim

Colete logs do provedor de serviços, onde houver Os prestadores de serviços autorizados que coletam
suporte. Implementações de exemplo incluem coleta logs podem coletar PII e outros dados pessoais sobre
de eventos de autenticação e autorização, eventos de funcionários, mas apenas com a finalidade de prestar
criação e de descarte de dados e eventos de gestão o serviço.
de usuários.

CONTROLE
09 Proteções para
Navegador Web e E-mail
Visão Geral Melhore as proteções e detecções de vetores de ameaças de e-mail e web, pois são
oportunidades para atacantes manipularem o comportamento humano por meio do
engajamento direto.
O e-mail é o método mais comum de comunicação empresarial, e servidores de e-mail

armazenam todos os e-mails enviados pelos usuários de suas contas de trabalho. Os
navegadores também são importantes aplicações de negócios e são necessários para
atividades cotidianas no local de trabalho. A maioria das Medidas de Segurança neste
Controle pode ajudar a proteger os dados pessoais de uma empresa, mas as extensões do
navegador e a filtragem de DNS têm um impacto na privacidade muito grande e devem ser
cuidadosamente consideradas.
As extensões do navegador são aplicativos privilegiados em execução dentro de um

navegador. Eles podem rastrear os usuários, visualizar o histórico anterior do navegador, ler
cookies e injetar conteúdo em páginas da Web.
O rastreamento de cookies e outros elementos, bem como a impressão digital, podem ser
usados por sites para “seguir e gravar” todos os sites visitados por um usuário.
Os filtros de URL ajudam a impedir que um ativo corporativo acesse os recursos de rede que
a empresa considera impróprios. A filtragem de URL também permitirá que o filtro rastreie os
recursos acessados ou tentativas de acesso dos usuários.
Servidores de e-mail armazenam informações extremamente confidenciais sobre funcionários,

clientes e outros. Além disso, as contas de e-mail são frequentemente usadas para suportar
redefinição de senha ou autenticação de dois fatores para outras contas. Reter muitas
informações nesses servidores por muito tempo pode deixar uma brecha pior.
Servidores DNS podem rastrear de forma granular a atividade de rede de um usuário. A

maioria das grandes empresas tem gateways para proteção e monitoramento de e-mail
e tráfego web, que armazenam atividades sobre pesquisas na Web, e podem ser outro
repositório de e-mails. A filtragem de DNS oferece benefícios, mas quem está fazendo a
filtragem e como eles estão fazendo isso pode ter implicações de privacidade. Eles podem
impedir que outros rastreiem você, mas também permitem que a empresa controle o servidor
DNS para rastrear exclusivamente os usuários. Vale a pena entender quem a organização
é, qual sua política de privacidade e qual sua reputação na comunidade. Além disso, dada
a natureza sensível dos dados tratados pelos servidores DNS, seus dados em trânsito e
armazenados precisam ser adequadamente protegidos.
Coleta de Dados
Os navegadores da Web podem armazenar históricos locais de todos os sites visitados pelo
usuário. Algumas extensões do navegador são conhecidas por coletar dados de usuários
sem o seu conhecimento. Os sites também podem rastrear usuários com cookies, outros
elementos de rastreamento e/ou por impressão digital. Os sistemas que executam a filtragem
de URL e funções de DNS conhecerão os sites que os usuários específicos e clientes visitam
na rede. Seria trivial para esses sistemas coletar e armazenar dados de usuários.
Guia Complementar de Privacidade Controle 09: Proteções para Navegador Web e E-mail 43
Por padrão, o histórico do navegador será armazenado no computador do usuário. Essas

informações também podem ser federadas em todos os sistemas conectados ao navegador
com este nome de usuário e senha através do histórico atual e sincronização de bookmarks.
Alguns navegadores oferecem perfis, contêineres e outros recursos de particionamento para
ajudar o usuário a manter sua atividade de navegação segura. Os dados de filtragem de DNS
e URL devem ser considerados sensíveis e devidamente protegidos de forma semelhante
a outros dados confidenciais que a empresa possui. Esses dados só devem ser coletados
se necessário.
A maioria das Medidas de Segurança neste Controle não tem implicações diretas de
privacidade. Dito isso, abster-se de implementar muitas das Medidas de Segurança deste
Controle pode conduzir a um ataque bem-sucedido a uma empresa. Isso inclui defesas tais
como atualizar regularmente navegadores e clientes de e-mail (Medida de Segurança 9.1),
implementar autenticação de mensagens baseada em domínio, Reporting & Conformance
(DMARC) (Medida de Segurança 9.5) e bloquear tipos de arquivos específicos (Medida de
Segurança 9.6).
As extensões do navegador podem ter benefícios de privacidade e desvantagens. Uma vez

que as extensões do navegador são essencialmente software, com privilégios elevados,
rodando dentro de um navegador, eles são capazes de acessar mais informações sobre
uma sessão de navegador e do usuário do que é típico. As extensões do navegador podem
mascarar certas atividades para realmente permitir privacidade, como HTTPS Everywhere e
Privacy Badger. As empresas são encorajadas a ter uma lista de permissões de extensões de
navegador baseadas em segurança e privacidade aprovadas para ajudar seus funcionários.
Essas extensões devem ser examinadas por unidades de negócios de TI, cibersegurança e
privacidade dentro de uma empresa.
No entanto, as extensões do navegador também podem rastrear os usuários de forma

granular, visualizar o histórico anterior do navegador, ler cookies e injetar conteúdo em
páginas da Web. Por exemplo, um estudo acadêmico de 2018 afirma que de “…178.893
extensões rastreadas do Chrome Web Store entre setembro de 2016 e março de 2018….” as
“…10 extensões mais populares do Chrome que confirmamos estar vazando informações
privadas/confidenciais possuem [sic] mais de 60 milhões de usuários combinados.” 5 Além
disso, algumas extensões do navegador podem conter malware. Geralmente é melhor
assumir que um navegador está acessando dados que o usuário não pretende e evitar usar
extensões de navegador não confiáveis até o grau prático como mencionado na Medida de
Segurança 9.4.
O Princípio da Limitação da Coleta — Navegadores e sistemas de e-mail devem ser

configurados para coletar o mínimo possível de PII e dados pessoais dos funcionários.
Regulamentações locais podem exigir que certos dados sejam registrados para fins
específicos.
O Princípio da Qualidade de Dados — Os dados de navegadores e sistemas de e-mail só

devem ser usados para fins legítimos de segurança. Por exemplo, mostrar anúncios aos
usuários com base em texto dentro de um e-mail ou sua navegação pode violar esse princípio.

quais informações podem ser armazenadas por navegadores e e-mails e como as informações
serão usadas.
O Princípio da Limitação de Uso — Os funcionários devem ser informados se os dados de
navegador e e-mail serão transferidos para outros sistemas controlados por provedores de
serviços terceirizados, como uma empresa de marketing, ou usados por terceiros e por quê.
O Princípio das Medidas de Segurança. — Deve-se tomar cuidado para proteger qualquer

dado de navegador e e-mail, tanto quando armazenados quanto em trânsito, o que
provavelmente inclui PII e outros dados pessoais.

por sistemas corporativos devem entender quais sistemas externos podem conter seus dados
pessoais e por quê.



uma decisão informada sobre o tipo de dados pessoais que serão coletados de navegadores
e clientes de e-mail por uma empresa. Uma base legal é necessária para a coleta de
dados pessoais.
Limitação da finalidade — Os usuários devem ser informados por escrito sobre a finalidade
de coletar dados pessoais de navegadores e e-mails desde o início da coleta. Os dados
pessoais obtidos através da aplicação deste Controle só devem ser utilizados para este
sistema e os funcionários devem ser informados se suas informações serão transferidas para
outros sistemas controlados ou usados por prestadores de serviços terceirizados. Isso inclui
ferramentas de visibilidade da rede e de segurança. O envio de anúncios aos usuários com
base em seu histórico da Web ou texto dentro de um e-mail pode violar esse princípio.
Minimização de dados — Navegadores e sistemas de e-mail devem ser configurados para

coletar o mínimo possível de PII e dados pessoais dos funcionários. Além dos requisitos da
GDPR, outras regulamentações locais podem exigir que determinados dados sejam gravados.
Precisão dos dados — Os dados do usuário coletados de navegadores e clientes de

e-mail devem ser verificados regularmente em sua precisão. Processos escritos devem
ser documentados sobre como manter esses dados e como os dados incorretos podem
ser corrigidos.
Limitação de armazenamento — Os dados do usuário de navegadores e clientes de e-mail só

devem ser armazenados pelo tempo necessário. Os dados do navegador e do e-mail podem
ser bastante úteis em cenários de resposta a incidentes e, portanto, mantidos por um período
significativo de tempo. Os dados obsoletos devem ser excluídos sem demora.

permitir esse princípio, como o Controle 3. Os dados de navegador e e-mail de um usuário
devem ser protegidos contra acesso, modificação e divulgação não autorizados e podem ser
aproveitados por um invasor para obter acesso não autorizado aos sistemas de uma empresa.
Isso é especialmente verdadeiro para e-mails, pois registros de sistemas de autenticação
podem ser incluídos lá.
Segurança
Medida de
9.1 Aplicações Proteger Garantir o uso apenas de navegadores e clientes de Não

e-mail suportados plenamente. Navegadores e clientes de e-mail que não têm
Certifique-se de que apenas navegadores e clientes suporte não devem ser usados. Esta Medida de
de e-mail suportados plenamente tenham permissão Segurança não está incluída porque aumenta a
para executar na empresa, usando apenas a versão segurança, porém sem nenhum impacto específico
mais recente dos navegadores e clientes de e-mail de privacidade. Aos usuários devem ser oferecidos
fornecidos pelo fornecedor. a capacidade de navegadores que preservem a
privacidade.
9.2 Rede Proteger Usar serviços de filtragem de DNS. Sim

Use os serviços de filtragem de DNS em todos A filtragem de DNS pode ajudar a impedir o
os ativos corporativos para bloquear o acesso a rastreamento por domínios maliciosos conhecidos,
domínios mal-intencionados conhecidos. mas também dá ao filtro conhecimento completo dos
sites que um usuário visita. Desativar o log de DNS
seria uma ação mais conservadora, mas pode entrar
em conflito com outras necessidades de TI.
9.3 Rede Proteger Manter e impor filtros de URL baseados em rede. Sim
Imponha e atualize filtros de URL baseados em rede Essa prática pode ajudar a impedir que um ativo
para limitar um ativo corporativo de se conectar a corporativo baixe malware, o que pode resultar em
sites potencialmente maliciosos ou não aprovados. uma exposição à privacidade. No entanto, este filtro
Implementações de exemplo incluem filtragem de rede terá profundo conhecimento sobre como
baseada em categoria, filtragem baseada em os usuários estão acessando a rede corporativa.
reputação ou através do uso de listas de bloqueio. Desativar o log seria uma ação mais conservadora
Aplique filtros para todos os ativos corporativos. de preservação da privacidade, mas pode entrar em
conflito com outras necessidades de TI.
9.4 Aplicações Proteger Restringir extensões de cliente de e-mail e Sim

navegador desnecessárias ou não autorizadas. As extensões do navegador são bem conhecidas por
Restrinja, seja desinstalando ou desabilitando, acessar e compartilhar informações que os usuários
quaisquer plug-ins de cliente de e-mail ou navegador, não queiram. Algumas extensões do navegador
extensões e aplicações complementares não oferecem recursos de preservação de privacidade.
autorizados ou desnecessários.
9.5 Rede Proteger Implementar o DMARC. Não

Para diminuir a chance de e-mails forjados ou O DMARC pode impedir que e-mails de phishing e
modificados de domínios válidos, implemente a outros e-mails maliciosos cheguem aos usuários, mas
política e verificação DMARC, começando com não há impacto específico na privacidade.
a implementação dos padrões Sender Policy
Framework (SPF) e DomainKeys Identified Mail
(DKIM)..
9.6 Rede Proteger Bloquear tipos de arquivo desnecessários. Não

Bloqueie tipos de arquivo desnecessários que tentem Bloquear a transferência de tipos de arquivos é
entrar no gateway de e-mail da empresa. importante, mas não há impacto específico na
privacidade.
9.7 Rede Proteger Implantar e manter proteções antimalware de Sim

servidor de e-mail. A varredura de e-mails pode impedir que e-mails de
Implante e mantenha proteção antimalware de phishing e outros anexos maliciosos cheguem aos
servidores de e-mail, como varredura de anexos e/ usuários, mas esse sistema também será capaz de
ou sandbox. acessar dados pessoais sobre um usuário e outros
indivíduos
CONTROLE
10 Defesas Contra
Malware
Visão Geral Impeça ou controle a instalação, disseminação e execução de aplicações, códigos ou
scripts maliciosos em ativos corporativos.
Este Controle é específico para tecnologias e processos para evitar um ataque bem-sucedido
de malware. Há poucos impactos diretos de privacidade na implementação das proteções
contra malware contidas neste Controle. Quando o malware é instalado em um sistema, ele
pode coletar PII e outros dados pessoais (por exemplo, contatos, histórico do navegador).
Spyware e adware podem rastrear o que um usuário está fazendo em um computador

infectado. Outros tipos de malware também podem executar essa função ao realizar mais
atividades maliciosas em um sistema.
O software anti-malware muitas vezes requer privilégios elevados em um sistema. Este

software pode ser acessado tanto pelo desenvolvedor do software anti-malware, quanto por
quem administra o software. É provável que esse administrador também tenha outros tipos de
acesso privilegiado a o sistema.
Se as ferramentas de malware de host e perímetro gravarem dados confidenciais, quaisquer

alertas e logs gerados por esses sistemas podem conter essas informações privadas.
Coleta de Dados
O malware que infecta um sistema pode coletar e enviar dados pessoais ou privados para o
desenvolvedor de malware. Essas informações também podem ser enviadas para fora da rede.
Ferramentas anti-malware também podem coletar informações privadas. Os administradores
devem trabalhar com os gestores de privacidade ou com a unidade de negócios aplicável para
entender quais dados potenciais são armazenados em logs e alertas.
O malware pode ser usado para roubar informações pessoais e mantê-las em outro lugar fora
da rede. Os logs e alertas do software anti-malware devem ser armazenados em um local
seguro e o acesso deve ser restrito.
As proteções contra malware podem, em última análise, ajudar a garantir a privacidade. Sem
algum tipo de defesa contra malware e atualizações regulares para manter essas defesas
eficazes, o sistema fica muito mais vulnerável a ataques. Uma vez infectada, toda a atividade
local e de rede pode ser rastreada e potencialmente vazada para outros lugares.
É comum que funcionários, incluindo funcionários de TI, baixem softwares fora da aprovação
explícita da política de TI. Dependendo do site que hospeda o download do software, baixar
o software correto pode ser intencionalmente confuso, e os usuários podem acidentalmente
baixar spyware/malware ao invés de software anti-malware.
Guia Complementar de Privacidade Controle 10: Defesas Contra Malware 47

