Upgrade to Pro — share decks privately, control downloads, hide ads and more …

LGPD e o desenvolvimento de código

LGPD e o desenvolvimento de código

Como a nova Lei Geral de Proteção de Dados impacta no dia-a-dia de desenvolvimento de código e o que você pode fazer para melhorar sua governança e usar o ciclo de desenvolvimento ao seu favor.

Thiago Ribeiro

August 28, 2019
Tweet

More Decks by Thiago Ribeiro

Other Decks in Technology

Transcript

  1. L G P D E O DESENVOLVIMENTO DE CÓDIGO Thiago

    Ribeiro github.com/ribeiroit • twitter.com/ribeiroit
  2. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Agenda”) > Sobre mim > Questões filosóficas > LGPD e Código? > Pontos de atenção > Boas práticas > Arquiteturas de apoio > Perguntas e respostas
  3. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Sobre mim”) > Head of Application & Offensive Security C6 Bank (hacker das antiga / auto-didata / caipira) > Carreira > Segurança (apps, infra-estrutura, arquitetura, crypto, risco, iam) > Arquiteto soluções (software, enterprise, erps) > Sysadm (linux / bsd) > Software Engineering (go, python, node.js, javascript, perl, php) > Passagens > Financeiro > Telecom > Internet Providers/Portals > Educação > Formação > Processamento Dados > Desenho Industrial > MBA Governança > Mestrado abandonado Engenharia Produção
  4. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Questões filosóficas #1”) > O que é estar preparado? > Consultorias externas? > DPO? > Governança de Dados? > Governança de TI? > Treinamentos? > Conscientização? hashtag #oqueeufaço
  5. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Questões filosóficas #2”) > Como conectar teoria x prática? > Pontos de fricção? > O que fazer primeiro? > O que estou fazendo já o bastante? > Tenho estratégia de dados? > Todos sabem dela? hashtag #toperdido
  6. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Questões filosóficas #3”) > “Precisamos ter acessos aos dados para ser exploratório” > Reatividade? > Novos tempos? > Tô fazendo as perguntas corretas? hashtag #nopassado
  7. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Questões filosóficas #3”) > O mercado adora um trending topic hashtag #voucomprarpronto #sqn
  8. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“LGPD e código?”) > Como tudo isso se conecta com o desenvolvimento de código? > Onde as coisas se materializam > Cada produto é único > Não existe mágica, existe código > Se tem código, tem que ter desenvolvimento seguro e revisão de privacidade > Principal origem dos problemas > Mais barato resolver problemas nesta camada hashtag #coisalinda
  9. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Pontos de atenção”) > WEB: Uso de bibliotecas javascript de terceiros > Atenção aos contratos de uso e consumo de informações > Forte governança e testes de seguranças nesses tipos de componentes > Forçar o uso de políticas de CSP (Content Security Policy) para web. hashtag #soplugar
  10. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Pontos de atenção”) > MOBILE: Uso de sdks de terceiros > Atenção aos contratos de uso e consumo de informações > Forte governança e testes de seguranças nesses tipos de componentes > Inspeção de SDKs > Deixar qualquer URL de comunicação de serviços atrás de um proxy controlado por você hashtag #tapronto
  11. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Pontos de atenção”) > SaaS: Uso de serviços em nuvem > Atenção aos contratos de uso e consumo de informações > Forte governança e testes de segurança nos serviços > Não se apaixone pelo plug and play > Exija políticas de gestão de vulnerabilidades e vazamentos > Estabeleça uso de serviços para filtrar tráfego de entrada e saída das plataformas de SaaS. > Nunca plugue seus dados diretamente nas plataformas hashtag #tapronto2
  12. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Boas práticas”) > “Automate first” > Governança somente pelo processo vai engessar sua empresa > Nem todos estão preocupados com a governança > Identifique ações simples e estabeleça eventos para saber o que está acontecendo > Crie ações para os eventos gerados hashtag #tatranquilo
  13. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Boas práticas”) > Classificação de riscos > Estabeleça um processo inicial durante o SDLC para identificar riscos > Atrele o processo de classificação de riscos com a governança de dados > Identifique os principais PIIs logo antes do desenvolvimento > Entenda o motivo de uso e coloque na calculadora de risco o valor de um potencial vazamento > Seja criterioso com o que realmente importa hashtag #foconoproblema
  14. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Boas práticas”) > Algoritmos de hashing e criptografia > Seu time de desenvolvimento conhece as práticas de hashing e criptografia? > Os códigos são revisados pelos times de segurança? > Já pensou em processos de anonimização internos e externos? > Já escreveu sua política de chaves criptográficas e hashing? hashtag #vouverissoai
  15. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Boas práticas”) > Logs > Estabelecer framework padrão para uso em aplicações (por linguagem) > Realizar revisão de privacidade nos logs > Ter mecanismos de mascaramento quando houver vazamentos de PII > Ajuda identificar serviços para data mapping *não exaustivo logrus hashtag #naotavalogando
  16. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Boas práticas”) > Migration > Adotar práticas de migration > Automatizar revisões no pipeline para permitir eventos de mudanças para time de dados > Facilitar entendimento de mudanças e atualizar catálogo de dados > Atender reguladores como SOX *não exaustivo golang-migrate hashtag #devopsdb
  17. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Boas práticas”) > API Contracts > Contratos ajudam à identificar os tipos de dados que são manipulados entre os serviços > Mandatórios para testes de segurança e revisões de privacidade * Priorize a revisão do que será público. *não exaustivo hashtag #governanca #servicos
  18. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Arquiteturas de Apoio”) > API Proxies > Controlar entrada e saída de requisições entre serviços > Porque somente o firewall não é suficiente > Garantia de geração de logs e evidências para entender comportamentos *não exaustivo hashtag #controle #dados
  19. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Arquiteturas de Apoio”) > API Gateways > Manter uma camada de controle > Criar governança dos serviços e dados que você publica e quem os acessa > Declarativo sempre. Evite utilizar em modo “pass through” para serviços públicos. *não exaustivo hashtag #maiscontrolededados
  20. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Arquiteturas de Apoio”) > Cofres de credenciais > Facilita gestão de chaves e credenciais de acesso à dados > Possuem mecanismos de controle e rotação de chaves automáticas > Ponto central para revogar acessos em incidentes críticos *não exaustivo hashtag #precisodisso
  21. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Arquiteturas de Apoio”) > Perguntas? mind the tips: > Feedbacks são sempre bem- vindos. > Se forem pessoais são melhores ainda. > Se gostou compartilhe: speakerdeck.com/ribeiroit > Senão, mande um alô pelo twitter. hashtag #qa
  22. L G P D > DURANTE O CICLO DE DESENVOLVIMENTO

    DE CÓDIGO // Thiago Ribeiro > print(“Arquiteturas de Apoio”) > Pizza? hashtag #pizzaandbeer