Aula 1

ASSINATURA DIGITAL
Nesta aula você vai estudar o conceito de assinatura digital, os tipos de chaves
criptográficas e a cadeia hierárquica de confiança que viabiliza a emissão de
assinaturas digitais.
38 minutos

INTRODUÇÃO
As pessoas e as empresas passaram a utilizar a internet para trocar todo tipo de
informações, inclusive financeiras, mas o fato é que a rede mundial não oferece a
segurança necessária para que as operações virtuais sejam feitas com tranquilidade.

Nesse sentido, a assinatura digital é uma forma de autenticar informações contidas

em documentos eletrônicos, garantindo que o indivíduo que está assinando
virtualmente o documento é quem ele realmente diz ser.

Neste capítulo, você vai estudar o conceito de assinatura digital, os tipos de chaves
criptográficas e a cadeia hierárquica de confiança que viabiliza a emissão de
assinaturas digitais.

CONCEITOS E DEFINIÇÕES DE ASSINATURA DIGITAL

Há algum tempo, a internet passou a ser uma ferramenta importantíssima para a
troca de informações, cujos recursos não somente organizações, mas também
pessoas físicas utilizam grande parte do tempo para compartilhar, processar e
transmitir documentos.

Apesar de ser possível realizar a maioria dos processos por meio da internet, para
alguns, a identidade e sua validação ainda são procedimentos de extrema
importância, envolvendo processos como:

Assinatura de contratos;

Declaração de imposto de renda;

Pagamento de faturas.
Apesar da facilidade oferecida para esses e muitos outros procedimentos, a
segurança tornou-se uma preocupação, já que a privacidade, o sigilo e a segurança
ficaram ameaçados principalmente por pessoas mal-intencionadas.

Em vista disso, para Baldam (2016), a assinatura digital configura uma forma de
conferir segurança, autenticidade e integridade para os documentos eletrônicos, e
com toda a fragilidade que foi herdada pela comunicação entre redes de
computadores, usuários e dispositivos, ela surgiu como uma maneira de provar a
veracidade das informações contidas nos documentos digitais e em substituição às
assinaturas convencionais que validam documentos em papel, sendo migradas para o
mundo digital.

Assim, podemos considerar que uma assinatura digital não é a mesma coisa que a
eletrônica e que existem diferenças a serem consideradas em relação aos dois
termos.

A assinatura eletrônica envolve a identificação do remetente de uma mensagem

publicada digitalmente em qualquer forma, sem supervisão ou meios para torná-la
confiável. Apenas ser disponibilizada não significa que a segurança está ou não
aplicada de forma adequada. A assinatura digital é utilizada principalmente pela
empresa, pois além de economizar espaço de armazenamento e custos de envio,
também economiza muito a quantidade de papel utilizada. Como exemplo, pode-se
citar a identificação do remetente de uma mensagem de correio eletrônico, em que
um e-mail é encaminhado, mas não está livre de qualquer ameaça.

Já a assinatura digital é uma técnica ou ferramenta totalmente segura, aprovada por

órgãos importantes como governo, judiciário e empresas, que possibilita que um
usuário faça a reprodução de sua assinatura em documentos digitais sem a
necessidade de utilizar papel na operação (NAKAMURA; GEUS, 2007).

A assinatura digital é uma ferramenta fortemente segura, pois usa criptografia e

vincula um certificado digital obtido anteriormente para provar sua autenticidade em
todos os documentos assinados.Em outras palavras, a assinatura convencional do
titular é substituída por uma assinatura digital, que vem com um certificado e uma
chave privada exclusiva do titular, o que lhe confere veracidade. Esse certificado é
assinado por uma das inúmeras autoridades certificadoras e credenciadas em que
todos confiam. Para obter uma assinatura digital, é preciso fazer a solicitação para
uma das Autoridades Certificadoras. Documentos sigilosos devem ter sua segurança
reforçada, por isso, mais adiante vamos abordar os principais recursos para garantir
esse processo.

Enquanto a autenticidade trata da verdade das informações contidas em determinado

documento, a integridade garante que a informação não seja alterada indevidamente,
e a confiabilidade assegura que somente as partes autorizadas tenham acesso aos
dados. Ainda podemos citar a importância da irretratabilidade (não repúdio) que
impede que as partes possam negar determinada ação tomada, revogando a verdade
sobre as informações transmitidas e compartilhadas.

VIDEOAULA: CONCEITOS E DEFINIÇÕES DE ASSINATURA DIGITAL

Sabendo da importância de utilizar ferramentas e recursos de segurança como a
assinatura digital. Nessa videoaula, iremos reconhecer os principais elementos que
envolvem a estrutura de uma assinatura digital, caracterizando cada um deles e sua
função na emissão de um certificado digital, possibilitando a veracidade da assinatura.

Videoaula: Conceitos e definições de assinatura digital

Para visualizar o objeto, acesse seu material digital.

TIPOS DE CHAVES CRIPTOGRÁFICAS

A criptografia de dados é considerada um aspecto importante para a segurança da
informação e representa um componente essencial para amenizar o risco de
vazamento, de alteração e de extravio de informações. Existem dois tipos de chaves:
simétricas e assimétricas.

A criptografia utiliza algoritmos como seu principal recurso, sendo uma sequência
finita de regras ou de operações que permitem solucionar problemas.

Criptografia simétrica: utiliza-se uma chave única, pois a mesma chave é utilizada
tanto para criptografar quanto para descriptografar o mesmo pacote de dados,
estando de posse nas duas pontas para garantir o envio, a proteção e a leitura da
mensagem.
Para entender como o processo funciona, é importante conhecer alguns conceitos
básicos que envolvem esse procedimento. Devemos considerar que quando uma
mensagem está em seu formato original, trata-se de um texto claro, e uma vez que ela
passa pelo método de codificação, torna-se texto codificado (STALLINGS, 2015). O
processo é ilustrado na Figura 1:

Figura 1 | Esquema de chave simétrica

Fonte: PKI – Public key infrastructure.

Nesse caso, o emissor e o o receptor têm acesso ao mesmo código. O emissor utiliza a
chave para cifrar a mensagem, envia para o destinatário, que utiliza o mesmo código
para ler a mensagem, com respectivamente os algoritmos para criptografar e
descriptografar.

Vamos agora analisar algumas vantagens e desvantagens do uso de chave simétrica.

Quadro 1 | Prós e contras da chave simétrica

Vantagens Desvantagens

Melhor desempenho por utilizar a Maior risco de divulgação da chave,

mesma chave para cifrar e decifrar a considerando o uso da mesma chave na
mensagem. emissão e na leitura da mensagem, e maior
possibilidade de acesso.
 Vantagens Desvantagens

As chaves utilizadas geralmente são Quando existem muitos usuários na rede

menores, facilitando o para compartilhar chaves, o gerenciamento
gerenciamento e o uso de cifradores acaba sendo dificultado pelo volume de
mais simples. informações.

As chaves oferecem bastante Considerando que a criptografia simétrica

flexibilidade, dessa forma, sua utiliza a mesma chave, não existe a
segurança pode ser aumentada com garantia de identidade sobre quem enviou
a adição de bits, dificultando a e recebeu a mensagem, ou seja, não há
quebra do código. preservação de autenticidade.

Seus problemas podem ser
resolvidos com o uso de chave
assimétrica, que utiliza duas
diferentes: uma para criptografar e
outra para descriptografar.
O custo para manter canais seguros para a
distribuição de chaves é mais alto, e
geralmente somente órgãos públicos e
instituições bancárias pagam por esse
recurso.

Fonte: elaborado pela autora.

Chave assimétrica: a utilização de um par de chaves diferentes entre si, mas que
mantêm um relacionamento matemático, o que permite que a mensagem
criptografada seja escrita e lida cada vez por uma chave do mesmo par, sendo uma
pública e outra privada (MARTINI, 2008). Podemos ver o processo ilustrado na Figura
2.

Figura 2 | Esquema de chave assimétrica

 Fonte: Univesidade Java.

Nesse tipo de criptografia, apenas a parte que participa da transação tem a chave
privada, que é mantida em sigilo e, na verdade, é impossível derivá-la. A chave pública
pode ser usada por todas as outras partes, para que qualquer pessoa consiga
criptografar os dados. Por outro lado, as mensagens criptografadas com a chave
pública só podem ser descriptografadas com a privada, o que fornece segurança e
confiabilidade para as operações de comunicação.

VIDEOAULA: TIPOS DE CHAVES CRIPTOGRÁFICAS

O algoritmo é o principal recurso utilizado na criptografia, por isso, nessa videoaula,
vamos conhecer os principais algoritmos utilizados em criptografia simétrica e
assimétrica, comparando a funcionalidade de cada um deles e compreendendo os
conceitos básicos que direcionam o uso de ambas as técnicas.