O Princípio da Limitação da Coleta — Sistemas de defesa de perímetros e anti-malware

devem ser configurados para coletar o mínimo de PII e dados pessoais dos funcionários
O Princípio da Qualidade de Dados — Os dados dos sistemas de defesa de perímetro e anti-

malware só devem ser usados em processos de segurança para se defender contra malware

os dados que podem ser armazenados por sistemas de defesa de perímetro e anti-malware,
bem como, onde as informações serão usadas.
O Princípio da Limitação de Uso — Os funcionários devem ser informados se os dados de

defesa de perímetro e anti-malware serão transferidos para outros sistemas controlados ou
usados por provedores de serviços terceirizados, como uma empresa de marketing

dados de defesa de perímetro e anti-malware, o que provavelmente inclui PII e outros
dados pessoais.

por sistemas corporativos devem entender quais sistemas externos podem conter seus dados
pessoais e por quê.



uma decisão informada sobre o tipo de dados pessoais que serão coletados por um sistema
de antivírus. Uma base legal é necessária para a coleta de dados pessoais.
Limitação da finalidade — Os usuários devem ser informados por escrito sobre a finalidade
de coletar dados pessoais na plataforma anti-malware desde o início da coleta. Os dados
pessoais coletados através da plataforma anti-malware só devem ser usados para este
sistema e os funcionários devem ser informados se suas informações serão transferidas para
outros sistemas controlados por provedores de serviços terceirizados.
Minimização de dados — Os dados de usuário coletados através de uma plataforma anti-

malware são provavelmente incidentais, ou de um arquivo pessoal que possa ter sido
infectado ou de um vetor de infecção. Provavelmente haverá sobreposição significativa com
as informações coletadas para os ativos e softwares da empresa.
Precisão dos dados — Os dados do usuário coletados através deste Controle devem ser
verificados regularmente para obter precisão.
Limitação de armazenamento — Os dados do usuário, como PII, só devem ser armazenados

pelo tempo necessário em um sistema anti-malware. Os dados obsoletos devem ser

permitir esse princípio, como os Controles 3, 4 e 5. Os dados do usuário coletados devem
ser protegidos contra acesso, modificação e divulgação não autorizados e podem ser
aproveitados por um invasor para obter acesso não autorizado aos sistemas de uma empresa.

Segurança
Medida de
10.1 Dispositivos Proteger Instalar e manter um software anti-malware. Sim

Instale e mantenha um software anti-malware em Pesquisas devem ser feitas para entender as
todos os ativos corporativos. informações que o software anti-malware pode
acessar em um sistema e levar em conta a
privacidade em sua implementação.
10.2 Dispositivos Proteger Configurar atualizações automáticas de assinatura Sim

anti-malware. Os administradores deste software podem ter acesso
Configure atualizações automáticas para arquivos a informações confidenciais.
de assinatura anti-malware em todos os ativos
corporativos.
10.3 Dispositivos Proteger Desabilitar a execução e reprodução automática Não

para mídias removíveis. Não há impactos diretos na privacidade com a
Desabilitar a funcionalidade de execução e desativação da execução e reprodução automática.
reprodução automática para mídias removíveis.
10.4 Dispositivos Detectar Configurar a varredura anti-malware automática de Sim

mídia removível. O software anti-malware pode varrer arquivos
Configure o software anti-malware para verificar pessoais e coletar informações desses arquivos.
automaticamente mídias removíveis. Esses dados pessoais podem ser fornecidos
posteriormente a um administrador para revisão.
10.5 Dispositivos Proteger Habilitar recursos anti-exploração. Não

Habilite recursos anti-exploração em ativos e Embora esses recursos possam impedir que um
softwares corporativos, onde possível, como usuário instale seu próprio sistema operacional no
Microsoft® Data Execution Prevention (DEP), hardware, não há impactos diretos na privacidade.
Windows® Defender Exploit Guard (WDEG), ou Apple®
System Integrity Protegerion (SIP) e Gatekeeper™.
10.6 Dispositivos Proteger Gerenciar o software anti-malware de maneira Sim

centralizada. Os administradores deste software provavelmente
Gerencie o software anti-malware de maneira terão acesso a PII e dados pessoais.
centralizada.
10.7 Dispositivos Detectar Usar software anti-malware baseado em Não

comportamento. Certos comportamentos benignos do usuário podem
Use software anti-malware baseado em acionar que o administrador revise pessoalmente
comportamento os logs.

CONTROLE
11 Recuperação de
Dados
Visão Geral Estabeleça e mantenha práticas de recuperação de dados suficientes para restaurar ativos
corporativos dentro do escopo para um estado pré-incidente e confiável.
Este Controle é destinado a ajudar as empresas na preparação para se recuperar de um

incidente cibernético. Existem preocupações de privacidade com muitas das Medidas
de Segurança neste Controle. Principalmente, as Medidas de Segurança associadas ao
fornecimento de informações a terceiros que são mais aplicáveis.
A equipe de TI precisará criar backups de informações corporativas como parte deste

Controle. PII contidas na área deo Recursos Humanos (RH) e outros registros precisarão ser
backupeados, mas PII e outros dados pessoais também podem, aliás, ser coletados como
parte desse processo. Isso é provavelmente inevitável, a menos que tanto a equipe de TI
quanto os funcionários sejam diligentes em não armazenar informações não relacionadas
ao trabalho em sistemas da empresa. Mas, mesmo informações relacionadas ao trabalho
em backups provavelmente contêm dados pessoais. É comum que esses backups sejam
armazenados com empresas especializadas em recuperação de desastres.
Dependendo das Medidas de Segurança tomadas pela equipe interna de TI, organizações
terceirizadas envolvidas em cenários de recuperação de desastres podem ter acesso a dados
armazenados em backups.
Testar se os backups podem realmente ser restaurados é uma parte importante de um

processo de recuperação de dados. A restauração de backups durante os testes deve ser
feita com cuidado. Se os dados confidenciais forem restaurados, esse sistema deve ser
devidamente protegido e excluído com segurança após a conclusão do exercício.
Coleta de Dados
PII e outros dados pessoais podem ser coletados por TI ao realizar backups e transferir
backups para fora do local ou para uma organização terceirizada para mais segurança e
proteção contra ransomware.
Proteções de segurança específicas para PII e outros dados pessoais precisam ser
estipuladas no Acordo de Nível de Serviço (SLA)
A TI pode armazenar backups em local externo em uma localização controlada pela empresa,
como outro edifício de escritórios geograficamente separado do escritório principal.
Organizações terceirizadas que fornecem armazenamento para backups da empresa podem
armazenar as informações em uma plataforma de nuvem ou em um hot site ou cold site físico.
Os dados pessoais em ambos os locais precisam ser protegidos.
Guia Complementar de Privacidade Controle 11: Recuperação de Dados 50

Ao realizar backups, o local de armazenamento definitivo pode fazer a diferença. Por exemplo,
se os backups forem armazenados na União Europeia, requisitos específicos relacionados
à proteção de PII e outros dados pessoais serão exigidos pela GDPR. Depois que um
backup é feito, é uma prática recomendada garantir que os dados desejados estejam sendo
salvos e que possam realmente ser usados para recuperar uma perda de dados. O teste e a
restauração dos backups devem ser feitos de forma organizada e cuidadosa, pois a TI tem
acesso a PII e outros dados pessoais. Se os dados confidenciais forem restaurados, o sistema
deve ser protegido adequadamente até que seja excluído com segurança.
O Princípio da Limitação da Coleta — Todas as informações sobre um sistema não devem

ser armazenadas em backup a menos que haja um retrato rigoroso dos dados corporativos
e do usuário.
O Princípio da Qualidade de Dados — Os dados dos backups só devem ser usados durante a
recuperação ou teste de dados.

informações podem ter backup e como as informações serão usadas.
O Princípio da Limitação de Uso — Os funcionários devem ser informados se os backups

serão transferidos para outros sistemas controlados ou usados por provedores de serviços
terceirizados, como uma empresa focada na recuperação de dados.

backups que provavelmente incluam PII e outros dados pessoais. Isso inclui criptografar os
backups e garantir que mecanismos adequados de controle de acesso estejam em vigor.

dados pessoais.



tomar uma decisão informada sobre o tipo de dados pessoais que serão coletados durante
um processo de backup ou teste backup. Uma base legal é necessária para a coleta de
dados pessoais.
de coletar dados pessoais durante um backup. Os dados pessoais coletados durante esse
processo podem ser transferidos para outros fornecedores para auxiliar na recuperação
de desastres ou no armazenamento de dados de longo prazo. Os funcionários devem estar
cientes disso.
Minimização de dados — Nada mais do que o necessário para a restauração dos serviços

corporativos deve ser coletado, mas pode haver coleta incidental de dados pessoais.
Isso deve ser evitado e processos escritos devem estar em vigor para evitar coletas de
dados pessoais.

Precisão dos dados — Os dados de backup devem ser verificados regularmente quanto a
integridade em utilização. Processos escritos devem ser documentados sobre como os dados
do usuário em backups são mantidos e como os dados incorretos podem ser corrigidos ou,
mais provavelmente, removidos.
Limitação de armazenamento — Os dados do usuário só devem ser armazenados pelo

tempo necessário, se necessário. Os dados obsoletos devem ser excluídos sem demora.

esse princípio, como os Controles 3, 4 e 5. Os dados pessoais devem ser protegidos contra
acesso, modificação e divulgação não autorizados e podem ser aproveitados por um invasor
para obter acesso não autorizado aos sistemas de uma empresa.

Segurança
Medida de
11.1 Dados Recuperar Estabelecer e manter um processo de recuperação Sim

de dados. Esse processo deve levar em conta a privacidade
Estabeleça e mantenha um processo de recuperação e garantir que, na medida do possível, PII e outros
de dados. No processo, aborde o escopo das dados pessoais não sejam backupeados, ou pelo
atividades de recuperação de dados, a priorização menos não sejam fornecidos a terceiros de forma
da recuperação e a segurança dos dados de backup. insegura.
Revise e atualize a documentação anualmente
empresa que possam impactar esta medida de
segurança.
11.2 Dados Recuperar Executar backups automatizados. Sim

Execute backups automatizados de ativos Backups automatizados não devem armazenar PII
corporativos dentro do escopo. Execute backups e outros dados pessoais de forma que terceiros
semanalmente ou com mais frequência, com base na possam acessar sem o consentimento do proprietário
sensibilidade dos dados. de dados.
11.3 Dados Proteger Proteger os dados de recuperação. Sim

Proteja os dados de recuperação com controles Qualquer PII e outros dados pessoais que sejam
equivalentes dos dados originais. Referencie o uso backupeados devem ser protegidos pelo menos tão
de criptografia ou separação de dados, com base nos bem quanto dados corporativos. Em alguns casos,
requisitos. pode exigir maior segurança de dados.
11.4 Dados Recuperar Estabelecer e manter uma instância isolada de Sim

dados de recuperação. Não há implicações de privacidade de ter uma
Estabeleça e mantenha uma instância isolada de instância isolada de dados de recuperação de dados
dados de recuperação. Implementações de exemplo corporativos se ele estiver seguro e o acesso for
incluem controle de versão de destinos backup por restrito.
meio de sistemas ou serviços offline, na nuvem ou
fora do site local.
11.5 Dados Recuperar Testar os dados de recuperação. Sim

Teste a recuperação do backup trimestralmente, ou A restauração de backups deve ser feita com cuidado.
com mais frequência, para uma amostra dos ativos Se os dados confidenciais forem restaurados como
corporativos dentro do escopo. parte do processo de teste, esse sistema deve ser
devidamente protegido e excluído com segurança.

CONTROLE
12 Gestão de Infraestrutura
de Redes
Visão Geral Estabeleça, implemente e gerencie ativamente (rastreie, reporte, corrija) os dispositivos
de rede, a fim de evitar que atacantes explorem serviços de rede e pontos de acesso
vulneráveis.
As Medidas de Segurança neste Controle garantem que a infraestrutura de rede (por exemplo,
firewalls, roteadores, switches) seja configurada, mantida e configurada adequadamente ao
longo de seu ciclo de vida. Diversas Medidas de Segurança se concentram em usar software
atualizado em aparelhos de rede e protocolos de administração modernos e seguros. Por isto,
muitas das Medidas de Segurança neste Controle não têm um impacto direto na privacidade.
A infraestrutura de rede provavelmente é capaz de rastrear de forma granular a atividade do

usuário em toda a rede.
O projeto e a segmentação de rede inadequados podem conduzir a menores graus de

privacidade para usuários de rede corporativa. Falhas na documentação de decisões
destinadas a melhorar a privacidade podem dificultar o desenvolvimento futuro de um
crescente programa de privacidade.
Os logs relativos a sistemas de autenticação e autorização em geral podem registrar

ações privadas. Por exemplo, alguns sistemas de autenticação centralizados registram a
geolocalização dos usuários quando eles se conectam. Outros eventos de autenticação
causarão entradas de registros, como tempo de acesso, tentativa de hora de autenticação e
quais recursos foram acessados. A coleta dessas entradas de registros pode ser benéfica para
os esforços investigativos durante a resposta a incidentes; no entanto, elas também podem
ser usadas para quebrar a privacidade. Devido a esse e outros fatores, é melhor fazer uma
auditoria regular e verificar quem tem acesso a dados pessoais.
Coleta de Dados
Nenhuma PII ou dados pessoais devem ser intencionalmente coletados nesta Medida de
Segurança pela infraestrutura de rede. Isso inclui decriptografar o tráfego de funcionários,
que foi especificamente removido dos Controles CIS como uma medida de proteção de
privacidade. No entanto, muitos sistemas coletarão dados que podem ser usados para
rastreamento enquanto executam sua função de segurança ou privacidade.
Em geral, a infraestrutura de rede não deve armazenar PII e dados pessoais. Dito isso, alguns
sistemas de rede observarão quais sites e recursos os usuários estão acessando interna
e externamente na internet. Esses aparelhos de rede incluem DNS, sistema de detecção
de intrusões (IDS) e firewalls. Uma vez que o histórico da Web pode ser considerado dado
relevante para a privacidade, se essas informações forem necessárias para proteger a
infraestrutura da rede, devem ser armazenadas de forma segura e apenas pelo tempo que
for necessário.
Guia Complementar de Privacidade Controle 12: Gestão de Infraestrutura de Redes 53

Planejar e implementar uma arquitetura segura (Medida de Segurança 12.2 – Estabelecer

e Manter uma Arquitetura de Rede Segura) pode ajudar a viabilizar a privacidade em uma
empresa. Isso garante que existam elementos arquitetônicos na rede que impeçam o acesso
a sistemas e informações de funcionários (incluindo dispositivos móveis). Muitas camadas
de defesas físicas e lógicas precisam ser colocadas em prática para que isso funcione
adequadamente. Isso inclui a centralização de sistemas de autenticação, gestão de privilégios,
acesso remoto à rede e prevenção de sistemas em uma parte da rede de acessar outro
segmento de rede não relacionado. As decisões de privacidade e outras considerações
projetadas na rede devem ser explicitamente documentadas para garantir que outras equipes
de TI entendam essas decisões e possam segui-las daqui para frente. Essa documentação
também pode ser útil para a equipe jurídica se ocorrer uma violação no futuro.
Muitas vezes existem requisitos regulatórios, ou acordos de terceiros para controles de

segurança em dispositivos que encaminham dados pessoais dentro da rede ou entre redes. A
auditoria regular dos requisitos regulatórios e de acordos de terceiros pode ajudar a verificar
a localização e a proteção adequada de todos PII e outros dados pessoais. Da mesma forma,
como parte do plano e da governança de dados pessoais, certifique-se de que todos os dados
de privacidade ou PII sejam identificados, e os fluxos de dados apropriados sejam conhecidos.
Dessa forma, a proteção adequada pode ser aplicada a todos os sistemas da cadeia de
fluxo de dados .
O Princípio da Limitação da Coleção — A infraestrutura de rede não deve ser configurada

intencionalmente para coletar PII e outros dados pessoais.
O Princípio da Qualidade de Dados — PII e outros dados pessoais coletados de dispositivos

de rede só devem ser usados para tomar decisões de segurança para acesso à rede e
filtragem de informações.

informações serão coletadas pelos dispositivos de rede e como as informações serão usadas.
O Princípio da Limitação de Uso — Os funcionários devem ser informados se os dados

coletados pelos dispositivos de rede serão transferidos para outros sistemas controlados ou
usados por prestadores de serviços terceirizados, tal como uma empresa focada em perícia
de rede ou resposta a incidentes.

dados de rede que provavelmente incluam PII e outros dados pessoais.

dados pessoais.



tomar uma decisão informada sobre o tipo de dados pessoais que serão coletados pela
infraestrutura da rede. Uma base legal é necessária para a coleta de dados pessoais.

Limitação da finalidade — A infraestrutura de rede não deve ser configurada intencionalmente
para coletar PII e outros dados pessoais. Os usuários devem ser informados por escrito sobre
qualquer infraestrutura de rede que colete dados pessoais.
Minimização de dados — Os dados pessoais não devem ser coletados pela infraestrutura
de rede, a menos que seja necessário. Processos escritos devem estar em vigor para evitar
coletas pessoais indesejáveis.
Precisão dos dados — Quaisquer dados pessoais devem ser mantidos com processos
escritos documentados sobre como os dados do usuário são mantidos e como os dados
incorretos podem ser corrigidos ou, mais provavelmente, removidos.

tempo necessário, se necessário. Dados obsoletos ou desnecessários do usuário devem ser

esse princípio, como o Controle 3 – Proteção de Dados para proteger backups. Os dados
pessoais devem ser protegidos contra acesso, modificação e divulgação não autorizados e
podem ser potencializados por um invasor para obter acesso não autorizado aos sistemas de
uma empresa.

Segurança
Medida de
12.1 Rede Proteger Assegurar que a infraestrutura de rede esteja Não

atualizada. A infraestrutura de rede deve ser mantida atualizada,
Assegure que a infraestrutura de rede seja mantida mas não há impacto específico na privacidade com a
atualizada. Implementações de exemplo incluem a implementação desta Medida de Segurança.
execução da versão estável mais recente do software
e/ou o uso de ofertas de network-as-a-service (NaaS)
atualmente suportadas. Revise as versões do software
mensalmente, ou com mais frequência, para verificar
o suporte do software.
12.2 Rede Proteger Estabelecer e manter uma arquitetura de Sim

rede segura. Uma arquitetura segura pode ajudar a permitir
Estabeleça e mantenha uma arquitetura de rede a privacidade, impedindo o acesso a sistemas e
segura. Uma arquitetura de rede segura deve abordar informações de funcionários. Isso pode ser feito
segmentação, privilégio mínimo e disponibilidade, através da gestão de privilégios ou impedindo que
no mínimo. sistemas em uma parte da rede acessem outro
segmento de rede.
12.3 Rede Proteger Gerenciar infraestrutura de rede com segurança. Não

Gerencie com segurança a infraestrutura de rede. Os sistemas que contenham dados pessoais
Implementações de exemplo incluem versão precisarão de manutenção e administração de rotina.
controlada de infraestrutura como código e o uso de Esses sistemas só devem ser acessados através de
protocolos de rede seguros, como SSH e HTTPS. protocolos seguros. Nenhum impacto de privacidade
específico para esta Medida de Segurança.
12.4 Rede Identificar Estabelecer e manter diagrama(s) de arquitetura. Sim

Estabeleça e mantenha diagrama(s) de arquitetura e/ As proteções e considerações de privacidade
ou outra documentação de sistema de rede. Revise projetadas na rede devem ser explicitamente
e atualize a documentação anualmente ou quando documentadas.
12.5 Rede Proteger Centralizar a autenticação, autorização e auditoria Sim

(AAA) de rede. O AAA centralizado provavelmente gravará e
Centralize AAA de rede. registrará informações sobre a localização atual de
um usuário.

Segurança
12.6 Rede Proteger Usar protocolos de comunicação e gestão de rede Não

seguros. Esta Medida de segurança deve ser aplicada para
Use protocolos de comunicação e gestão de rede proteger todas as informações em toda rede, mas não
seguros (por exemplo, 802.1X, Wi-Fi Protected Access há impacto específico na privacidade.
2 (WPA2) Enterprise ou superior).
12.7 Dispositivos Proteger Assegurar que os dispositivos remotos utilizem Sim

uma VPN e estejam se conectando a uma Sistemas de informação associados a recursos
infraestrutura AAA da empresa. remotos de login ou VPN provavelmente descobrirão
Exigir que os usuários se autentiquem em serviços de informações sobre a localização atual de um usuário.
autenticação e VPN gerenciados pela empresa antes As VPNs podem rastrear a localização geográfica de
de acessar os recursos da empresa em dispositivos um usuário.
de usuário final.
12.8 Dispositivos Proteger Estabelecer e manter recursos de computação Sim

dedicados para todo o trabalho administrativo. Os administradores são encorajados a usar
Estabeleça e mantenha recursos de computação dispositivos diferentes para tarefas administrativas e
dedicados, fisicamente ou logicamente separados, tarefas relacionadas ao trabalho diário. Dispositivos
para todas as tarefas administrativas ou tarefas e aplicações que não requerem acesso à internet
que requeiram acesso administrativo. Os recursos devem ser fisicamente isolados ou colocados em uma
de computação devem ser segmentados da rede rede privada que não lhes permita acesso a redes
primária da empresa e não deve ser permitido o externas.
acesso à Internet.

CONTROLE
13 Monitoramento e
Proteção de Rede
Visão Geral Opere processos e ferramentas para estabelecer e manter monitoramento e defesa
de rede abrangente contra ameaças de segurança em toda a infraestrutura de rede
corporativa e base de usuários.
Garantir a visibilidade em uma rede é essencial para entender os tipos e a frequência dos
ataques enfrentados por uma empresa. A visibilidade da rede e a atuação sobre essas
informações são, em última análise, o objetivo deste Controle. Para conseguir isso, as Medidas
de Segurança e o Monitoramento de Rede se concentram na instalação, configuração
e monitoramento de produtos de software que ficam na rede e no host. Esses produtos
terão acesso privilegiado a informações na rede e no host, e as informações que acessam,
armazenam e usam podem ter implicações de privacidade. Muitas dessas Medidas de
Segurança têm impactos na privacidade.
Implicações de privacidade
As empresas devem garantir que os SIEMs não estejam de forma regular alertando sobre
informações que contenham dados pessoais e, portanto, sendo enviadas aos analistas de
segurança para revisão manual. Isso é diferente dos SIEMs que alertam a TI sobre a existência
de informações pessoais e senhas em texto claro.
A infraestrutura de rede provavelmente será capaz de rastrear de forma granular a atividade

do usuário em toda a rede.
A defesa de perímetro e outros sistemas de arquitetura de rede podem coletar informações

sobre seus usuários.
Dados Coletados
Informações de tráfego de rede coletadas pelo IDS, sistema de prevenção de intrusão (IPS)
e softwares de filtragem de aplicações, juntamente com alertas gerados a partir de várias
fontes, podem ser coletadas.
Armazenamento de dados
Informações de tráfego de rede coletadas por IDS, IPS e softwares de filtragem de aplicações,
juntamente com alertas gerados de várias fontes, precisam ser armazenadas. Os proprietários
do software de todos esses sistemas devem ter acesso a todas essas informações e podem
armazenar essas informações em sua própria rede privada. A empresa que usa esses sistemas
também armazenará essas informações e elas devem ser protegidas adequadamente.
Guia Complementar de Privacidade Controle 13: Monitoramento e Proteção de Rede 57

A implementação de melhores práticas de centralização de logs e alertas requer o uso de uma

ferramenta SIEM (Medida de Segurança 13.1 – Centralizar o alerta de eventos de segurança).
Muitas das outras Medidas de Segurança nesse Controle se concentram na implementação
de produtos que, em última análise, produzem logs e alertas que podem ser consumidos em
um SIEM. É bem possível que haja problemas de privacidade com o tipo de dados coletados
por esses sistemas de defesa de perímetro, especialmente atividade do usuário, logs de e-mail
e informações pessoais que podem ser registradas quando um usuário visita um site. Por isso,
é melhor garantir que haja um processo de governança de dados que identifique e proteja
todas as PII ou dados pessoais e onde esses dados fluem para dentro e para fora da rede.
Os dispositivos móveis também devem fazer parte desse processo, e algumas das
ferramentas de defesa de perímetro têm subcomponentes móveis ou categorias de produtos
totalmente separadas que podem ser aplicáveis, como defesa móvel contra ameaças. Por
fim, lembre-se de que controles de defesa de perímetro insuficientes podem revelar a falta de
defesas necessárias para proteger dados pessoais, conforme exigido por algumas estruturas
regulatórias.
O Princípio da Coleta Limitada — A infraestrutura de rede não deve ser configurada

intencionalmente para coletar PII e outros dados pessoais.
O Princípio da Qualidade de Dados — PII e outros dados pessoais coletados de dispositivos

de rede devem ser usados apenas para tomar decisões de segurança para acesso à rede e
filtragem de informações.
O Princípio da Especificação da Finalidade — Os funcionários devem ser informados

sobre quais informações serão coletadas pelos dispositivos de rede e como as informações
serão usadas.

coletados por dispositivos de rede serão transferidos para outros sistemas pertencentes ou
usados por provedores de serviços terceirizados, como uma empresa com foco em perícia ou
resposta a incidentes.

dados de rede que provavelmente incluam PII e outros dados pessoais.
O Princípio de Transparência — Funcionários com PII e outros dados pessoais coletados

dados pessoais.
O Princípio da Participação do Indivíduo — É improvável que isso seja implementável sem

sérias discussões prévia com quaisquer prestadores de serviços. Os funcionários devem ter a
capacidade de solicitar, razoavelmente, para ver quais dados são armazenados sobre eles.
O Princípio da Prestação de Contas — É pouco comum encontrar prestadores de serviço que

cumpram com todos os FIPPs.

tomar uma decisão informada sobre o tipo de dados pessoais que serão coletados pela
infraestrutura de rede. É necessária uma base legal para o recolhimento de dados pessoais.