Videoaula: Tipos de chaves criptográficas

Para visualizar o objeto, acesse seu material digital.

CADEIA HIERÁRQUICA DA SEGURANÇA

A cadeia de confiança retrata a forma como a verificação e a validação das
informações será aplicada na segurança da informação, por isso Wilson (2020), afirma
que pode ser segmentada da seguinte considerando os seguintes elementos (Figura
3):

Figura 3 | Elementos da cadeia de confiança

 Fonte: adaptada de Wilson (2020).

Quando falamos da cadeia de confiança, o principal órgão a ser citado é a ICP-Brasil,

cujo propósito está descrito da seguinte forma:

Art. 1º: Fica instituída a Infraestrutura de Chaves Públicas Brasileira –

ICP-Brasil. Seu papel é garantir a autenticidade, a integridade e a
validade jurídica de documentos em forma eletrônica, das aplicações
de suporte e das aplicações habilitadas que utilizem certificados
digitais, bem como a realização de transações eletrônicas seguras.
— (BRASIL, 2001)

Em outras palavras, a ICP-Brasil é a autoridade brasileira oficial responsável por

gerenciar técnicas e gerar documentos válidos digitalmente, o que é possível em
conjunto com outras entidades responsáveis pela validação dos documentos. A ICP-
Brasil aplica aos documentos uma série de normas e padrões que permitem a
compatibilidade entre os vários tipos de certificados digitais existentes, obtendo um
nível aceitável de segurança na troca de informações (MARTINI, 2008).

De acordo com Brasil (2018), entre as entidades envolvidas estão:

Autoridade Certificadora (CA): entidade pública ou privada, hierarquicamente

afiliada à ICP-Brasil. Sua função é verificar se o detentor do certificado possui a
 chave privada correspondente à chave pública que faz parte do certificado. A CA
cria e assina digitalmente o certificado do usuário. O certificado emitido pela CA
representa a declaração de identidade do titular, e o titular possui um par
exclusivo de chaves públicas e privadas.

Autoridade de Registro (AR): esta entidade é a intermediária entre o solicitante do

certificado digital e a CA. Além de estar associada ao CA e de identificar
pessoalmente o solicitante, é responsável por receber, verificar e encaminhar as
solicitações de emissão ou de revogação de certificados digitais. A entidade
também deve manter um registro de todas as suas operações e pode realmente
estar localizada na CA ou ser uma entidade registrada operando remotamente.

Autoridade de Certificação de Tempo (ACT): responsável por prover um conjunto

de atributos fornecidos por uma parte confiável, fornecendo evidências de sua
existência em um determinado período de tempo e associadas a uma assinatura
digital. Em suma, quando um documento é gerado, seu conteúdo é criptografado
e atributos são atribuídos a ele (ano, mês, dia, hora, minuto, segundo) para
comprovar se a assinatura digital é autêntica.

Prestador de Serviço de Suporte (PSS): implementa a política de certificados do CA

diretamente vinculado a ele ou por meio das atividades descritas pela AR.

Provedor de Serviços Biométricos (PSBio): entidade com capacidade técnica para

realizar identificação biométrica, obter registro único em bancos de dados e
sistemas de dados biométricos, verificar certificados digitais e coletar recursos
exclusivos.

A confiança é um fator importante no tratamento de informações e deve ser levada a

sério, por isso, diversos protocolos, aplicações e recursos de rede se baseiam no
modelo de segurança e na cadeia de confiança para assegurar a privacidade dos
dados.

VIDEOAULA: CADEIA HIERÁRQUICA DA SEGURANÇA

Olá, estudante!

Nessa videoaula, vamos falar sobre a cadeia de confiança aplicada aos protocolos SSL
e TLS, que utilizam certificados digitais para autenticar usuários em sites da web.
Dessa forma, poderemos compreender a importância de recursos como certificados e
assinaturas digitais em uma arquitetura tecnológica que trata de informações
sigilosas.

Videoaula: Cadeia hierárquica da segurança

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO
Nesse estudo de caso, vamos analisar a implementação de criptografia para assegurar
a privacidade de informações privadas, garantindo que uma organização mantenha
seus dados protegidos de diversos riscos externos à rede.

A criptografia deve ser principalmente aplicada para que somente as partes

interessadas de posse das respectivas chaves consigam decifrar as mensagens
encaminhadas, principalmente entre redes diferentes.

Uma empresa de TI que confecciona cartões de crédito troca informações

privilegiadas com seus fornecedores diariamente. Para isso, as informações sobre seu
produto e suas transações, que também são gerenciadas pela sua equipe, devem
estar seguros.

Você, como analista de segurança, sabe que nem sempre as informações estiveram
seguras na rede, por isso deve implementar a criptografia para codificar os dados que
precisam estar incompreensíveis e ininteligíveis para pessoas que não estão
participando de uma transação específica.

Considerando o cenário proposto e os métodos de criptografia, em suas palavras,

analise qual deles seria o mais adequado para proteger os dados e os sistemas,
descrevendo as vantagens.

RESOLUÇÃO DO ESTUDO DE CASO

Sabemos que a criptografia garante a transmissão de dados de forma segura por
meio de túnel criptografado, e que, além disso, diversos métodos e práticas podem
ser adaptados ao meio de transmissão, considerando também a criticidade dos dados
a serem tratados.
Por isso, o métodomais adequado nesse caso, seria a utilização da criptografia
assimétrica, cuja estrutura é formada por duas chaves, sendo uma delas para
criptografar e outra para descriptografar os dados quando chegarem ao remetente
autorizado a acessar as informações.

Apesar de serem diferentes, existe uma coerência matemática entre as duas chaves.
Além disso, a técnica utiliza um algoritmo mais complexo, tornando o processo mais
lento, porém, mais seguro.

Considerando a forma como o procedimento é conduzido, as partes envolvidas na

transação ficam em posse da chave privada, sendo que as outras partes conhecem a
chave pública divulgada publicamente. A chave privada é mantida em segredo, sendo
praticamente impossível deduzi-la. Tudo isso agrega maior confiabilidade ao processo.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

 Saiba mais
O artigo apresenta conceitos sobre a estrutura da ICP-Brasil, mostrando a
importância de cada um dos seus componentes, principais documentos e sua
funcionalidade na emissão de assinatura digital.

SOBRAL. Infraestrutura de chaves públicas (documento online). 2014.

Disponível em: https://bit.ly/3KtL6NN. Acesso em: 25 out. 2021.

A partir da página 110, conceitos importantes sobre criptografia são abordados,

assim como exemplos práticos e características detalhadas sobre algoritmos
utilizados tanto no modelo de criptografia simétrica como assimétrica.

Basta; Basta et al. Segurança de computadores e teste de invasão. 2015. 2. ed.

São Paulo: Cengage. Disponível em: https://bit.ly/3fIu3cN.

Aula 2
PROTOCOLO DE AUTENTICAÇÃO DE ACESSO
REMOTO
Nesta aula, vamos estudar como a autenticação pode ser realizada na rede,
reconhecendo os protocolos de autenticação, sua utilização e como é possível o
controle de usuários e identificação segura.
40 minutos

INTRODUÇÃO
A maioria das pessoas que utiliza tecnologias e equipamentos de rede já deve ter
presenciado uma situação em que é necessário acessar a rede corporativa por meio
de um computador que não esteja dentro desse perímetro, ainda mais no novo
modelo de trabalho: o home office. Mas como isso é possível? Isso é possível por meio
de uma conexão VPN (Virtual Private Network, ou Rede Privada Virtual). Basicamente,
o usuário utiliza um dispositivo compatível e capaz de estabelecer o acesso a uma
rede ou a um servidor específico por um canal de comunicação seguro. Isso é possível
graças ao uso dos protocolos de autenticação que garantem comunicação remota
segura.

Por isso, vamos estudar como a autenticação pode ser realizada na rede,
reconhecendo os protocolos de autenticação, sua utilização e como é possível o
controle de usuários e identificação segura.

Bons estudos!

CONCEITOS SOBRE PROTOCOLOS DE AUTENTICAÇÃO DE ACESSO

REMOTO
Em razão do crescimento da utilização de recursos técnicos por todas as unidades de
negócios, a tecnologia estimula cada vez mais a flexibilidade do trabalho em equipe,
maximiza a produtividade e desempenha um papel fundamental na prestação de
serviços de qualidade, visando à expansão dos negócios.