Limitação da finalidade — A infraestrutura de rede não deve ser configurada intencionalmente
para coletar PII e outros dados pessoais. Os usuários devem ser informados por escrito sobre
qualquer infraestrutura de rede que coleta dados pessoais. O compartilhamento de dados
com terceiros deve ser evitado, se possível, e os usuários devem entender o que está sendo
compartilhado com quem.
Minimização de Dados — Os dados pessoais não devem ser coletados pela infraestrutura
de rede, a menos que seja necessário. Processos escritos devem estar em vigor para evitar a
coleta de dados pessoais indesejáveis.
Precisão dos Dados — Quaisquer dados pessoais devem ser mantidos com processos
escritos documentados sobre como os dados do usuário em backups são mantidos e como os
dados incorretos podem ser corrigidos ou, mais provavelmente, removidos.
Limitação de Armazenamento — Os dados do usuário devem ser armazenados apenas pelo

tempo necessário, se for necessário. Os dados de usuário obsoletos ou desnecessários devem
ser excluídos sem demora.
Integridade e Confidencialidade — Os Controles CIS podem ser potencializados para

viabilizar esse princípio, como o Controle 3: Proteção de Dados para proteger backups.
Os dados pessoais devem ser protegidos contra acesso, modificação e divulgação não
autorizados e podem ser potencializados por um invasor para obter acesso não autorizado
aos sistemas de uma empresa.
Tabela de Aplicabilidade de Privacidade do Controle 13

Segurança
Medida de
13.1 Rede Detectar Centralizar o alerta de eventos de segurança Sim

Centralize os alertas de eventos de segurança em Os administradores devem trabalhar com o gestor de
ativos corporativos para correlação e análise de privacidade, ou departamento jurídico, para entender
log. A melhor prática requer o uso de um SIEM, que quais PII potenciais são armazenadas em logs e
inclui alertas de correlação de eventos definidos alertas e como devem ser protegidos.
pelo fornecedor. Uma plataforma de análise de log
configurada com alertas de correlação relevantes
para a segurança também atende a esta medida de
segurança.
13.2 Dispositivos Detectar Implantar solução de detecção de intrusão baseada Sim

em host. Pesquisas devem ser feitas para entender quais
Implante uma solução de detecção de intrusão informações que o IDS baseado em host pode
baseada em host em ativos corporativos, quando acessar em um sistema e especificamente se ele
apropriado e/ou com suporte pode acessar qualquer dado pessoal.
13.3 Rede Detectar Implantar uma solução de detecção de Sim

intrusão de rede Pesquisas devem ser realizadas para entender como
Implante uma solução de detecção de intrusão de a solução IDS armazena e coleta informações sobre
rede em ativos corporativos, quando apropriado. usuários individuais.
Implementações de exemplo incluem o uso de um
Rede Intrusion Detectarion System (NIDS) ou serviço
de provedor de serviço de nuvem equivalente (CSP).
13.4 Rede Proteger Realizar filtragem de tráfego entre Sim

segmentos de rede A filtragem de tráfego deve, em teoria, aumentar a
Execute a filtragem de tráfego entre segmentos de privacidade de usuários e sistemas individuais.
rede, quando apropriado.

Segurança
13.5 Dispositivos Proteger Gerenciar controle de acesso para ativos remotos Não
Gerencie o controle de acesso para ativos que se Embora essa Medida de Segurança possa ajudar
conectam remotamente aos recursos da empresa. a evitar uma violação, não há impactos diretos
Determine a quantidade de acesso aos recursos na privacidade. Se houver um agente remoto
da empresa com base em: software anti-malware armazenado no ativo do usuário, esse agente terá
atualizado instalado, conformidade de configuração capacidade de acessar os dados do usuário e essa
com o processo de configurações seguras da Medida de Segurança se aplicaria.
empresa e garantia de que o sistema operacional e as
aplicações estão atualizados.
13.6 Rede Detectar Coletar logs de fluxo de tráfego da rede Sim

Colete logs de fluxo de tráfego de rede e/ou tráfego Os logs de fluxo conterão informações detalhadas
de rede para revisar e alertar sobre dispositivos sobre recursos acessados por endereços IP
de rede. específicos, alguns dos quais podem ser atribuídos
estaticamente, juntamente com protocolos usados
para acessar esses recursos.
13.7 Dispositivos Proteger Implantar solução de prevenção de intrusão Sim

baseada em host Pesquisas devem ser feitas para entender as
Implante uma solução de prevenção de intrusão informações que o IPS baseado em host pode
baseada em host em ativos corporativos, quando acessar em um sistema e se existem implicações de
apropriado e/ou com suporte. Implementações privacidade associadas à implantação.
de exemplo incluem o uso de um cliente Endpoint
Detectation and Response (EDR) ou agente IPS
baseado em host.
13.8 Rede Proteger Implantar uma solução de prevenção de Sim

intrusão de rede Pesquisas devem ser feitas para entender as
Implante uma solução de prevenção de intrusão informações que o IPS baseado em host pode
de rede, quando apropriado. Implementações acessar em um sistema e se existem implicações de
de exemplo incluem o uso de um Rede Intrusion privacidade associadas à implantação.
Prevention System (NIPS) ou serviço CSP
equivalente.
13.9 Dispositivos Proteger Implantar controle de acesso no nível de porta Não

Implante o controle de acesso no nível de porta. O Não há impactos na privacidade do uso do controle
controle de acesso no nível de porta utiliza 802.1x ou de acesso no nível da porta para acesso à rede.
protocolos de controle de acesso à rede semelhantes,
como certificados, e pode incorporar autenticação de
usuário e/ou dispositivo.
13.10 Rede Proteger Executar filtragem da camada de aplicação Sim

Execute a filtragem da camada de aplicação. Embora essas ferramentas possam ajudar a
Implementações de exemplo incluem um proxy possibilitar a privacidade evitando uma violação, elas
de filtragem, firewall de camada de aplicação ou podem aprender e armazenar informações detalhadas
gateway. sobre usuários individuais. Onde esses dados são
armazenados e como são tratados também é uma
preocupação.
13.11 Rede Detectar Ajustar Limites de Alerta de Eventos de Segurança Sim

Ajuste os limites de alerta de eventos de segurança Se os alertas estiverem expondo ou armazenando
mensalmente ou com mais frequência. informações confidenciais, os limites devem ser
ajustados adequadamente. Garanta que os alertas
sejam comunicados de maneira segura.

CONTROLE
14 Conscientização de Segurança e
Treinamento de Competência
Visão Geral Estabeleça e mantenha um programa de conscientização de segurança para influenciar
o comportamento da força de trabalho para que esteja consciente em segurança e
devidamente qualificada para reduzir os riscos de segurança cibernética para a empresa.
Aplicabilidade de Privacidade
Este Controle destina-se a garantir que funcionários e contratados recebam treinamento de

segurança direcionado para suas funções e responsabilidades específicas. O treinamento
de conscientização de segurança geralmente inclui privacidade como um componente do
currículo geral, mas devido ao escopo deste Guia de Privacidade, este Controle será visto
através das lentes da realização de treinamento de conscientização de privacidade. Por isto
muitos dos Controles são diretamente aplicáveis.
Os administradores de TI com amplos privilégios e acesso podem tomar decisões ruins sobre
privacidade se não forem treinados sobre o uso apropriado de seu acesso e as consequências
de brechas ou violações de privacidade. A equipe de TI configurando adequadamente os
sistemas em toda a empresa para evitar a coleta de determinados tipos de PII e outros dados
pessoais é uma oportunidade de causar um grande e positivo impacto na privacidade.
A falha em fornecer treinamento de conscientização de privacidade pode entrar em conflito

com a regulamentação existente e outros requisitos de conformidade.
Os usuários devem entender as políticas de privacidade da empresa e como proteger

adequadamente suas próprias informações.
Contratados e provedores de serviços terceirizados devem entender os requisitos de

privacidade exigidos pela organização. Em última análise, cabe à empresa principal comunicar
os requisitos de privacidade e garantir que eles sejam atendidos.
Dados Coletados
PII e outros dados pessoais não podem ser coletados especificamente para este Controle,
com a exceção dos indivíduos que concluíram com sucesso o treinamento de privacidade.
A lista de quais funcionários completaram o treinamento de privacidade provavelmente não

é a maior prioridade para segurança. Contudo, essas informações podem ainda ser valiosas
para um invasor (por exemplo, para phishing) e devem ser devidamente protegidas.
Guia Complementar de Privacidade Controle 14: Conscientização de Segurança e Treinamento de Competência 61

Observe que o treinamento de conscientização de segurança por si só não é necessariamente

um substituto para o treinamento de conscientização de privacidade, embora os seminários
de treinamento de conscientização de segurança sejam um ótimo momento para fornecer
treinamento de privacidade. Todos os funcionários devem ser treinados especificamente para
impactos de privacidade tanto funcionários e contratados no local de trabalho. Diferentes
funções exigirão tipos específicos de treinamento, pois determinadas funções terão acesso
a PII, enquanto outras funções terão acesso a outros tipos de informações confidenciais.
Desenvolvedores, engenheiros de sistema e arquitetos de software podem precisar de
treinamento dedicado em aplicação da privacidade.
A forma como esses dados são usados e protegidos pode ser único, pois pode haver políticas
específicas de conformidade regulatória que precisam ser seguidas. Isso é especialmente
verdadeiro para as funções de trabalho que trabalham regularmente com PII e outras
informações confidenciais. O treinamento deve ocorrer em todos os níveis da equipe técnica
sobre privacidade, divulgando as políticas de privacidade para os usuários e promovendo o
bom comportamento na proteção das informações de privacidade.
O treinamento de privacidade deve abranger vários tópicos. Um dos tópicos mais importantes
é fornecer uma compreensão de como identificar dados pessoais ou dados que possam ser
considerados dados pessoais, especialmente se combinados com outros dados. A seguir,
também são tópicos relevantes que podem ser incluídos:
• Compreender quais dados podem ser rotulados como confidenciais sob quaisquer
estruturas regulatórias aplicáveis e requisitos de conformidade
• Abordagem de dados pessoais em dispositivos móveis, incluindo BYOD
• Como prevenir, denunciar e mitigar uma violação de dados pessoais
• Precauções para lidar com diferentes tipos de dados pessoais
• Os riscos de dados desidentificados serem identificados novamente
• Como usar dados agregados desidentificados em vez de dados individuais para atingir a
mesma finalidade
• As políticas atuais da empresa em torno da proteção de informações privadas
Este treinamento de conscientização de privacidade deve receber atualizações regulares

e os funcionários devem refazer o treinamento em intervalos regulares. A empresa deve
acompanhar a frequência e a conclusão do treinamento.
O Department of Homeland Security americano fornece um recurso para treinamento de

privacidade. Isso inclui os principais estatutos federais, diretrizes e políticas relacionadas
à privacidade nos Estados Unidos. Além disso, são fornecidas ideias para promover a
conscientização sobre privacidade e medir o sucesso das atividades de treinamento. The US
Nuclear Regulatory Commission’s (NRC) treinamento em privacidade pode ser um exemplo
útil para empresas que estão começando a realizar treinamento em privacidade, assim como
o State of California Department of Aging.
O Princípio da Coleta Limitada — N/A
O Princípio da Qualidade de Dados — N/A
O Princípio da Especificação da Finalidade — N/A.
O Princípio da Limitação de Uso — N/A
O Princípio das Medidas de Segurança — N/A

O Princípio da Transparência — N/A
O Princípio da Participação do Indivíduo — N/A
O Princípio da Prestação de Contas — N/A
Os princípios da GDPR não se aplicam especificamente ao treinamento e conscientização

de segurança cibernética, mas os funcionários devem estar cientes de quaisquer
responsabilidades que tenham sob a GDPR. Isso pode ser específico para determinados
funcionários que trabalham em produtos usados por cidadãos da UE.
Legalidade, justiça e transparência — N/A
Limitação da finalidade — N/A
Minimização de Dados — N/A
Precisão dos Dados — N/A
Limitação de Armazenamento — N/A
Integridade e Confidencialidade — N/A
Tabela de Aplicabilidade de Privacidade do Controle 14

Segurança
Medida de
14.1 — Proteger Estabelecer e manter um programa de Sim

conscientização de segurança Estabelecer e manter um programa de treinamento
Estabeleça e mantenha um programa de em privacidade é uma parte crítica da proteção e PII e
conscientização de segurança. O objetivo de um outras informações confidenciais de uma empresa.
programa de conscientização de segurança é educar
a força de trabalho da empresa sobre como interagir
com ativos e dados corporativos de maneira segura.
Realize o treinamento na contratação e, Não mínimo,
anualmente. Revise e atualize o conteúdo anualmente
empresa que possam afetar esta proteção.
14.2 — Proteger Treinar membros da força de trabalho para Sim

reconhecer ataques de engenharia social Os funcionários devem entender quando alguém
Treine os membros da força de trabalho para está tentando obter PII e outros dados pessoais de
reconhecer ataques de engenharia social, como indivíduos ou da empresa.
phishing, pretexto e uso não autorizados.
14.3 — Proteger Treinar membros da força de trabalho nas melhores Sim

práticas de autenticação Certos métodos de autenticação tem a privacidade
Treine os membros da força de trabalho nas melhores mais preservada do que outros.
práticas de autenticação. Os tópicos de exemplo
incluem MFA, composição de senha e gestão de
credenciais
14.4 — Proteger Treinar a força de trabalho nas Melhores Práticas Sim

de Tratamento de Dados Os funcionários com responsabilidades relativas a PII
Treine os membros da força de trabalho sobre como e outros dados pessoais devem receber treinamento
identificar, armazenar, transferir, arquivar e destruir específico sobre como lidar com esses dados.
dados sensíveis de maneira adequada. Isso também A empresa também pode optar por treinar a força de
inclui o treinamento de membros da força de trabalho trabalho em ferramentas e práticas de privacidade,
em práticas recomendadas de mesa e tela limpas, como usar recursos de privacidade de navegadores,
como bloquear a tela quando eles se afastam de seus cobertura de câmeras e muito mais.
ativos corporativos, apagar quadros brancos físicos
e virtuais no final das reuniões e armazenar dados e
ativos com segurança.

Segurança
14.5 — Proteger Treinar membros da força de trabalho sobre as Sim

causas da exposição não intencional de dados. Os funcionários com responsabilidades relativas
Treine os membros da força de trabalho para estarem ao PII e outros dados pessoais devem receber
cientes das causas da exposição não intencional treinamento específico sobre como reconhecer a
de dados. Os tópicos de exemplo incluem entrega exposição de dados não intencionais .
incorreta de dados sensíveis, perda de um dispositivo
de usuário final portátil ou publicação de dados para
públicos indesejados.
14.6 — Proteger Treinar Membros da força de trabalho no Sim

Reconhecimento e Comunicação de Incidentes de Os funcionários precisam receber treinamento
Segurança específico sobre o reconhecimento de incidentes de
Treine os membros da força de trabalho para serem segurança e privacidade relacionados a PII.
capazes de reconhecer um incidente em potencial e
relatar tal incidente.
14.7 — Proteger Treinar a força de trabalho sobre como identificar Não

e comunicar se os seus ativos corporativos estão Embora seja um importante controle de segurança,
faltando atualizações de segurança não há nenhuma ação específica a tomar aqui para
Treine a força de trabalho para entender como informações privadas.
verificar e relatar patches de software desatualizados
ou quaisquer falhas em ferramentas e processos
automatizados. Parte desse treinamento deve incluir
a notificação do pessoal de TI sobre quaisquer falhas
em processos e ferramentas automatizadas
14.8 — Proteger Treinar a força de trabalho sobre os perigos de se Sim

conectar e transmitir dados corporativos em redes Os funcionários devem entender os perigos de enviar
inseguras dados pessoais sem os controles de segurança
Treine os membros da força de trabalho sobre os adequados que protegem esses dados e saber como
perigos de se conectar e transmitir dados em redes evitar que cometam esse erro.
inseguras para atividades corporativas. Se a empresa
tiver funcionários remotos, o treinamento deve incluir
orientação para garantir que todos os usuários
configurem com segurança sua infraestrutura de rede
doméstica.
14.9 — Proteger Conduzir treinamento de competências e Sim

conscientização de segurança para funções Os funcionários com responsabilidades relativas a PII
específicas e outros dados pessoais devem receber treinamento
Conduza treinamento de conscientização de específico sobre como lidar com seus dados pessoais.
segurança e de competências específicas para
funções. Implementações de exemplo incluem
cursos de administração de sistema seguro para
profissionais de TI, treinamento de conscientização e
prevenção de vulnerabilidades para desenvolvedores
de aplicações da web do OWASP® Top 10 aplicações
e treinamento avançado de conscientização de
engenharia social para funções de perfil alto.

CONTROLE
15 Gestão de Provedores
de Serviço
Visão Geral Desenvolva um processo para avaliar os provedores de serviços que mantêm dados
sensíveis, ou são responsáveis por plataformas ou processos de TI críticos de uma
empresa, para garantir que esses provedores estejam protegendo essas plataformas e
dados de forma adequada.
É bastante comum uma empresa aproveitar provedores de serviços em nuvem (CSPs) para
e-mail ou armazenamento. Este Controle abrange ações que devem ser tomadas para garantir
que terceiros provedores de serviços estejam protegendo adequadamente os dados de seus
clientes e seus próprios sistemas. As medidas recomendadas para este Controle incluem
entender quais são os provedores de serviços em uso, que tipos de dados eles armazenam
e monitorar seu desempenho. Todas essas atividades são aplicáveis à privacidade, pois é
comum que provedores de serviços terceiros armazenem e processem PII e outros dados
pessoais, como é o caso das informações de RH. Cada Medida de Segurança neste Controle
pode ser aplicada à privacidade eficazmente. Quando possível, considere escolher provedores
que tenham certificações de privacidade ou alguma outra auditoria independente de suas
próprias práticas de privacidade.
Os provedores de serviços podem utilizar, vender ou compartilhar PII e outros dados pessoais
obtidos através de seus clientes.
Os dados pessoais podem ser fornecidos diretamente como parte de uma função de
negócio ou criados através do uso de um produto ou serviço, como o caso de firewalls
ou outros dispositivos de rede. Em ambos os casos, o proprietário dos dados pessoais
tem a responsabilidade de evitar que essas informações sejam divulgadas. Exemplos de
informações confidenciais que podem ser tratadas por organizações de terceiros incluem:
• Registros de RH e outras PII
• Arquivos de log de estações de trabalho, servidores e dispositivos de rede
• Logs de DNS
• Dados de filtragem de URL
• Hardware, software, dados e outros tipos de inventários
Coleta de Dados
Quais dados que podem ser coletados por um prestador de serviços é uma questão
extremamente importante a ser resolvida antes de um serviço ser usado. Os dados que o
provedor de serviços é capaz de coletar devem ser claramente declarados em Acordos de
Nível de Serviço (SLAs). Tipos específicos de dados devem ser discutidos, assim como se o
provedor de serviços pode usar seus dados em seus produtos ou vender os dados para outras
organizações.
Guia Complementar de Privacidade Controle 15: Gestão de Provedores de Serviço 65

Os controles de segurança relacionados à segurança de PII e de outros dados pessoais

devem ser explicitamente escritos e acordados antes do uso.
Os provedores de serviços terceiros são violados de tempos em tempos, e os dados de seus

clientes podem ser incluídos nesta violação. É importante manter um controle sobre a coleta
de dados e controles de segurança que os prestadores de serviços têm em vigor. Informá-los
das expectativas de privacidade no início de qualquer discussão sobre parcerias comerciais
pode ser apropriado, pois eles podem ser incapazes de cumprir certas regulamentações
de privacidade. A localização geográfica que um provedor de serviços de fora opera
provavelmente dita as regras de privacidade que eles devem cumprir. Pode ser insensato
escolher um provedor de serviços de uma jurisdição sem leis de privacidade ou proteção de
dados, a menos que possam demonstrar que aderem a altos padrões de proteção de dados
por meio de certificação externa ou outro mecanismo confiável.
O Princípio da Limitação da Coleta — Os provedores de serviços não devem coletar PII e

outros dados pessoais, a menos que seja necessário.
O Princípio da Qualidade de Dados — PII e outros dados pessoais coletados pelos

prestadores de serviços ou compartilhados pela empresa com prestadores de serviços
(conforme necessário) só devem ser usados durante a prestação do produto ou serviço para
os quais foram contratados.
O Princípio da Especificação da Finalidade — Os funcionários devem ser informados

quais informações serão coletadas pelos prestadores de serviços e como as informações
serão usadas.

coletados pelos prestadores de serviços serão transferidos para outros sistemas controlados
por prestadores de serviços terceirizados.

dados compartilhados.

dados pessoais.

ter a capacidade de solicitar para ver quais dados são armazenados sobre eles.


uma decisão informada sobre o tipo de dados pessoais que serão compartilhados a um
prestador de serviços terceirizado. Uma base legal é necessária para coletar dados pessoais,
e este provedor de serviços pode precisar cumprir as regulamentações da GDPR se eles
estiverem agindo em seu nome e processando dados de indivíduos específicos

Limitação da finalidade — Os funcionários devem ser informados quais informações serão
coletadas pelos prestadores de serviços e como as informações serão usadas. Os provedores
de serviços terceirizados não devem ter a capacidade de acessar mais informações
do que exigem.
Minimização de dados — Os provedores de serviços de terceiros não devem ter a capacidade

de acessar mais informações do que exigem. Processos escritos e contratos devem ser
realizados para evitar coletas de dados pessoais indesejáveis por prestadores de serviços.
Precisão dos dados — Quaisquer dados pessoais compartilhados com os provedores de

serviços devem ser mantidos com processos escritos documentados sobre como os dados do
usuário em backups são mantidos e como os dados incorretos podem ser corrigidos ou, mais
provavelmente, removidos. Os prestadores de serviços devem implementar esses mesmos
procedimentos.


esse princípio, como o Controle 3 e o Controle 15. Especificamente, é necessário obter
evidências de que todo provedor de serviços esteja utilizando uma estrutura de segurança, se
necesssário.

Segurança
Medida de
15.1 — Identificar Estabelecer e manter um inventário de provedores Sim

de serviços Um inventário de quais provedores de serviços
Estabeleça e mantenha um inventário de armazenam quais tipos de PII e dados pessoais
provedores de serviço. O inventário deve listar devem ser desenvolvidos e mantidos.
todos os provedores de serviços conhecidos, incluir
classificação(ões) e designar um contato corporativo
para cada provedor de serviços. Revise e atualize
o inventário anualmente ou quando ocorrerem
15.2 — Identificar Estabelecer e manter uma política de gestão de Sim

provedores de serviço As expectativas de privacidade devem ser
Estabeleça e mantenha uma política de gestão incorporadas a essa política de gestão de provedores
de provedores de serviços. Certifique-se de de serviços.
que a política trate da classificação, inventário,
avaliação, monitoramento e descomissionamento
de prestadores de serviços. Revise e atualize a
política anualmente ou quando ocorrerem mudanças
significativas na empresa que possam impactar esta
15.3 — Identificar Classificar provedores de serviços Sim

Classifique os provedores de serviço. A consideração Os provedores podem ser classificados com
de classificação pode incluir uma ou mais base no acesso a PII, dados pessoais e quaisquer
características, como sensibilidade de dados, volume regulamentos que seriam aplicáveis especificamente
de dados, requisitos de disponibilidade, regulamentos devido a dados pessoais.
aplicáveis, risco inerente e risco mitigado. Atualize
e analise as classificações anualmente ou quando

Segurança
15.4 — Proteger Garantir que os contratos do provedor de serviços Sim

incluam requisitos de segurança. Para esta Medida de Segurança, recomenda-se que
Certifique-se de que os contratos do provedor de os requisitos de privacidade também sejam incluídos
serviços incluem requisitos de segurança. Requisitos nos contratos dos prestadores de serviços.
de exemplo podem incluir requisitos mínimos do
programa de segurança, notificação e resposta de
incidente de segurança e/ou de violação de dados,
requisitos de criptografia de dados e compromissos
de descarte de dados. Esses requisitos de segurança
devem ser consistentes com a política de gestão do
provedor de serviços da empresa. Revise os contratos
do provedor de serviços anualmente para garantir
que os contratos não estejam perdendo os requisitos
de segurança.
15.5 — Identificar Avaliar provedores de serviços Sim

Avalie os provedores de serviços consistentes com As empresas devem avaliar seus provedores de
a política de gestão de provedores de serviços da serviços e suas mitigações defensivas usadas para
empresa. O escopo da avaliação pode variar com proteger PII e outros dados pessoais
base na(s) classificação(ões) e pode incluir a revisão
dos relatórios de avaliação padronizados, como
Service Organization Control 2 (SOC 2) e Payment
Card Industry (PCI) Attestation of Compliance (AoC),
questionários personalizados ou outros processos
rigorosos apropriados. Reavalie os prestadores de
serviços anualmente, no mínimo, ou com contratos
novos e renovados.
15.6 Dados Detectar Monitorar provedores de serviços. Sim

Monitore os provedores de serviços de acordo com Deve ser realizada avaliação periódica do
a política de gestão de provedores de serviços da armazenamento, coleta e manuseio de PII e outros
empresa. O monitoramento pode incluir reavaliação dados pessoais pelos provedores de serviços.
periódica da conformidade do provedor de serviços,
monitoramento dos releases notes do provedor de
serviços e monitoramento da dark web.
15.7 Dados Proteger Descomissionar com segurança os provedores de Sim

serviços Uma vez que um provedor de serviços não esteja
Descomissione os prestadores de serviços com mais sendo usado ativamente, PII e outros dados
segurança. Considerações de exemplo incluem pessoais devem ser excluídos com segurança dos
desativação de contas de usuário e serviço, seus sistemas.
encerramento de fluxos de dados e descarte seguro
de dados corporativos em sistemas de provedores de
serviços.