A internet permite ultrapassar as barreiras da comunicação de diversas formas, sendo

o principal problema a distância, porque nem sempre os utilizadores se encontram na
mesma fronteira ou na mesma rede onde os serviços estão sendo hospedados.
A conexão de duas ou mais redes vai além do objetivo de estabelecer um ambiente
capaz de interligar os usuários e os ativos da rede, e permite que as operações sejam
realizadas de forma autenticada para garantir a transmissão confiável dos dados. Essa
interconexão pode ser feita por meio de VPNs (RIOS, 2011).

Além de garantir a funcionalidade da conexão, uma VPN deve se preocupar com a

privacidade dos dados, por isso estabelece um canal de comunicação aplicando
criptografia de ponta a ponta, tornando a conexão mais confiável e menos propensa a
ataques, proporcionando privacidade, integridade e autenticidade aos dados
transmitidos na rede. Um exemplo de VPN pode ser visto na Figura 1.

Figura 1 | Representação de uma conexão VPN

Fonte: Rios (2011, p. 64).

Analisando a Figura 1, podemos dizer que é aqui que entra a autenticação. O acesso
às informações precisa ser cauteloso porque, embora a tecnologia forneça a
conveniência de acessar os dados, os ataques e as invasões ocorrem com mais
frequência.

Para evitar o acesso não autorizado às informações digitais da organização, o uso de

recursos lógicos envolvendo autenticação é imprescindível (SILVA; CARVALHO;
TORRES, 2003).

A autenticação e o controle de acesso são dois dos aspectos mais relevantes para
preservar a segurança da informação. Podemos citar um exemplo real em outro
segmento de comunicação: em um contato telefônico, é necessário confirmar quem
está do outro lado da linha, e isso ocorre por meio da autenticação, considerando as
informações sobre a linha telefônica (é claro que uma pessoa pode se passar por
outra, o que também ocorre na internet e nos protocolos de autenticação). Os
protocolos de autenticação servem para identificar um usuário em uma rede, assim
como na linha telefônica que reconhece com quem nos comunicamos. Nos sistemas
de informação, alguns tipos de autenticação estão disponíveis. Além disso, o controle
de acesso também é um fator bastante importante para garantir que o usuário é
quem diz ser.

O processo de autenticação e seus elementos podem ser classificados a partir de duas

etapas (SILVA, CARVALHO e TORRES, 2003):

Identificação: o usuário utiliza credenciais de acesso como usuário e senha para

se identificar na rede.

Verificação: as credenciais são verificadas e comparadas com o que foi

armazenado no banco de dados ou de base, autenticando ou não o usuário.

A autenticação é a capacidade de assegurar a identidade de uma entidade dentro da

rede, considerando como contexto o uso de conjuntos de regras preestabelecidos.
Nesse sentido, um protocolo de autenticação de acesso remoto é um conjunto de
regras que se destinam a estabelecer a comunicação entre um dispositivo e um
servidor, por exemplo, de maneira controlada.

VIDEOAULA: CONCEITOS SOBRE PROTOCOLOS DE

AUTENTICAÇÃO DE ACESSO REMOTO
Nessa videoaula, vamos entender como as organizações que buscam a privacidade
dos dados aplicam métodos e técnicas que auxiliam no processo de autenticação de
usuários que utilizam mecanismo e tecnologias de acesso remoto. Também
abordaremos práticas e conceitos básicos importantes no processo de autenticação.

Videoaula: Conceitos sobre protocolos de autenticação de acesso remoto

Para visualizar o objeto, acesse seu material digital.

MÉTODOS DE AUTENTICAÇÃO DE ACESSO REMOTO

Como sabemos, a segurança da informação evolui à medida que a tecnologia e a
internet vêm agregando recursos de acesso aos usuários. Assim como as redes
expandem, também crescem as formas de ataques aplicadas à integridade dos dados
e, para isso, métodos de autenticação são aplicados, principalmente com o objetivo de
minimizar o risco de perda de informações e de dar suporte aos retornos envolvidos
para garantir a continuidade dos negócios.

Na segurança da informação, a verificação de identidade é um processo de busca

para verificar a identidade digital de um usuário no sistema ou na rede e depende de
diversos fatores de autenticação, que podem ser: senha, PIN, biometria ou até mesmo
verificação de duas etapas, combinando mais de um método.

Porém, o termo autorização costuma ser confundido com autenticação. Embora

estejam relacionados, o significado dos dois é bastante diferente. A verificação é
apenas o processo que verifica a identidade de uma pessoa. Já a autorização analisa
se a pessoa está autorizada a realizar determinadas operações. Portanto, a
autenticação sempre precede a autorização.

Existem diferentes métodos de autenticação, que podem ser atribuídos aos diversos
ambientes. Os principais são:

PAP (Password Authentication Protocol): usado como um protocolo de controle

de acesso, autentica usuários por meio de credenciais definidas no servidor.
Basicamente, para concluir o processo de autenticação, o servidor solicita uma
senha do cliente, e o cliente envia a senha recuperada do servidor de autenticação
para verificação (ARANHA, 2017). Entre os tipos de autenticação fornecidos por
este protocolo, a segurança é a mais baixa, pois não fornece transmissão
criptografada.

CHAP (Challenge Handshake Authentication Protocol): com esse método, a

autenticação não é feita por meio de uma senha, mas sim por meio de uma
mensagem de desafio enviada do servidor para a máquina cliente. Quando a
resposta é retornada, o cliente criptografa a mensagem, adiciona sua senha de
usuário e encaminha a combinação para o servidor que irá verificar as
informações no banco de dados de autenticação. Pode-se dizer que o CHAP usa
um modelo de segredo compartilhado e é considerado um método de
autenticação intermediário (ARANHA, 2017).

EAP (Extensible Authentication Protocol): faz uso de diversos protocolos de

autenticação seguros, sendo bastante utilizado para garantir a segurança de redes
sem fio. Seu processo de funcionamento envolve o envio de quatro tipos de
mensagens, conforme a Figura 2 (PAIM, 2011).
 Figura 2 | Processos do método EAP de autenticação

Fonte: elaborada pela autora.

Requisição de conexão: a mensagem do cliente é encaminhada para o roteador,

também denominado ponto de acesso, já que é utilizado em redes sem fio.

Requisição de identificação: o servidor retorna um pedido para validar a

identidade do solicitante.

Resposta: ao receber a resposta, ela é encaminhada para o servidor de

autenticação que cria um desafio que deve ser respondido junto à senha de
autenticação do cliente.

Acesso: assim, caso este responda de maneira correta, terá acesso à rede sem fio;
caso contrário, receberá uma mensagem informando a falha de conexão.

A autenticação vem sendo cada vez mais aprimorada por meio de diversas
ferramentas, métodos e protocolos que podem ser adaptados aos diversos
ambientes. Para compreender melhor, mais adiante conheceremos os protocolos de
autenticação que fazem uso dos métodos apresentados.

VIDEOAULA: MÉTODOS DE AUTENTICAÇÃO DE ACESSO REMOTO

Nessa videoaula, vamos abordar os tipos de autenticação digital, como ocorre esse
processo, o que é autenticação de dois fatores e qual é a importância da autenticação
de identidade de usuários, principalmente quando falamos sobre recursos remotos.

Videoaula: Métodos de autenticação de acesso remoto

Para visualizar o objeto, acesse seu material digital.

PROTOCOLOS DE AUTENTICAÇÃO
Um protocolo de autenticação de acesso remoto é um conjunto de regras que se
destinam a estabelecer a comunicação entre um dispositivo e um servidor, por
exemplo, de maneira controlada. Vamos conhecer os principais protocolos que
permitem a autenticação em uma rede de computadores:

PPTP (Point-to-Point Tunneling Protocol)

O Protocolo de Tunelamento Ponto a Ponto é um dos mais antigos utilizados em
redes virtuais e de longa distância. Usa um canal de controle por meio do TCP
(Transmission Control Protocol), encapsulando pacotes de protocolo PPP (ponto a
ponto) para fornecer um nível de segurança efetivo. Por utilizar tal protocolo na
camada de transporte, é mais seguro, mas em contrapartida, é um pouco menos ágil
em comparação aos outros. Ele funciona da seguinte forma (RIOS, 2011):

No início da conexão, o protocolo PPTP usa o PPP, que não é um protocolo de

autenticação, e sim de transmissão, utilizado para transportar pacotes entre as
redes de forma autenticada;

Posteriormente, quando os quadros forem encapsulados pelo PPP, um cabeçalho

é adicionado ao pacote que será encaminhado na rede, identificando-o
corretamente para ser transportado. O cabeçalho é denominado GRE (Generic
Routing Encapsulation);

Uma conexão controlada é estabelecida por meio da camada de transporte

usando o protocolo TCP, que agrega confiabilidade à rede;

Por meio dessa conexão, um túnel criptografado é estabelecido.