CONTROLE
16 Segurança de
Aplicativos
Visão Geral Gerencie o ciclo de vida da segurança de software desenvolvido, hospedado ou adquirido
internamente para prevenir, detectar e corrigir os pontos fracos de segurança antes que
possam afetar a empresa.
Este Controle se concentra principalmente nos esforços que arquitetos e desenvolvedores

de software podem tomar para evitar vulnerabilidades exploráveis em seu código. Essas
vulnerabilidades exploráveis poderiam potencialmente conduzir à exposição não autorizada
de PII e outros dados pessoais. Dito isto, a maioria das Medidas de Segurança contidas neste
Controle não estão diretamente relacionadas à proteção de PII. Portanto, serão listados como
não aplicáveis.
Todos os desenvolvedores devem ser treinados sobre requisitos de privacidade relativos

ao manuseio de software PII e outros dados pessoais e como incluir privacidade no design
do software.
Bibliotecas de software de terceiros, componentes e APIs (Application Programming

Interfaces) podem coletar informações que processam. Estas também podem coletar
impressões digitais de usuários, que podem ser usadas para rastreamento.
Aplicações podem ter logs ou mensagens de erro que gravam dados para ajudar a identificar
e solucionar problemas. Há uma chance de que alguns desses dados possam ter requisitos de
privacidade; é importante avaliar todos os logs, backups e armazenamento de cache onde os
dados de privacidade podem ser armazenados permanente ou temporariamente.
Falha em fornecer ou exigir controles de segurança apropriados para desenvolvedores de

software de terceiros com acesso a PII e outros dados pessoais.
Coleta de Dados
Bibliotecas de software de terceiros e Application Programming Interfaces (APIs) podem

coletar informações através de seu uso, como é o caso com dados de log. Os dados que
esses componentes de terceiros podem coletar devem ser claramente indicados em SLAs.
Implementar auditoria regular dos requisitos regulatórios e de acordos de terceiros para
verificar quem tem acesso aos dados de privacidade.
Os controles de segurança relacionados à segurança de seus dados devem ser explicitamente

anotados e acordados com provedores de componentes de terceiros antes do uso. Certifique-
se de que existem processos de governança de dados que identifiquem toda PII ou dados
relacionados à privacidade, onde são armazenados e quem deve ter acesso. Aplique controles
e monitoramento dessas contas.
Guia Complementar de Privacidade Controle 16: Segurança de Aplicativos 69

Os processos de desenvolvimento de software utilizados pela empresa devem identificar

quaisquer tarefas adicionais que precisem ser realizadas ao desenvolver softwares que
manuseiem as PII, e os engenheiros de software devem ser treinados para lidar com PII
e outros dados pessoais. Ao projetar software, deve-se realizar uma análise adicional
nas aplicações, módulos e lógica que lidam com dados pessoais. Também devem ser
estabelecidos processos para o recebimento de informações sobre vulnerabilidades de
fontes externas relacionadas a sistemas que contenham dados de privacidade. Essas
vulnerabilidades podem ter um impacto maior se forem exploradas ou se tornadas públicas, e,
portanto, podem precisar ser colocadas na parte superior da fila de remediação.
Componentes de terceiros são elementos necessários na engenharia e design de software

modernos. Embora esses componentes sejam muitas vezes necessários, os componentes
de terceiros que manuseiam PII devem receber atenção extra, inventariados e validados em
sua conformidade. Certifique-se de monitorar regularmente as vulnerabilidades divulgadas
publicamente relatadas para essas empresas e o software que usam dentro de sua pilha
de tecnologia. Muitos componentes de terceiros não devem ser conectados à internet.
Aplicações e outros componentes que não requerem acesso à rede devem ser colocados em
uma rede privada que não tenha acesso externo.
As atividades de modelagem de ameaças são exercícios úteis para entender como agentes
de ameaças externas e internas podem tentar roubar dados pessoais. Essas atividades de
modelagem devem levar em conta explicitamente dados pessoais, com avaliações focadas em
armazenamento de dados pessoais e outras aplicações que acessam PII.
Muitas empresas têm políticas de privacidade em seus sites e nas aplicações voltadas
para clientes. Essas políticas definem quais informações são coletadas, como são usadas e
compartilhadas e como são protegidas. Considere postar uma política de privacidade para
aplicações de negócios internos. Isso é verdadeiro para aplicações tradicionais baseadas em
sistema operacional, juntamente com aplicações móveis e baseadas na Web.
O Princípio da Limitação da Coleta — Bibliotecas de software de terceiros, componentes,

APIs e desenvolvedores de software externos não devem coletar PII e outros dados pessoais,
a menos que seja explicitamente necessário.
O Princípio da Qualidade de Dados — PII e outros dados pessoais coletados por bibliotecas

de software de terceiros, componentes, APIs e desenvolvedores de software externos só
devem ser usados para o processo de negócios para o que foram projetados

quais informações serão coletadas por bibliotecas de software de terceiros, componentes,
APIs e desenvolvedores de software externos e como as informações serão usadas.

coletados por bibliotecas de software de terceiros, componentes, APIs e desenvolvedores
externos de software serão transferidos para outros sistemas controlados por provedores de
serviços de terceiros.

dados que provavelmente incluam PII e outros dados pessoais.

dados pessoais.

ter a capacidade de solicitar razoavelmente para ver quais dados são armazenados sobre eles.


uma decisão informada sobre o tipo de dados pessoais que serão coletados por bibliotecas de
software de terceiros, componentes, APIs e desenvolvedores de software externos. Uma base
legal é necessária para a coleta de dados pessoais.
Limitação da finalidade — Bibliotecas de software de terceiros, componentes, APIs e

desenvolvedores de software externos não devem ser configuradas intencionalmente com
a capacidade de coletar PII e outros dados pessoais. Os usuários devem ser informados por
escrito quando seus dados devem ser compartilhados.
Minimização de dados — Os dados pessoais não devem ser coletados a menos que
seja necessário. Processos escritos devem estar em vigor para evitar coletas pessoais
indesejáveis.
incorretos podem ser corrigidos ou, mais provavelmente, removidos.


esse princípio, como Controle 3: Proteção de Dados para proteger essas informações.
Os dados pessoais devem ser protegidos contra acesso, modificação e divulgação não
autorizados e podem ser potencializados por um invasor para obter acesso não autorizado
aos sistemas de uma empresa.

Segurança
Medida de
16.1 Aplicações Proteger Estabelecer e manter um processo seguro de Sim

desenvolvimento de aplicações Os engenheiros de software devem ser treinados
Estabeleça e mantenha um processo seguro de para lidar com PII e outros dados pessoais e como
desenvolvimento de aplicações. No processo, trate de incluir considerações de privacidade no design de seu
itens como: padrões de design de aplicação seguro, software.
práticas de codificação seguras, treinamento de
desenvolvedor, gestão de vulnerabilidade, segurança
de código de terceiros e procedimentos de teste
de segurança de aplicação. Revise e atualize a
16.2 Aplicações Proteger Estabelecer e manter um processo para aceitar e Sim

endereçar vulnerabilidades de software Os sistemas de TI que lidam com PII e outros dados
Estabelecer e manter um processo para aceitar e pessoais podem precisar ter suas vulnerabilidades
endereçar relatórios de vulnerabilidades de softwares, priorizadas em relação a outros. Pode ser prudente
incluindo um meio para que as entidades externas criar uma seção específica desse processo para lidar
relatem. O processo deve incluir itens como: uma com vulnerabilidades de privacidade.
política de tratamento de vulnerabilidade que
identifica o processo de relatar, a parte responsável
por lidar com os relatórios de vulnerabilidade e um
processo de entrada, atribuição, correção e teste de
correção. Como parte do processo, use um sistema
de rastreamento de vulnerabilidade que inclua
classificações de gravidade e métricas para medir
o tempo de identificação, análise e correção de
vulnerabilidades. Revise e atualize a documentação
anualmente ou quando ocorrerem mudanças
medida de segurança. Os terceiros desenvolvedores
de aplicações precisam considerar esta política para
o exterior que ajuda a definir as expectativas para as
partes interessadas externas.
16.3 Aplicações Proteger Executar análise de causa raiz em vulnerabilidades Não

de segurança Embora seja uma atividade importante, não há
Execute a análise de causa raiz em vulnerabilidades impacto direto na privacidade.
de segurança. Ao revisar as vulnerabilidades,
a análise da causa raiz é a tarefa de avaliar os
problemas subjacentes que criam vulnerabilidades no
código e permite que as equipes de desenvolvimento
vão além de apenas corrigir vulnerabilidades
individuais conforme elas surgem.
16.4 Aplicações Proteger Estabelecer e gerenciar um inventário de Sim

componentes de software de terceiros Qualquer componente de terceiros que manuseia
Estabeleça e gerencie um inventário atualizado dados pessoais deve ser encaminhado para uma
de componentes de terceiros usados no análise adicional, inventariado e validado em sua
desenvolvimento, geralmente chamados de “lista de conformidade.
materiais”, bem como componentes programados
para uso futuro. Este inventário deve incluir quaisquer
riscos que cada componente de terceiros possa
representar. Avalie a lista pelo menos uma vez
por mês para identificar quaisquer mudanças ou
atualizações nesses componentes e valide se o
componente ainda é compatível.
16.5 Aplicações Proteger Usar componentes de software de terceiros Não

atualizados e confiáveis Não há aspectos específicos de privacidade em
Use componentes de software de terceiros manter os componentes de terceiros atualizados.
atualizados e confiáveis. Quando possível, escolha
bibliotecas e estruturas estabelecidas e comprovadas
que forneçam segurança adequada. Adquira esses
componentes de fontes confiáveis ou avalie o
software quanto a vulnerabilidades antes de usá-los.

Segurança
16.6 Aplicações Proteger Estabelecer e manter um sistema de classificação Sim

de gravidade e processo para vulnerabilidades de Os sistemas de TI que lidam com PII e outros dados
aplicações pessoais podem precisar ter suas vulnerabilidades
Estabeleça e mantenha um sistema de classificação priorizadas em relação a outros.
de gravidade e processo para vulnerabilidades de
aplicações que facilitem a priorização da ordem em
que as vulnerabilidades descobertas são corrigidas.
Esse processo inclui a definição de um nível mínimo
de aceitabilidade de segurança para a liberação
de código ou aplicações. As classificações de
gravidade trazem uma forma sistemática de triagem
de vulnerabilidades que melhora a gestão de riscos
e ajuda a garantir que os bugs mais graves sejam
corrigidos primeiro. Revise e atualize o sistema e
processo anualmente.
16.7 Aplicações Proteger Usar modelos de configurações de segurança Não

padrão para infraestrutura de aplicações Isso deve ser realizado para toda a infraestrutura de
Use modelos de configuração de segurança padrão aplicativos, independentemente dos tipos de dados
recomendados pelo setor para componentes de armazenados internamente.
infraestrutura de aplicações. Isso inclui servidores
subjacentes, bancos de dados e servidores web e
se aplica a contêineres de nuvem, componentes
de Platform as a Service (PaaS) e componentes de
SaaS. Não permita que o software desenvolvido
internamente enfraqueça as configurações de
segurança.
16.8 Aplicações Proteger Separar sistemas de produção e não produção Não

Mantenha ambientes separados para sistemas de Embora seja uma Medida de Segurança importante,
produção e não produção. não há impactos específicos de privacidade.
16.9 Aplicações Proteger Treinar desenvolvedores em conceitos de Não

segurança de aplicações e codificação segura Isso deve acontecer para todos os desenvolvedores.
Certifique-se de que todo o pessoal de Sem impacto na privacidade. Esta é uma
desenvolvimento de software receba treinamento oportunidade para treinar desenvolvedores sobre os
para escrever código seguro para seu ambiente de conceitos centrais da aplicação da privacidade.
desenvolvimento e responsabilidades específicas.
O treinamento pode incluir princípios gerais de
segurança e práticas padrão de segurança de
aplicações. Conduza o treinamento pelo menos
uma vez por ano e projete de forma a promover a
segurança dentro da equipe de desenvolvimento
e construir uma cultura de segurança entre os
desenvolvedores.
16.10 Aplicações Proteger Aplicar princípios de design seguro em Não

arquiteturas de aplicações Isso deve acontecer para todos os desenvolvedores.
Aplique princípios de design seguro em arquiteturas Sem impacto na privacidade. Esta é uma
de aplicações. Os princípios de design seguro oportunidade para treinar desenvolvedores sobre os
incluem o conceito de privilégio mínimo e aplicação conceitos centrais da aplicação da privacidade.
de mediação para validar cada operação que o
usuário faz, promovendo o conceito de “nunca
confiar nas entradas do usuário”. Os exemplos
incluem garantir que a verificação explícita de
erros seja realizada e documentada para todas
as entradas, incluindo tamanho, tipo de dados e
intervalos ou formatos aceitáveis. O design seguro
também significa minimizar a superfície de ataque
da infraestrutura da aplicação, como desligar portas
e serviços desprotegidos, remover programas e
arquivos desnecessários e renomear ou remover
contas padrão.

Segurança
16.11 Aplicações Proteger Aproveitar os módulos ou serviços controlados Não

para componentes de segurança de aplicações Os módulos e serviços controlados devem ser
Aproveite os módulos ou serviços controlados aproveitados independentemente do tipo de dados.
para os componentes de segurança da aplicação, Não há impacto na privacidade.
como gestão de identidade, criptografia e auditoria
e log. O uso de recursos da plataforma em funções
críticas de segurança reduzirá a carga de trabalho
dos desenvolvedores e minimizará a probabilidade
de erros de design ou implementação. Os sistemas
operacionais modernos fornecem mecanismos
eficazes para identificação, autenticação e
autorização e disponibilizam esses mecanismos para
as aplicações. Use apenas algoritmos de criptografia
padronizados, atualmente aceitos e amplamente
revisados. Os sistemas operacionais também
fornecem mecanismos para criar e manter logs de
auditoria seguros.’’’
16.12 Aplicações Proteger Implementar verificações de segurança em nível Não

de código Não há impactos de privacidade nas verificações de
Aplique ferramentas de análise estáticas e dinâmicas segurança em nível de código.
dentro do ciclo de vida da aplicação para verificar
se as práticas de codificação seguras estão sendo
seguidas.
16.13 Aplicações Proteger Realizar teste de invasão de aplicação Sim

Realize teste de invasão das aplicações. Para Muitas vezes há um componente de recursos para
aplicações críticas, o teste de invasão autenticado testes de invasão, e certos sistemas recebem mais
é mais adequado para localizar vulnerabilidades de testes do que outros. Os sistemas que contenham PII
lógica de negócios do que a varredura de código e o e outros dados pessoais devem receber uma análise
teste de segurança automatizado. O teste de invasão adicional dos testadores.
depende da habilidade do testador para manipular
manualmente uma aplicação como um usuário
autenticado e não autenticado.
16.14 Aplicações Proteger Conduzir aplicações de modelagem de ameaças Sim

Conduza a modelagem de ameaças. A modelagem As atividades de modelagem de ameaças devem
de ameaças é o processo de identificar e abordar incluir uma revisão adicional e focada para
as falhas de design de segurança da aplicação armazenamentos de dados privados e outras
em um design, antes que o código seja criado. É aplicações que acessam esses dados.
conduzido por pessoas especialmente treinadas que
avaliam o design da aplicação e medem os riscos
de segurança para cada ponto de entrada e nível de
acesso. O objetivo é mapear a aplicação, a arquitetura
e a infraestrutura de uma forma estruturada para
entender seus pontos fracos.

CONTROLE
17 Gestão de Resposta
a Incidente
Visão Geral Estabeleça um programa para desenvolver e manter uma capacidade de resposta a
incidentes (por exemplo, políticas, planos, procedimentos, funções definidas, treinamento
e comunicações) para preparar, detectar e responder rapidamente a um ataque.
Este Controle auxilia as empresas no planejamento e resposta a um incidente cibernético.

Existem dois aspectos da privacidade neste Controle. A primeira é como responder a um
incidente de privacidade, tais como o acesso não autorizado ou a divulgação de informações
pessoais ou confidenciais. A segunda é como manter a privacidade de todos os indivíduos ao
responder a um incidente cibernético.
As equipes de resposta a incidentes são frequentemente compostas por partes interessadas

internas, especialistas técnicos internos e externos e pessoal jurídico. Ao longo de suas
funções de resposta, os membros das equipes de resposta a incidentes podem ter acesso a
dados pessoais. Por exemplo, ao revisar os logs para entender a maneira e a data do acesso
não autorizado e a revisão de bancos de dados vazados para confirmar a origem dos dados,
os membros da equipe de resposta provavelmente visualizam dados pessoais. Eles podem
intencionalmente abusar ou lidar indevidamente com seu acesso a essas informações
Incidentes cibernéticos geralmente têm um componente de privacidade devido aos recursos

corporativos acessados ou quais dados foram vazados. Isso muitas vezes leva em conta a lei
de privacidade local e federal. Essas leis podem ter mecanismos e prazos específicos para
notificar o governo e as entidades afetadas de um incidente de segurança cibernética ou
violação de dados. As empresas que não notificarem adequadamente podem enfrentar multas
ou outras ações legais.
As violações de dados que afetam PII precisam ser reportadas às entidades apropriadas
dentro de prazos de emissão de relatórios previamente especificados.
Coleta de Dados
Os membros da equipe de resposta a incidentes coletarão informações de vários sistemas

em toda a rede corporativa à medida que executam suas funções para entender a maneira e o
escopo de uma intrusão. O time jurídico também pode obter acesso a esses dados. Pode ser
prudente editar certas partes das informações e obter um acordo de confidencialidade antes
de fornecer essas informações a outras entidades
Todos os dados coletados durante as atividades de resposta a incidentes precisam ser

protegidos, pois muitas vezes são dados pessoais, mas também podem ser necessários para
os próximos procedimentos legais. As informações coletadas podem ser armazenadas fora da
empresa principal, dentro da plataforma de gestão de uma empresa de resposta a incidentes
terceira. É importante proteger dados forenses e o acesso a esses dados, semelhante a outros
dados de privacidade.
Guia Complementar de Privacidade Controle 17: Gestão de Resposta a Incidente 75

Os requisitos de emissão de relatórios de violação de dados também devem ser incorporados

em planos de resposta a incidentes. As empresas precisam estabelecer um processo para
responder a incidentes cibernéticos com um componente de privacidade. Isso pode assumir
a forma de processos distintos ao lidar com uma violação de dados. Usar uma equipe jurídica
externa para supervisionar incidentes é muitas vezes considerado uma prática recomendada,
já que os relatórios de incidentes podem ser marcados como “ Privilégio cliente-advogado”.
Além disso, indivíduos específicos devem ser designados para analisar PII e outras
informações confidenciais ao longo do ciclo de vida da investigação de violação. Descrições
de resposta a incidentes e procedimentos forenses devem ser divulgadas, para que os
funcionários estejam cientes. Os procedimentos de resposta a incidentes que lidam com
violações de privacidade devem ser regularmente exercitados.
O Princípio da Limitação da Coleta — O time de resposta a incidentes não deve coletar PII e
outros dados pessoais, a menos que seja explicitamente necessário.
O Princípio da Qualidade de Dados — PII e outros dados pessoais coletados pelo time de

resposta a incidentes só devem ser usados para atividades de resposta a incidentes.

informações serão coletadas pelo time de resposta a incidentes e como as informações
serão usadas.

coletados pelo time de resposta a incidentes serão transferidos para outros sistemas
controlados por provedores de serviços terceirizados.


pelo time de resposta a incidentes devem entender quais sistemas externos podem conter
seus dados pessoais.



uma decisão informada sobre o tipo de dados pessoais que serão coletados pelo time de
resposta a incidentes. Uma base legal é necessária para a coleta de dados pessoais.
Limitação da finalidade — PII e outros dados pessoais coletados pelo time de resposta a

incidentes só devem ser usados para atividades de resposta a incidentes. Os usuários devem
ser informados por escrito quando seus dados devem ser compartilhados.
Minimização de dados — Os dados pessoais não devem ser coletados a menos que seja
necessário durante uma resposta. Os processos escritos devem ser realizados para evitar
a coleta de dados pessoal indesejável, uma vez que o processo de resposta a incidentes é
muitas vezes acelerado.

incorretos podem ser corrigidos ou, mais provavelmente, removidos. Isso é muito aplicável à
resposta a incidentes à medida que as situações mudam rapidamente e o time de resposta
a incidentes pode coletar mais informações do que estritamente necessário. Revisar as
informações coletadas e excluir informações desnecessárias é uma prática comum.


esse princípio, como Controle 3: Proteção de Dados para proteger essas informações. Os
dados pessoais coletados durante o processo de resposta a incidentes devem ser protegidos
contra acesso, modificação e divulgação não autorizados e podem ser potencializados por um
invasor para obter acesso não autorizado aos sistemas de uma empresa.

Segurança
Medida de
17.1 — Responder Designar Pessoal para Gerenciar Tratamento de Sim

Incidentes O pessoal designado para lidar com incidentes
Designe uma pessoa chave e pelo menos um deve ser treinado para lidar com PII e outros
backup para gerenciar o processo de tratamento dados pessoais. Eles devem entender os requisitos
de incidentes da empresa. A equipe de gestão é regulatórios aplicáveis enfrentados pela empresa.
responsável pela coordenação e documentação dos
esforços de resposta e recuperação a incidentes e
pode consistir em funcionários internos da empresa,
fornecedores terceirizados ou uma abordagem
híbrida. Se estiver usando um fornecedor terceirizado,
designe pelo menos uma pessoa interna da empresa
para supervisionar qualquer trabalho terceirizado.
Revise anualmente ou quando ocorrerem mudanças
medida de segurança
17.2 — Responder Estabelecer e manter informações de contato para Sim

relatar incidentes de segurança As informações de contato dos respondentes não
Estabeleça e mantenha as informações de contato devem ser excessivamente granulares e conter
das partes que precisam ser informadas sobre os apenas PII necessário.
incidentes de segurança. Os contatos podem incluir
funcionários internos, fornecedores terceirizados,
policiais, provedores de seguros cibernéticos,
agências governamentais relevantes, parceiros do
Information Sharing and Analysis Center (ISAC) ou
outras partes interessadas. Verifique os contatos
anualmente para garantir que as informações estejam
atualizadas.
17.3 — Responder Estabelecer e manter um processo corporativo Sim

para relatar incidentes Esse processo deve seguir de perto as leis locais e
Estabeleça e mantenha um processo corporativo para nacionais. Os prazos de notificação e quem notificar
a força de trabalho relatar incidentes de segurança. podem ser diferentes com base na região. A não
O processo inclui cronograma de relatórios, pessoal notificação adequada das partes afetadas pode
para relatar, mecanismo para relatar e as informações resultar em penalidades contra a empresa.
mínimas a serem relatadas. Certifique-se de que o
processo esteja publicamente disponível para toda
a força de trabalho. Revise anualmente ou quando

17.4 — Responder Estabelecer e manter um processo de resposta a Sim
incidentes Um processo para responder a um incidente de
Estabeleça e mantenha um processo de resposta a privacidade deve ser estabelecido. Isso pode assumir
incidentes que aborde funções e responsabilidades, a forma de instruções especiais ao lidar com um
requisitos de conformidade e um plano de incidente cibernético mais amplo.
comunicação. Revise anualmente ou quando
17.5 — Responder Atribuir funções e responsabilidades chave Sim

Atribua funções e responsabilidades chave para Alguém deve ser designado para rastrear o
resposta a incidentes, incluindo equipe jurídica, processamento de PII e outras informações privadas.
TI, segurança da informação, instalações, relações Deve haver também alguém designado para garantir
públicas, recursos humanos, Responderentes a o cumprimento dos requisitos locais de regulação e
incidentes e analistas, conforme aplicável. Revise conformidade em relação à privacidade.
anualmente ou quando ocorrerem mudanças
17.6 — Responder Definir mecanismos de comunicação durante a Sim

resposta a incidente Todo método de comunicação deve atender a
Determine quais mecanismos primários e quaisquer requisitos regulatórios ou de conformidade
secundários serão usados para se comunicar e relatar para violações de privacidade.
durante um incidente de segurança. Os mecanismos
podem incluir ligações, e-mails ou cartas. Lembre-se
de que certos mecanismos, como e-mails, podem
ser afetados durante um incidente de segurança.
Revise anualmente ou quando ocorrerem mudanças
medida de segurança
17.7 — Recuperar Conduzir exercícios de resposta a incidentes Sim

rotineiros Os procedimentos de resposta a incidentes que
Planeje e conduza exercícios de resposta a incidentes lidam com violações de privacidade devem ser
rotineiros e cenários para o pessoal-chave envolvido regularmente exercitados.
no processo de resposta a incidentes para se
preparar para responder a incidentes do mundo
real. Os exercícios precisam testar os canais de
comunicação, tomada de decisão e fluxos de trabalho.
Realize testes anualmente, no mínimo.
17.8 — Recuperar Conduzir análises pós-incidente Sim

Realize análises pós-incidente. As análises pós- As revisões pós-incidente devem ser conduzidas para
incidente ajudam a prevenir a recorrência do todos os incidentes cibernéticos que envolvam PII e
incidente por meio da identificação de lições outros dados pessoais.
aprendidas e ações de acompanhamento.
17.9 — Recuperar Estabelecer e manter limites de incidentes de Sim

segurança Os limites para eventos de segurança devem ser
Estabeleça e mantenha limites de incidentes de estabelecidos para incidentes cibernéticos que
segurança, incluindo, no mínimo, a diferenciação envolvam PII e outros dados pessoais.
entre um incidente e um evento. Os exemplos
podem incluir: atividade anormal, vulnerabilidade de
segurança, fraqueza de segurança, violação de dados,
incidente de privacidade, etc. Revise anualmente
ou quando ocorrerem mudanças corporativas
significativas que possam impactar esta medida de
segurança.