De acordo com a Cisco (2021), o protocolo PPTP é bastante utilizado na formação de

túneis entre redes públicas, sendo um dos mais usados e compatíveis com
dispositivos móveis.

L2TP (Layer 2 Tunneling Protocol)

O Protocolo de Tunelamento de Duas Camadas foi idealizado com base em outros
dois protocolos de autenticação, combinando as características do L2F (Layer 2
Forwarding Protocol) e do PPTP. Sua função está prevista na camada de enlace. O
L2TP utiliza um protocolo de segurança adicional chamado IPSec (Protocolo de
segurança IP) para assegurar a privacidade dos dados que trafegam no túnel.
PPPoE (Point-to-Point Protocol over Ethernet)
O PPPoE (Ponto a Ponto por Ethernet) é um protocolo de expansão do PPP, devido à
sua capacidade de permitir que um ponto virtual seja utilizado para ligar uma
arquitetura de rede multiponto Ethernet, amplamente utilizado pelos provedores de
internet em linhas de assinantes usadas para transmitir sinal digital a partir de uma
linha telefônica, como:

xDSL (Digital Subscriber Line), que são mais rápidas;

Conexões ADSL (Assymetrical Digital Subscriber Line), para conexões de internet.

Dessa forma, o PPPoE tornou-se o protocolo preferencial para implementar o acesso à

internet de alta velocidade, utilizando métodos de criptografia, autenticação e
compressão de dados. Vamos analisar as etapas desse protocolo no Quadro 1.

Quadro 1 | Etapas do protocolo PPPoE

Iniciação O cliente envia uma mensagem de descoberta (PADI), também

conhecida como PPPoE Active Discovery Initiation (mensagem de
iniciação de descoberta na rede enviada pelo protocolo PPPoE), para
que o servidor inicie a sessão PPPoE.

Oferta O servidor envia uma resposta à proposta do servidor e inicia a

autenticação (PADO), também conhecida como PPPoE Active
Discovery Offer (oferta de descoberta ativa).

Pedido Após receber o pacote PADO, o cliente envia uma solicitação de

descoberta de atividade ao servidor (PADR), conhecida como PPPoE
Active Discovery Request (requisição de descoberta).

Confirmação Após receber o pacote PADR, o servidor retorna ao cliente

encaminhando um número de identificação que deve ser único e
utilizado para estabelecer a sessão PPP.

Fonte: adaptado de SpeedCheck, 2021.

A autenticação é a capacidade de assegurar a identidade de uma entidade dentro da

rede, considerando como contexto o uso de conjuntos de regras preestabelecidos.
VIDEOAULA: PROTOCOLOS DE AUTENTICAÇÃO
Agora que conhecemos as principais características dos protocolos de autenticação,
nessa videoaula vamos comparar algumas das suas características para entender as
principais diferenças entre eles e os aspectos que envolvem as vantagens e
desvantagens da aplicação de cada um em conexões remotas.

Videoaula: Protocolos de autenticação

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO
Atualmente, interligar redes de computadores é um dos requisitos mínimos no
transporte de informações, que garantem aos usuários acesso em qualquer tempo e
localização aos recursos hospedados em um perímetro seguro de rede. Sendo assim,
considere o seguinte cenário:

Uma empresa desenvolvedora de software contratou você como administrador de

redes para gerenciar os recursos computacionais, incluindo os que garantem a
comunicação entre a matriz e a filial. Na matriz estão hospedados todos os recursos
de rede, e na filial está alocado o time de desenvolvedores, que muitas vezes também
atua em modelo home office e precisa acessar a rede para ter acesso aos ambientes
de teste e homologação, onde são realizados os testes dos softwares criados por eles.

Para que seja possível criar e administrar os sites hospedados na rede, uma conexão
VPN será estabelecida. Para isso, o gerente de TI estabeleceu alguns requisitos
técnicos:

O protocolo de autenticação deve prover um alto nível de segurança aos usuários,

por isso, se outros protocolos forem utilizados em conjunto, a solicitação seria
mais facilmente atendida;

A segurança deve ser o fator mais importante, mesmo que isso possa causar
qualquer problema de desempenho resultado do método de criptografia utilizado.

Em relação aos protocolos de autenticação estudados, descreva qual deles é o ideal a

ser aplicado no cenário do estudo de caso. Para justificar, fale sobre as características
do protocolo e de que forma ele pode aplicar ao ambiente maior segurança ao
transportar os dados.
RESOLUÇÃO DO ESTUDO DE CASO
Protocolos de autenticação permitem que métodos de autenticação sejam aplicados
às tecnologias de acesso, protegendo a rede por meio de solicitações de confirmação
de identidade, tornando o canal seguro para o compartilhamento e o transporte de
informações.

Entre os principais protocolos de autenticação estão o PPTP, que utiliza na camada de

transporte e o TCP, que oferece maior segurança, diferente do protocolo UDP, que
tem foco no desempenho. Por ser a segurança um fator determinante nesse cenário,
por mais que os processos de autenticação, conexão e transmissão de dados se
tornem mais lentos, com o desempenho comprometido, esse seria o protocolo ideal a
ser aplicado.

Além disso, para reforçar a segurança o protocolo PPTP utiliza o PPP em conjunto
para garantir que sua funcionalidade e conectividade sejam realizadas com base no
transporte de informações de ponta a ponta de forma autenticada.

Isso envolve o uso de criptografia como principal característica do túnel estabelecido

entre as redes e permitirá que os desenvolvedores se comuniquem por meio do uso
de VPN a partir de qualquer rede de origem, passando pelos recursos configurados
que garantem a autenticidade e a integridade das informações mantidas na matriz.

Alguns protocolos, como o L2TP, utilizam UDP em sua camada de transporte,

tornando o processo mais rápido, porém menos seguro, assim como o PPPoE
implementado com foco em entender redes de alta velocidade, podendo também ser
insuficiente em relação aos recursos de autenticação e de proteção de dados.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

 Saiba mais
O capítulo 19 desse livro apresenta conceitos importantes sobre conexão remota
e os protocolos de autenticação aplicados ao sistema operacional Windows. É
possível compreender como a segurança pode ser aplicada a ambientes remotos
como VPN na prática.
 BATTISTI, J. Capítulo 19 - Segurança e serviços de rede: Serviço de Acesso
Remoto – Fundamentação Teórica. 2015. Disponível em: https://bit.ly/33UZzS5.
Acesso em: 6 out. 2021.

Aula 3

GESTÃO DE IDENTIDADE E ACESSO

Nesta aula vamos explorar práticas que permitem gerenciar os dados
considerando diversos requisitos de conformidade, sem perder o controle do
ambiente de rede e ativos de TI.
39 minutos

INTRODUÇÃO
Olá, estudante!

Mesmo sendo cada vez mais comum o compartilhamento de informações, qualquer

descuido pode causar grandes prejuízos para os dados. Por isso, principalmente em
ambientes críticos, o controle de acessos, o gerenciamento de identidades e a
aplicação de políticas legais que garantem a privacidade dos dados são fatores de
grande valia que evitam que as informações sejam expostas e gerem diversos riscos
ao negócio.

Por isso, nessa aula vamos explorar práticas que permitem gerenciar os dados
considerando diversos requisitos de conformidade, sem perder o controle do
ambiente de rede e ativos de TI.

Bons estudos!

LEGISLAÇÃO E PRIVACIDADE DE DADOS

Considerando a importância das informações privadas em organizações que
atualmente confiam seus dados à internet, é impossível falar dos desafios éticos da
tecnologia sem falar da LGPD (Lei Geral de Proteção de Dados).
Existe uma legislação que ampara o usuário conectado na web, a Lei nº. 12.965
responsável por definir princípios, direitos e deveres para o uso da internet no Brasil,
porém, com o crescimento da estrutura da internet, inúmeros conflitos éticos
surgiram na sociedade, principalmente em relação à forma como as novas tecnologias
são utilizadas.

A proteção da privacidade dos cidadãos foi constituída na Declaração Universal dos

Direitos das Nações Unidas, mais especificamente no artigo 19:

toda pessoa tem direito à liberdade de opinião e expressão; este

direito inclui a liberdade de, sem interferência, ter opiniões e de
procurar, receber e transmitir informações e ideias por quaisquer
meios e independentemente de fronteiras [...].
— (BRASIL, 2018)

No Brasil, a Constituição de 1988, artigo 5º, também é utilizada a favor do usuário,

determinando que “[...] invioláveis a intimidade, a vida privada, a honra e a imagem
das pessoas, assegurado o direito a indenização pelo dano material ou moral
decorrente de sua violação [...]” (BRASIL, 1988).

Com empresas investindo cada vez mais em tecnologia, grande parte delas já
adotaram práticas para LGPD a fim de estabelecer regras para o tratamento e a
proteção de dados. A ética se trata da forma como os dados são utilizados de maneira
responsável e transparente, e o tratamento de dados deve ir além da privacidade,
dando ênfase para o ciclo de vida dos dados e aspectos que abordam a segurança. O
ciclo de vida (Figura 1) dos dados envolve sete etapas (Zeferino, 2020).

Figura 1 | Ciclo de vida dos dados

 Fonte: adaptada de Zeferino (2020).

Na Figura 1 fica claro que o ciclo inicia na coleta de dados que pode ocorrer por meio
de diferentes fontes, depois os dados são processados e analisados para serem
utilizados de acordo com os princípios estabelecidos. A publicação ocorre para que os
dados estejam visíveis para um grupo específico ou publicamente, dependendo das
políticas aplicadas, e com isso armazenados durante o tempo estabelecido pelas
normas de segurança. Em alguns casos, os dados devem ser removidos dentro do
período estabelecido ou podem ser reutilizados, dada a política de privacidade
implementada.

Antes de aplicar a LGPD aos dados, é necessário que os próprios princípios da

Segurança da Informação sejam considerados:

Tratamento dos dados pessoais, dos metadados e das informações em ambientes

seguros e críticos, minimizando o vazamento de dados.

O uso ilegal de informações na internet é considerado um crime virtual que não

mostra sinais de desaceleração, por isso, a segurança dos dados não trata de uma
questão apenas legal, mas também ética.

A LGPD se aplica a qualquer pessoa física ou jurídica com posse de qualquer

forma de dados pessoais, independentemente do meio (físico ou digital).
Existem algumas exceções que envolvem o uso de dados para fins, de acordo com
Silveira (2020), como na Figura 2.

Figura 2 | Exceções para aplicação da LGPD

Fonte: adaptada de Silveira (2020).

Conclui-se que a ética no tratamento de dados é mais que uma boa prática, ela é
essencial para manter a reputação das organizações. Nesse ponto, não consideramos
somente o armazenamento de dados pessoais, mas também o mau uso de
informações derivadas de sistemas internos e fontes de terceiros.

VIDEOAULA: LEGISLAÇÃO E PRIVACIDADE DE DADOS

Nessa videoaula vamos abordar os primeiros passos a serem tomados em uma
organização para proteção de dados a partir da aplicação de leis e normas que regem
a legislação e as leis de proteção de dados. Trataremos de decisões importantes a
serem tomadas para garantir a privacidade dos dados.

Videoaula: Legislação e privacidade de dados

Para visualizar o objeto, acesse seu material digital.

PRINCIPAIS MODELOS DE CONTROLE DE ACESSO

A segurança da informação é composta pelo controle de acesso a nível físico e lógico.
Sendo assim, o objetivo é garantir o acesso a aplicações e serviços, mas também aos
ambientes que as pessoas precisam ser autorizadas a acessar para desempenhar
suas funções. Na Figura 3, observe algumas etapas importantes do controle de
acesso.

Figura 3 | Etapas do controle de acesso

O controle de acesso na área da segurança da informação estabelece os processos ou

serviços de identificação, autenticação, autorização e auditoria de usuários em
sistemas que caracterizam o controle de acesso. Tanenbaum e Wetherall (2011)
definem essas etapas da seguinte forma:

Identificação: o usuário informa suas credenciais únicas de acesso para o sistema

durante o início do processo de logon, necessário para acesso.

Autenticação: o usuário prova que tem acesso ao sistema, comprovando que

realmente é quem diz ser, o que pode se dar por meio da inserção de uma senha
ou por recursos tecnológicos como biometria ou cartão digital.

Autorização: esse processo é o resultado das etapas anteriores, em que o usuário

consegue acessar os recursos do sistema, mas somente os que estiverem
liberados e com as devidas restrições e políticas aplicadas.

Auditoria: inclui a coleta contínua de informações relacionadas ao uso dos

recursos do sistema pelo usuário. A auditoria permite que os profissionais de
segurança da informação planejem, gerenciem, controlem e responsabilizem os
usuários por abusos, bem como verifiquem a adequação dos controles de acesso
permitidos.

O processo de controle de acesso estabelece restrições aos direitos de acesso do

usuário aos recursos do sistema, com o objetivo de permitir que todos acessem
apenas o conteúdo previamente especificado.

Segundo Nascimento (2014), o processo de controle de acesso pode ser dividido nas
seguintes categorias quanto à centralização do controle:
 Centralizado: é um tipo de controle de acesso em que o elemento-chave (que
pode ser o sistema ou mesmo o usuário autorizado a fazê-lo) toma as decisões
sobre o acesso aos recursos. A vantagem desse tipo de controle é que ele garante
maior padronização das informações de acesso, pois a definição dos recursos
geralmente é feita por meio de grupos de arquivos de configuração, ou seja, para
cada arquivo de configuração é permitido determinado acesso. Outra vantagem é
que evita a sobreposição de permissões de acesso, pois cada usuário pertence a
um grupo específico. A desvantagem é que possíveis falhas na leitura da definição
de acesso elaborada pelo elemento central impedirão qualquer acesso às
informações, mesmo que temporariamente.

Descentralizado: neste tipo de controle de acesso, não há gráfico do elemento

central, pois o controle é definido pelos elementos mais próximos ao grupo de
recursos, o que favorece o gerenciamento do problema. A grande vantagem desse
tipo é que a impossibilidade de ler a definição de acesso do grupo não interfere no
restante do sistema, pois não há correlação entre os arquivos de configuração.
Uma desvantagem é que não há uma padronização tão rígida como no modelo
anterior.

O controle de acesso pode não ser a solução para que o administrador elimine
completamente os riscos de segurança e gerenciamento da rede, sistemas e
informações, mas minimiza consideravelmente incidentes e problemas que podem
comprometer a continuidade do negócio.

VIDEOAULA: PRINCIPAIS MODELOS DE CONTROLE DE ACESSO

Nessa videoaula vamos analisar a forma como o controle de acesso pode ser aplicado
pelo sistema, considerando fatores importantes como importação e exportação de
dados e níveis de sensibilidade. Definiremos também métodos específicos baseados
em regras e em perfis e a diferença entre eles.

Videoaula: Principais modelos de controle de acesso

Para visualizar o objeto, acesse seu material digital.

IMPORTÂNCIA DO GERENCIAMENTO DE IDENTIDADE
O gerenciamento de identidade é um fator crítico, pois quando não é realizado de
forma correta, torna-se uma ameaça para qualquer organização, já que inclui fatores
diretamente ligados à segurança, como autenticação, autorização e requisitos de
auditoria.

O gerenciamento de acessos pode ser considerado, nas palavras de Santos (2019), um

recurso para permitir que os usuários utilizem os serviços disponíveis incluindo dados
e qualquer outro ativo de TI que esteja disponível em uma infraestrutura de TI,
alocado em um data center próprio, terceirizado ou até mesmo em uma arquitetura
de nuvem, ou seja, abrangendo diversas modalidades que envolvem os serviços
computacionais.

Um dos benefícios do gerenciamento correto de acessos e de identidade é que ele

auxilia na proteção e na confidencialidade dos dados, garantindo que eles sejam
mantidos de forma íntegra e estejam disponíveis em tempo integral. Isso garante que
apenas os usuários autorizados consigam acessar os recursos correspondentes à sua
permissão. Além disso, o nível de acesso pode ser estabelecido como: acesso,
modificação, criação de recursos, entre outros.

Por isso, geralmente os usuários têm esses direitos atribuídos com base em sua área
de atuação, setor ou função, sendo fracionados em grupos. Essa atribuição garante
que as informações sensíveis sejam sempre reservadas e protegidas de acessos não
autorizados. Nesse caso, todos os acessos concedidos têm uma identificação única
para cada usuário e compreendem uma permissão específica para tal usuário,
determinando a quais informações e serviços ele terá acesso. O processo inclui a
verificação de identidade e diretrizes que definem o direito de acesso atribuído à
conta, incluindo a concessão de acessos e serviços autorizados.

Esses acessos podem ser registrados, rastreados e revogados sempre que necessário.
Geralmente, essas ações são tomadas quando a função ou o status de um funcionário
é alterado dentro da organização. Para compreender a importância do gerenciamento
de identidade, podemos considerar alguns pontos (Paz, 2021) da Figura 4.

Figura 4 | Fatores do gerenciamento de identidade

 Fonte: elaborada pela autora.