CONTROLE
18 Teste de
Invasão
Visão Geral Teste a eficácia e a resiliência dos ativos corporativos por meio da identificação e
exploração de fraquezas nos controles (pessoas, processos e tecnologia) e da simulação
dos objetivos e ações de um atacante.
Este Controle se concentra em como simular efetivamente as ações de um invasor externo e/

ou interno dentro de um ambiente corporativo. Isso pode incluir a exploração de uma fraqueza
ou vulnerabilidade em um sistema ou rede. Muitas das Medidas de Segurança neste Controle
contêm impactos de privacidade que podem ser pelo menos mitigados através de políticas
e acordos claramente escritos antes de qualquer teste ser realizado. Todas as Medidas de
Segurança neste controle se aplicam.
Como parte do processo de teste, informações pessoais podem ser obtidas pelos testadores.
Isso é especialmente verdadeiro para testes de invasão com um componente social e aqueles
que incluam dispositivos móveis BYOD.
Manuseio ou descarte inadequados de PII e outros dados pessoais obtidos ao longo de um

engajamento de teste.
Coleta de Dados
Todos os dados coletados pelos testadores ao longo de seu engajamento devem ser bem
protegidos. Ambas as organizações devem concordar com técnicas de eliminação de dados.
Os dados obtidos pela equipe de teste de invasão não devem ser compartilhados, e a equipe
deve notificar rapidamente a empresa.
O desenvolvimento de um programa de teste de invasão deve levar em conta a privacidade

de funcionários e usuários durante a construção. Uma vez que os compromissos modernos de
teste de invasão muitas vezes contêm um componente social, regras aceitáveis para a coleta
de informações da web devem ser estabelecidas. Isso pode incluir a coleta de informações
altamente pessoais sobre alvos específicos para campanhas de phishing, para incluir
informações disponíveis publicamente de redes sociais, registros públicos e sites de notícias.
Um programa de teste de invasão também deve abordar qual nível de acesso e conhecimento
os testadores da invasão externa recebem. Isso é especialmente verdadeiro para sistemas que
contêm PII e outros dados pessoais. Os membros de qualquer equipe de testes de invasão
externa ou contratada devem ser tratados como prestadores de serviços de terceiros, e o
Controle 15 deve ser aplicado. Finalmente, o escopo deve definir como lidar com dispositivos
móveis e dados apropriadamente no programa de teste de invasão. Isso deve incluir como
lidar com quaisquer dispositivos BYOD.
Guia Complementar de Privacidade Controle 18: Teste de Invasão 79

O Princípio da Limitação da Coleta — Os testes de invasão não devem coletar PII e

outros dados pessoais, a menos que seja explicitamente exigido em metodologias de teste
pré-aprovadas.
O Princípio da Qualidade de Dados — PII e outros dados pessoais coletados pelos testadores

só devem ser usados para o engajamento dos testes.

informações podem ser coletadas pelos testadores e como as informações serão usadas.

coletados pelos testadores serão transferidos para outros sistemas controlados por
prestadores de serviços terceirizados. Isso inclui se alguma ferramenta de teste de invasão ou
estruturas também coletará PII e outros dados pessoais.


pelos testadores devem entender quais sistemas externos podem conter seus dados pessoais.



uma decisão informada sobre o tipo de dados pessoais que serão coletados pelos testadores.
Uma base legal é necessária para a coleta de dados pessoais.
Limitação da finalidade — PII e outros dados pessoais coletados pelos testadores só

devem ser utilizados para atividades relacionadas. Os usuários devem ser informados por
escrito quando seus dados devem ser compartilhados. Geralmente, os testadores devem
ser orientados a não acessar informações pessoais, e isso deve ser documentado dentro de
quaisquer regras de engajamento antecipadamente.
Minimização de dados — Os dados pessoais não devem ser coletados a menos que seja
necessário durante o curso de um teste de invasão. Processos escritos devem estar em vigor
para evitar coletas de dados pessoais indesejáveis, mas às vezes os dados pessoais serão
expostos durante um teste de invasão.
incorretos podem ser corrigidos ou, mais provavelmente, removidos. Isso é muito aplicável aos
testes de invasão, uma vez que os dados pessoais às vezes serão expostos durante um teste
de invasão. Revisar as informações coletadas e excluir informações desnecessárias é uma
prática comum.

Guia Complementar de Privacidade Controle 18: Teste de Invasão 80

Siglas e Abreviaturas
AAA: Authentication, Authorization and Accounting IDS: Intrusion Detectarion System
API: Application Programming Interface IP: Internet Protocol
BYOD: Bring Your Own Device IPS: Intrusion Prevention System
CIPP: Certified Information Privacy Professional TI: Tecnologia da Informação
CIS: Center for Internet Security MAC: Media Access Control (address)
COPE: Corporate Owned, Personally Enabled NAS: National Academy of Sciences
CSP: Cloud Service Providers NIST: National Institute of Standards and Technology
DLP: Data Loss Protegerion NRC: Nuclear Regulatory Commission
DHCP: Dynamic Host Configuration Protocol PHI: Protegered Health Information
DMARC: Domain-based Message Authentication, Reporting PIA: Privacy Impact Assessment

& Conformance
PII: Personally Identifiable Information (Informações de
DNS: Domain Name System Identificação Pessoal)
EMM: Enterprise Mobility Management SIEM: Security Information and Event Management
ETSI: European Telecommunications Standards Institute SLA: Service Level Agreement
UE: União Européia SME: Small/Medium Enterprise
FIPPs: Princípios FIPP (Fair Information Practice Principles) SSID: Service Set Identifier
GDPR: General Protection Data Regulation SSO: Single Sign-On
HR: Human Resource URL: Uniform Resource Locator
HTTPS: Hypertext Transfer Protocol Secure VPN: Virtual Private Rede
IAPP: International Association Privacy Professionals Wi-Fi: Wireless Fidelity
Guia Complementar de Privacidade Siglas e Abreviaturas 81

Links e Recursos
CIS Controls: https://www.cisecurity.org/controls/ How To Do A Privacy Impact Assessment (PIA): Privacy-

Impact-Assessment-Part-2-FA.pdf
CIS Controls Cloud Companion Guide: https://
www.cisecurity.org/white-papers/cis- controls-cloud- National Institute of Standards & Technology Privacy
companion-guide/ Framework: https://www.nist.gov/ privacy-framework
CIS Controls Mobile Companion Guide: https:// European Telecommunications Standards Institute (ETSI)
www.cisecurity.org/white-papers/cis- controls-mobile- Critical Security Controls for Effective Cyber Defence
companion-guide-2/ [sic]; Part 5: Privacy enhancement: https://www.etsi.org/
deliver/ etsi_tr/103300_103399/10330505/01.01.01_60/
Princípios FIPP (Fair Information Practice Principles) tr_10330505v010101p.pdf
(FIPPs): https://iapp.org/resources/article/fair- information-
practices Department of Homeland Security Privacy Training &
Awareness: https://www.dhs.gov/ privacy-training
General Protection Data Regulation (GDPR): https://
ec.europa.eu/info/law/law-topic/data- Protegerion_en US Nuclear Regulatory Commission Privacy Program:
https://www.nrc.gov/ privacy/index.html
National Academies of Sciences: Privacy Research and
Best Practices: Summary of a Workshop for the Intelligence California Department of Aging: Privacy & Information
Community: https://www.dni.gov/files/documents/CLPO/ Security Awareness Training: https://www.aging.ca.gov/
NAP%20Privacy%20Research%20and%20Best%20 Information_Security/Privacy_and_Information_Security_
Practices.pdf Awareness_Training
Guia Complementar de Privacidade Links e Recursos 82

Notas Finais
Neste documento, fornecemos orientações sobre como aplicar práticas recomendadas de
privacidade enquanto implementamos a Versão 8 dos Controles CIS. A versão mais recente
dos Controles CIS e outros documentos complementares podem ser encontradas em: www.
cisecurity.org.
Como uma organização sem fins lucrativos impulsionada por seus voluntários, estamos
sempre em processo de busca de novos tópicos e assistência para criação de orientação
de segurança cibernética. Se você está interessado em voluntariado e/ou tem dúvidas,
comentários ou identificou maneiras de melhorar este guia, escreva-nos em: controlsinfo@
cisecurity.org.
Todas as referências a ferramentas ou outros produtos deste documento são fornecidas

apenas para fins informativos, e não representam o endosso pelo CIS de qualquer empresa,
produto ou tecnologia em particular.
Informação de Contato
Center for Internet Security

31 Tech Valley Drive
East Greenbush, N.Y. 12061 518.266.3460
controlsinfo@cisecurity.org
Bitlocker®, Microsoft® and PowerShell® são marcas comerciais da Microsoft Corporation. Apple® é marca comercial da Apple Inc., registrada nos E.U.A.
e outros países. Linux® é marca comercial registrada por Linus Torvalds nos E.U.A. e outros países. Android™ é uma marca comercial do Google LLC.
OWASP® é uma marca de serviço registrado de OWASP Foundation, Inc. nos Estados Unidos e outros países.
Guia Complementar de Privacidade Notas Finais 83

O Center for Internet Security, Inc. (CIS®) torna o mundo
conectado um lugar mais seguro para pessoas, empresas
e governos através de nossas principais competências
de colaboração e inovação. Somos uma organização sem
fins lucrativos orientada pela comunidade, responsável
pelos CIS Critical Security Controls® and CIS Benchmarks™,
práticas™ recomendadas mundialmente reconhecidas para
proteger sistemas e dados de TI.
Lideramos uma comunidade global de profissionais de

TI para evoluir continuamente esses padrões e fornecer
produtos e serviços para proteger de forma proativa contra
ameaças emergentes. Nossas CIS Hardened Images®
fornecem ambientes de computação seguros, sob demanda
e escaláveis na nuvem.
O CIS abriga o Multi-State Information Sharing and Analysis

Center® (MS-ISAC®), o recurso confiável para prevenção,
proteção, resposta e recuperação de ameaças cibernéticas
para as entidades governamentais estaduais, locais,
tribais e territoriais americanas e o Elections Infrastructure
Information Sharing and Analysis Center® (EI-ISAC®), que
apoia as necessidades de mudanças rápidas de segurança
cibernética dos escritórios eleitorais dos EUA. Para saber
mais, visite CISecurity.org ou nos siga no Twitter: @
CISecurity.
cisecurity.org
info@cisecurity.org
518-266-3460
Center for Internet Security
@CISecurity
TheCISecurity
cisecurity
Guia Complementar de Privacidade 84

CIS Controls v8 Privacy Guide Portuguese ONLINE 2022 0513

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CIS Controls v8 Privacy Guide Portuguese ONLINE 2022 0513

Enviado por

Direitos autorais:

Formatos disponíveis

Guia Complementar

Guia Complementar de Privacidade 1

Guia Complementar de Privacidade Agradecimentos i

O CIS agradece a todos os voluntários especialistas da comunidade de cibersegurança

Guia Complementar de Privacidade Reconhecimento ii

CONTROLE 01 Inventário e Controle de Ativos Corporativos 9

CONTROLE 02 Inventário e Controle de Ativos do Software 13

CONTROLE 03 Proteção de Dados 17

CONTROLE 04 Configuração Segura de Ativos Corporativos e Software 22

CONTROLE 05 Gestão de Contas 27

Guia Complementar de Privacidade Conteúdo iii

CONTROLE 07 Gestão Contínua de Vulnerabilidades 35

CONTROLE 08 Gestão de Logs de Auditoria 38

CONTROLE 09 Proteções para Navegador Web e E-mail 42

CONTROLE 10 Defesas Contra Malware 46

CONTROLE 11 Recuperação de Dados 49

CONTROLE 12 Gestão de Infraestrutura de Redes 52

Guia Complementar de Privacidade Conteúdo iv

CONTROLE 14 Conscientização de Segurança e Treinamento de Competência 60

CONTROLE 15 Gestão de Provedores de Serviço 64

CONTROLE 16 Segurança de Aplicativos 68

CONTROLE 17 Gestão de Resposta a Incidente 74

CONTROLE 18 Teste de Invasão 78

Guia Complementar de Privacidade Conteúdo v

Os Controles de Segurança Crítica do CIS (Controles CIS) são um conjunto priorizado de

Muitos profissionais do setor de cibersegurança lutam para entender as diferenças entre

Guia Complementar de Privacidade Introdução 1

Uma abordagem consistente é necessária para analisar os Controles CIS no contexto da

Os FIPPs são diretamente citados da seguinte forma:

1 O Princípio da Limitação da Coleta: Deve haver limites para a coleta de dados

2 O Princípio da Qualidade de Dados: Os dados pessoais devem ser relevantes para as

3 O Princípio da Especificação da Finalidade: As finalidades para os quais os dados

4 O Princípio da Limitação de Uso: Os dados pessoais não devem ser divulgados,

6 O Princípio da Transparência: Deve haver uma política geral de Transparência sobre

7 O Princípio da Participação do Indivíduo: Um indivíduo deve ter o direito:

a obter de um controlador de dados, ou de outra forma, confirmação se o controlador de

8 O Princípio da Prestação de Contas: Um controlador de dados deve ser responsabilizado

1 Princípios FIPP (Fair Information Practice Principles) (iapp.org)

Guia Complementar de Privacidade Metodologia 2

9 Legalidade, justiça e transparência: processados legalmente, de forma justa e

10 Limitação da finalidade: coletada para finalidades especificadas, explícitas e legítimas e

11 Minimização de dados: adequados, pertinentes e limitados ao necessário em relação às

12 Precisão dos dados: precisos e, se necessário, mantidos atualizados; todas as medidas

13 Limitação de armazenamento: mantidos em uma forma que permita a identificação de

14 Integridade e confidencialidade: processados de forma que garanta a segurança

Guia Complementar de Privacidade Metodologia 3

Para cada um dos 18 Controles CIS, as seguintes informações são fornecidas

Aplicação de Privacidade — Explora o grau em que um Controle do CIS diz respeito à

Implicações de Privacidade — Inclui as questões de privacidade e/ou riscos associados

Discussão Adicional — Uma área de orientação geral para incluir ferramentas, produtos

Princípios FIPP (Fair Information Practice Principles) — Preocupações e outras informações

Princípios GDPR (General Data Protection Regulation) — Preocupações e outras

Guia Complementar de Privacidade Estrutura do Documento 4

Este Guia de Privacidade é um recurso destinado tanto aos profissionais de segurança de

Esperamos que os profissionais de privacidade aprendam sobre os Controles CIS e como

Guia Complementar de Privacidade Audiência 5

• Requisitos de divulgação de violação que são aplicáveis localmente, regionalmente ou

• Privacidade relacionada à alavancagem da plataforma ou serviço de outra empresa (por

Ao observar as implicações de privacidade dos Controles CIS e sugerir mitigações, este

Guia Complementar de Privacidade Escopo 6

Existem muitas maneiras de avaliar como a privacidade é protegida em uma empresa. O

O PIA - Privacy Impact Assessment (Análise de Impacto da Privacidade) é uma maneira de

Finalmente, o European Telecommunications Standards Institute (ETSI) forneceu recursos