Veremos a importância de cada um dos itens do gerenciamento de identidade.

Identificação de acesso: credenciais vazadas representam uma ameaça para a

organização; portanto, o gerenciamento de identidade estabelece uma visibilidade
centralizada, criando uma visão única de quem tem acesso a quê. Dessa forma, os
usuários autorizados podem identificar acessos inadequados, violações de
políticas e controles fracos. Por meio do controle de acesso, as empresas podem
reduzir significativamente os custos, enquanto gerenciam riscos e estabelecem
práticas de acesso seguras e auditáveis.

Conformidade e auditoria: a governança e a governança de identidade permitem

verificar os controles e garantir que estejam em vigor para atender aos requisitos
regulamentares de privacidade e de segurança. Por meio do controle de acesso, as
empresas podem reduzir significativamente os custos enquanto gerenciam riscos
e estabelecem práticas de acesso seguras e auditáveis. Podemos destacar
também que ocorre a avaliação independente dos recursos para determinar se as
normas de segurança estão sendo devidamente aplicadas e se houve qualquer
violação em sistemas, em informações ou na rede.

Eficiência: ao fornecer aos usuários acesso rápido e seguro ao sistema, o

gerenciamento de identidade pode aumentar a produtividade.

É importante frisar que, assim como qualquer recurso tecnológico utilizado em redes
de computadores, existem desvantagens na implementação do processo.
O gerenciamento de identidade atribui e implementa políticas de segurança da
informação, além de promover a classificação dos usuários de acordo com o
ambiente, o nível de segurança especificado, a complexidade do ambiente e os
números de usuários a serem gerenciados. Por serem os usuários os principais
recursos de uma organização, preservar e gerenciar a identidade de forma adequada
é muito relevante para o sucesso do negócio.

VIDEOAULA: IMPORTÂNCIA DO GERENCIAMENTO DE

IDENTIDADE
Nessa videoaula vamos reconhecer os principais componentes do gerenciamento de
identidade, além de exemplificar diferentes modelos de gerenciamento: centralizado,
descentralizado, centrado no usuário e federado, compreendendo como cada um
deles pode ser aplicado com o mesmo objetivo: o controle de acessos.

Videoaula: Importância do gerenciamento de identidade

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO
A LGPD regula as atividades de tratamento de dados pessoais e visa adaptar as
informações e os comportamentos na internet que se referem ao uso da tecnologia
para tratamento e compartilhamento de dados desde o Marco da Internet, até todas
as mudanças que ocorrem frequentemente no uso da tecnologia em diversos
segmentos do mercado. Sendo assim, analise o seguinte cenário.

Uma empresa com foco na venda de cosméticos possui uma equipe de vinte e cinco
pessoas, e somente três delas precisam ter acesso ao sistema ao sistema financeiro
para realizar transações e garantir o pagamento de comissões aos vendedores. Os
demais precisam apenas consultar suas próprias informações, sem ter visibilidade
sobre os perfis de outros funcionários. Você, como analista de TI, acredita que todos
os funcionários respeitam tais regras e decide que o gerenciamento de identidade não
é uma prioridade, por isso, todos têm acesso para alterar, excluir e movimentar
qualquer valor no sistema, e utilizam o mesmo usuário, mas estão avisados sobre
suas atribuições. Claro que isso não foi suficiente e você recebeu uma reclamação do
gerente de TI, informando que foi realizada uma movimentação do valor total de
comissão para uma conta externa, e que o dinheiro foi perdido sem ter possibilidade
de recuperação.

Considerando o cenário proposto, traga os principais problemas que poderiam ser

evitados caso o gerenciamento de identidades tivesse sido devidamente aplicado em
relação aos acessos atribuídos indutivamente aos usuários. Descreva sobre as
vulnerabilidades encontradas e como os acessos podem ser padronizados.

RESOLUÇÃO DO ESTUDO DE CASO

O controle de acessos é primordial para centralizar e garantir que os usuários tenham
somente os acessos necessários em uma rede, minimizando riscos. O cenário está
totalmente vulnerável às ameaças, pois os princípios básicos de segurança não estão
devidamente aplicados:

Gerenciamento de identidade;

Controle de acesso;

Políticas e leis aplicadas às informações.

Como analista de TI, você deveria ter realizado o levantamento de papéis e funções de
cada funcionário, definindo o nível de acesso adequado para cada um deles: leitura,
gravação e execução.

Dessa forma, nem intencionalmente ou mesmo por descuido os usuários que não
precisam realizar movimentações dentro do sistema poderiam realizá-las. O sistema
estaria seguro e seria mantido o controle de ações realizadas pelos usuários, uma vez
que o gerenciamento de identidade estaria corretamente aplicado. Seria possível
identificar quem fez a movimentação, mas provavelmente com o controle de acessos
adequado o problema nem teria ocorrido.

As informações dos usuários também não estão seguras nesse cenário, uma vez que a
LGPD define que as informações pessoais devem estar protegidas e, nesse caso,
qualquer usuário pode facilmente ter acesso aos dados dos demais funcionários,
incluindo dados sobre comissões, que deveriam ser privados.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

  Saiba mais
WANGHAM, M. et al. O futuro da gestão de identidades digitais. 2018.
Disponível em: https://bit.ly/3FMmOv7. Acesso em: 7 out. 2021.

O artigo apresenta conceitos importantes sobre o gerenciamento de identidade

em diversas plataformas, incluindo infraestruturas tradicionais de TI, nuvem e até
mesmo IoT, discorrendo sobre conceitos importantes que envolvem os tipos de
autenticação e a gestão de identidade.

ALENCAR, M. Marco civil da Internet. 2021. Disponível em: https://bit.ly/3FMata8.

Acesso em: 25 out. 2021.

O conteúdo descreve acontecimentos importantes que fazem parte do marco civil

da internet, em que é possível reconhecer a importância das leis que tangem o
acesso e o compartilhamento de informações na web.

Revista Digital Security. 2018. GPDR: transformar e inovar começa por cada um de
nós. Disponível em: https://bit.ly/3qKaLdf. Acesso em: 25 out. 2021.

O conteúdo aborda conceitos importantes sobre GPDR, conceitos sobre os dados

pessoais e os principais desafios das organizações em relação à governança da
segurança da informação.

Aula 4

POLÍTICAS NO GERENCIAMENTO DE IDENTIDADE

Nesta aula, aprenderemos sobre a estrutura das políticas de privacidade e suas
características essenciais.
38 minutos

INTRODUÇÃO
Antes mesmo de a internet se tornar uma das ferramentas úteis no
compartilhamento de informações, já havia um consenso corporativo sobre o fato de
que a informação poderia maximizar o desenvolvimento de uma organização e trazer
sucesso para diversos segmentos do negócio, influenciando não somente nos
resultados econômicos, mas também no gerenciamento de informações.

Com o passar do tempo, não somente as organizações, mas a sociedade como um

todo foi se moldando às necessidades e amadurecendo a forma como diversos
dispositivos de controle passaram a ser utilizados com o objetivo de garantir
privacidade para informações de origens diversas. Por isso, atualmente existem
algumas legislações relativas à proteção de dados. Apesar de recentes, tais legislações
estão sofrendo alterações para acompanhar as mudanças tecnológicas e
informacionais.

Nessa aula, você conhecerá a estrutura das políticas de privacidade e suas

características essenciais, compreendendo como podem ser importantes para o
gerenciamento de identidades.

POLÍTICAS DE PRIVACIDADE
Antes de qualquer coisa, é necessário compreender uma política de privacidade e de
que forma pode ser estruturada. Para isso, podemos considerar que um conjunto de
termos e normas é aplicado a um sistema para garantir que sua funcionalidade seja
direcionada em conformidade com as leis de proteção de dados. Um exemplo real é a
forma como as informações dos usuários são tratadas sempre que acessam um site,
sendo esses dados preservados para que os demais visitantes não possam coletá-los
ou acessá-los.

A estruturação de uma política se inicia com a coleta de informações que, de acordo

com Cendão (2017), envolve os fatores ilustrados na Figura 1.

Figura 1 | Estrutura de informações – política de privacidade

 Fonte: Elaborada pela autora.

Vejamos o significado de cada um desses itens:

Cookies: cache de informações pessoais e de acesso de usuários que navegam na

internet.

Histórico: últimos conteúdos acessados.

Fontes de tráfego: de onde os dados são coletados.

Comportamento do usuário: perfil traçado de acordo com os perfis que utiliza.

Localização: de onde o acesso está sendo realizado.

Dados de contato: envolvem meios como e-mail, endereço físico e telefone do

usuário.

A função da política de privacidade é principalmente ser transparente com o usuário,

Cendão (2017) afirma que deve estar clara a finalidade para qual as informações
pessoais são utilizadas, independentemente do sistema computacional responsável
por armazenar, coletar e tratar esses dados.
Quando tais informações são acessadas por terceiros, é importante que se tenha
conhecimento sobre as políticas de privacidade estabelecidas, para que o usuário
possa definir se quer ou não continuar compartilhando as informações, considerando
os níveis de segurança oferecidos.

No entanto, a coleta de dados é apenas o primeiro passo para onde as políticas de

privacidade passam a ser aplicadas e as etapas de validação de segurança precisam
estar corretamente estabelecidas e documentadas, seguindo um modelo formal, mas
que seja de fácil entendimento.

a LGPD (Lei Geral de Proteção de Dados) tem a seguinte estrutura (LGPD NA PRÁTICA,
2021):

Dados pessoais: qualquer informação que identifique determinado usuário em

mídias virtuais;

Dados pessoais sensíveis: dados pessoais relacionados com as características

dos usuários, como origem racial ou étnica, religião, opinião política, filiação e
orientação sexual. Com a evolução tecnológica, podemos citar as informações
biométricas, utilizadas para identificar o acesso a diversas fontes;

Titular: qualquer pessoa que represente a posse das informações como objeto a
ser tratado em determinado meio de comunicação;

Consentimento: permite que o usuário esteja livre para decidir como suas
informações podem ser utilizadas, considerando determinada finalidade;

Anonimização: ao tratar de dados pessoais, é feita a utilização de meios técnicos,

garantindo que não se possa descobrir a identidade do usuário que esteja
diretamente associado com determinadas informações, por isso, esses são dados
anonimizados;

Processamento: qualquer operação realizada em dados pessoais, como

operações relacionadas à coleta, produção, recepção, classificação, uso, acesso,
reprodução, transmissão, distribuição, processamento, arquivamento,
armazenamento, eliminação, avaliação ou controle de informações, modificação e
comunicação, transferência, difusão ou extração.

Controlador: pessoa física ou jurídica, responsável pela tomada de decisão

quanto ao tratamento de dados pessoais, de acordo com o direito público ou
privado;
 Definição de perfis: qualquer forma de processamento automático de dados
pessoais, incluindo o uso de tais dados para avaliar certos aspectos dos
indivíduos, especialmente analisando ou prevendo seu desempenho profissional,
situação econômica, saúde, preferências pessoais, interesses, confiabilidade e
comportamento, localização ou viagens.

Quando qualquer incidente ou violação de segurança ocorre, é importante que um

plano de ação tenha sido estabelecido para contornar possíveis prejuízos.

VIDEOAULA: POLÍTICAS DE PRIVACIDADE

Nessa videoaula vamos falar sobre informações e requisitos importantes que não
podem faltar em uma política de privacidade, como conteúdo, transparência e
linguagem clara, que garantam que a política e seu objetivo sejam bem
compreendidos pelo usuário e que a segurança da informação esteja corretamente
aplicada.

Videoaula: Políticas de privacidade

Para visualizar o objeto, acesse seu material digital.

PRINCIPAIS TIPOS DE POLÍTICAS DE PRIVACIDADE

As políticas de privacidade podem ser aplicadas por meio de diversas práticas e
processos que permitem que tipos ou níveis específicos de segurança sejam
definidos, tornando a aplicação transparente para o titular das informações que são
compartilhadas, armazenadas, tratadas e processadas por sistemas computacionais e
plataformas on-line.

O fator determinante para esses requisitos são os termos e condições de segurança

que descrevem a política de privacidade informando sobre direitos, garantias, formas
de uso, coleta de dados, processamento e tempo de descarte para as informações
pessoais.

Por isso, na maioria das vezes, o contrato é disponibilizado para que o titular das
informações concorde ou não com os termos. De acordo com Rock Content (2016),
alguns dos tipos de políticas de privacidade são:
 Informações para identificação pessoal: entre os dados de identificação dos
usuários não estão somente informações como nome, mas também todos
aqueles que constam em seus documentos de identificação, além de identificação
eletrônica como e-mail, IP do equipamento que revela sua localização e até
mesmo sua imagem. Para essas informações, a confiabilidade deve ser de alto
nível por parte de quem as trata, ainda mais pelo fato de que um vazamento pode
ter consequências graves como situações em que usuários se passam por outros.

Endereço: para cadastrar o usuário, a maioria dos serviços questiona seu

endereço que, mesmo parecendo uma informação comum, é utilizado para
emissão de documentos, transações que envolvem cobrança de impostos e
entrega de produtos. Por isso, manter essa informação atualizada evita
dificuldades para o remetente.

Dados bancários: além do endereço, sites de e-commerce também exigem com

frequência o compartilhamento de dados bancários de seus usuários, seja para o
estabelecimento de débito automático na prestação de serviços contínuos, seja
para a realização de transações bancárias, como pagamentos e transferências por
meio de cartão de crédito, por exemplo.

Padrões de navegação e cookies: recurso muito utilizado para compreender o

perfil do usuário. Na medida em que o usuário navega, suas pesquisas passam a
ser utilizadas para definir conteúdo de interesse dele para o seu perfil,
constantemente atualizado com informações que permitem conhecer o usuário,
mas que também precisa considerar a privacidade na navegação. Uma prática
bastante comum é quando o usuário busca um produto e posteriormente
visualiza diversos itens que sejam de seu interesse.

Histórico de conversas: atualmente, aplicativos de troca de mensagens entre

usuários são bastante utilizados, porém eles devem oferecer um certo nível de
segurança com recursos como criptografia, além de deixar claro aos usuários
sobre os recursos de proteção aplicados e se os dados correm algum risco. As
redes sociais são um exemplo, ainda mais considerando que as conversas devem
ser privadas e a confiabilidade em uma plataforma utilizada por milhares de
usuários é um fator crítico.

A política de privacidade deve refletir cuidados com as informações trocadas,

ressaltando exatamente quem tem acesso a cada conversa, a não ser que sejam
solicitadas informações por meio judicial.
Não somente a identificação de riscos deve ser considerada, mas também a forma de
lidar com os riscos e assegurar a proteção dos dados pessoais e os direitos dos
titulares dos dados (GONÇALES, 2021).

Por isso, os tipos de políticas de privacidade e a finalidade do tratamento de dados

devem estar claros em qualquer plataforma digital em relação aos princípios de
segurança da informação.

VIDEOAULA: PRINCIPAIS TIPOS DE POLÍTICAS DE PRIVACIDADE

Nessa videoaula, vamos abordar os principais riscos que as informações correm ao
serem tratadas de forma indevida e sem que devidas políticas de privacidade sejam
aplicadas aos diferentes meios de comunicação. Assim, ficará mais clara a importância
de manter a segurança de dados pessoais tratados por terceiros.

Videoaula: Principais tipos de políticas de privacidade

Para visualizar o objeto, acesse seu material digital.

CARACTERÍSTICAS DAS POLÍTICAS DE PRIVACIDADE

Para caracterizar a política de privacidade além do que já citamos nos blocos
anteriores, vamos analisar uma pequena linha do tempo que cita como os dados
foram evoluindo em relação à segurança necessária. No entanto, é preciso considerar
a crescente utilização de informações pessoais na internet e a forma como evoluiu a
proteção de dados (BIONI, 2019). Podemos analisar a Figura 2 que mostra essa
evolução.

Figura 2 | Evolução e características da privacidade de dados

Fonte: elaborada pela autora.

A lei de proteção de dados quando aplicada no Brasil, em sua primeira geração
originou-se da necessidade de processar grandes quantidades de informações, o que
exigia autoridade para controlar bancos de dados e agregar e processar corretamente
os dados pessoais. Portanto, a primeira geração de leis concentrou-se principalmente
na necessidade de controlar a forma como a tecnologia passava a ser direcionada
para os diversos segmentos do mercado e sobretudo para a segurança dos usuários
que passavam a ser inseridos no meio tecnológico.

A lei de proteção de dados pessoais de segunda geração é caracterizada por uma

mudança mais profunda no entendimento da supervisão e inclui áreas públicas e
privadas. Isso se deve justamente aos avanços no uso da tecnologia no setor privado,
que passaram a acelerar, vendo a necessidade de definir quem seria o responsável
por proteger os dados pessoais principalmente de seus funcionários e clientes.

Assim, a terceira geração de leis dá mais protagonismo ao cidadão na hora de ele

consentir com a entrega dos seus dados pessoais; a ideia é que o indivíduo saiba
como ocorrem a coleta e o compartilhamento dos seus dados.

Agora vamos analisar as principais características que envolvem as diretrizes das

políticas de privacidade:

O consentimento deve ser extraído por meio de cláusulas contratuais destacadas;

As autorizações genéricas (sem uma finalidade determinada) são nulas;

Nas hipóteses em que não há consentimento, deve-se observar os direitos e os

princípios da LGPD, de modo que haja a possibilidade de o titular dos dados
pessoais se opor ao tratamento de seus dados. Na LGPD, a palavra consentimento
aparece um pouco mais do que três dezenas de vezes, porém vale reforçar que
isso não se trata apenas de uma análise quantitativa, mas também qualitativa: o
consentimento é a espinha dorsal dessa lei.

Conhecendo as características das políticas de privacidade, é possível entender a

importância de saber as fontes para onde as informações pessoais são importadas e
exportadas, conhecimento esse, que deve ocorrer por parte de qualquer usuário,
antes mesmo de compreender as tecnologias.

As informações são nossos bens mais preciosos, e interpretar corretamente como

estão sendo tratados e processados evita ou minimiza a maior parte dos problemas
relacionados à segurança da informação.
VIDEOAULA: CARACTERÍSTICAS DAS POLÍTICAS DE PRIVACIDADE
Nessa videoaula, vamos falar sobre a limitação de conteúdos em plataformas digitais,
como a proteção de dados é aplicada para auxiliar o usuário no controle de seus
dados pessoais e como a captura somente de informações necessárias pode
minimizar os riscos de segurança.

Videoaula: Características das políticas de privacidade

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO
Uma organização, independente do ramo em que atua, trata de informações privadas.
Sendo assim, cada cenário deve considerar a forma como elas precisam ser tratadas e
preservadas por meio da aplicação de regras e de políticas que preservem os usuários
e seus dados pessoais de qualquer fraude ou exposição.

Sendo assim, imagine que uma empresa atua no ramo de consultoria e comercializa
um software hospitalar, contendo diversos consultores responsáveis por exportar as
informações dos pacientes para o sistema desenvolvido dentro da própria companhia.

Você é um analista de banco de dados e diariamente trata de informações dos

clientes e de pacientes que são atendidos pelos hospitais, que adquirem as soluções
oferecidas pela sua organização.

As informações exportadas por você envolvem:

Nomes dos pacientes;

Endereços;

Plano de saúde;

Data de nascimento;

Documentos de identificação;

E-mail, telefones.

Considerando o caso apresentado, você deve analisar a importância de um termo de

privacidade e descrever como um funcionário pode se responsabilizar pelo
compartilhamento indevido de informações fora da rede ou até mesmo para outros
clientes. Traga informações sobre práticas que envolvem o termo de privacidade e
como ele protegeria as informações tratadas pela organização, melhorando a forma
como os dados privados são processados pelo sistema e pelos terceiros que os
gerenciam.

RESOLUÇÃO DO ESTUDO DE CASO

Em sistemas computacionais, os acessos permitem identificar os usuários e suas
ações, porém o termo de confiabilidade é de extrema importância para que os
usuários tenham conhecimento sobre suas responsabilidades. Assim como qualquer
usuário deve estar preocupado em manter seus dados protegidos em todos os meios
de comunicação, públicos ou privados, as organizações que tratam dados de terceiros
devem se preocupar com a privacidade das informações e o tratamento por parte dos
responsáveis.

No cenário apresentado, o cliente confia em dados de terceiros para outra

organização, que também terceiriza informações importantes sobre diversos
usuários. Nesse processo, os usuários devem ter assinado um termo de privacidade
que permite o compartilhamento dos seus dados entre parceiros e garante que
possam ser utilizados para os fins que foram previstos no ato do cadastro, nesse caso,
para fins que envolvem o processamento no sistema hospitalar e na necessidade de
Imprimir
conhecer as informações do paciente, antes mesmo de atendê-lo.

Como podemos ver, diversos são os seguimentos que tratam de informações

pessoais, e estando nossos dados cada vez mais disseminados para diversos fins, é
necessário que estejamos conscientes sobre o tratamento e a proteção aplicadas às
plataformas que as armazenam.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

 Saiba mais
O conteúdo apresenta de forma completa como a política de privacidade é
abordada pela LGPD, desde sua definição, envolvendo todas as etapas desde a
coleta de dados, até a fase que descreve as revisões à política.
 LGPD BRASIL. Política de privacidade. Disponível em: https://bit.ly/3HcmEih.
Acesso em: 9 out. 2021.

REFERÊNCIAS
4 minutos

Aula 1
BALDAM, R. Gerenciamento de conteúdo empresarial. Rio de Janeiro: Elsevier, 2016.

BRASIL. Instituto Nacional de Tecnologia da Informação. ICP-Brasil. 2018.

Disponível em: https://bit.ly/3fZa8qp. Acesso em: 4 out. 2021.

MARTINI, R. S. Tecnologia e cidadania digital: tecnologia, sociedade e segurança. Rio

de Janeiro: Brasport, 2008.

NAKAMURA, E. T.; GEUS, P. L. Segurança de redes em ambientes cooperativos. São

Paulo: Novatec, 2007.

STALLINGS, W. Criptografia e segurança de redes: princípios e práticas. 6. ed. São

Paulo: Pearson, 2015.

WILSON, C. O que é uma cadeira de confiança. SSL.com. 31 mar. 2020. Disponível

em: https://bit.ly/3GHzV1T. Acesso em: 4 out. 2021.

Aula 2
ISEL – DEETC – REDES DE COMUNICAÇÃO. Protocolos de acesso remoto - PPP PAP,
CHAP. 2017. Disponível em: https://bit.ly/33u1YDL. Acesso em: 6 out. 2021.

CISCO. Virtual Private Dialup Network (VPDN). 2021. Disponível em:

https://bit.ly/32gbIka. Acesso em: 6 out. 2021.

RIOS, Renan Osório. Protocolos e serviços de redes. Disponível em:

https://bit.ly/3nIGKIY. Acesso em: 6 out 2021.

PAIM, Rodrigo R. Extensible Authentication Protocol. 2011. Disponível em:

https://bit.ly/3AialxX. Acesso em: 6 out. 2021.
SILVA, P. T.; CARVALHO, H.; TORRES, C. B. Segurança dos Sistemas de Informação:
gestão estratégica da segurança empresarial. 1. ed. Portugal: Centro Atlântico, 2003.

SPEEDCHECK. PPPoE. 2021. Disponível em: https://bit.ly/33wqNyW. Acesso em: 30

maio 2021.

Aula 3
BRASIL. Artigo 19°: Todo ser humano tem direito à liberdade de expressão e opinião.
2018. Disponível em: https://bit.ly/3Aihe2o. Acesso em: 7 out. 2021.

NASCIMENTO, H. B. Segurança da informação para concursos. Rio de Janeiro:

Ciência Moderna, 2014.

PAZ, N. Gerenciamento de identidade: O que é e qual a importância? 18 jan. 2021.

Disponível em: https://bit.ly/3qKdHXl. Acesso em: 7 out. 2021.

SANTOS, T. Gerenciamento de Serviços em Nuvem. São Paulo: Senac, 2019.

SILVEIRA, P. Você sabe quando não deve aplicar a lei geral de proteção de dados –
LGPD? 2020. Disponível em: https://bit.ly/3FM0dPh. Acesso em: 7 out. 2021.

TANENBAUM, A. S.; WETHERALL, D. J. Redes de computadores. São Paulo: Pearson,

2011.

ZEFERINO, D. Ciclo de vida dos dados: qual a relação com a LGPD. 25 jun. 2020.
Disponível em: https://bit.ly/33CiFwH. Acesso em: 7 out. 2021.

Aula 4
BIONI, B. R. Proteção de dados pessoais: a função e os limites do consentimento. 2.
ed. Rio de Janeiro: Forense, 2019. 328 p.

CENDÃO, F. Política de privacidade: O que é e porque é tão importante para seu site.
19 jun. 2017. Disponível em: https://bit.ly/3G8PcI9. Acesso em: 9 out. 2021.

GONÇALES, J. C. Como adequar as políticas de privacidade com as primeiras

orientações da ANPD? Revista Jus Navigandi, Teresina, ano 26, n. 6597, 24 jul. 2021.
Disponível em: https://bit.ly/345hgyr. Acesso em: 9 out. 2021.

LGPD NA PRÁTICA. Definições. Disponível em: https://bit.ly/3nSei7P. Acesso em: 10

out. 2021.
ROCK CONTENT. Política de privacidade: o que é e como montar uma! 11 nov. 2016.
Disponível em: https://bit.ly/3GRbFKN. Acesso em: 10 out. 2021.