[GTER] Sobre Logs de Identificação de Usuários em CGNAT
renan at trixnet.com.br
renan at trixnet.com.br
Thu Jan 17 15:59:36 -02 2019
Boa tarde Fernando e caros colegas participantes da Lista.
Primeiramente gostaria de agradecer e parabeniza-lo, por levantar tal
questão tão importante para a saúde legal dos ISPs, inclusive por
experiencia própria digo que aqui só no ano passado recebemos 3
notificações desta natureza e nossa rede nem é tao grande assim cerca de
3500 assinantes, minha duvida é a seguinte, desta 3 notificações que
recebemos nenhuma veio com porta de origem, e quando solicitamos a porta
de origem para identificação única a resposta a grosso modo foi que eles
não tinha esta informação e que a obrigação é do provedor armazenar o
"tal" log.
Daí vem a pergunta, o que fazer e como proceder neste caso pois sem a
porta de origem de nada adianta o CGNAT, que nada mais é um mapeamento
de portas.
Em 17/01/2019 15:21, Fernando Frediani escreveu:
> Prezados colegas
>
> Volto a este assunto pois chegou ao meu conhecimento que vários ISPs sobre orientação de outras pessoas e até mesmo de Profissionais da área do Direito tem recomendado aos provedores que implementam CGNAT para que guardem os registros apenas dos grupo de usuários que está vinculado à um IP Público e quando receber a solicitação de um juiz entregar a relação daquele grupo de usuários, seja ele 32, 64, etc.
>
> Infelizmente esta orientação esta duplamente errada. Peço aos interessados que leiam com atenção como também procurem outras fontes de informação **jurídica e técnica** para se embasarem e evitar que a empresa que você é responsável seja advertida ou até mesmo multada por não estar cumprindo corretamente o que Lei determina.
>
> Como é um assunto que tenho acompanhado bem de perto, inclusive tomando ciência de decisões judiciais baseadas no Marco Civil tenho podido observar em muitas delas que o entendimento que tem se consolidado é de que uma das essências da Lei é a Identificação do Usuário (individualmente) e não de um "grupo de usuários".
> Quando o provedor fornece uma lista de usuários à autoridade legal solicitante acreditando estar cumprindo sua obrigação e colaborando para a resolução de um ilícito na verdade não está, pois fica muito difícil, senão impossível utilizar aquela informação como prova de que era aquele usuário especificamente que cometeu o ato.
>
> Além disso quando o provedor envia informações de outros usuários que nada tinham a ver com aquela demanda está violando a privacidade de pessoas que não são investigadas e nada devem. Podem com isso estar violando diversos artigos do Marco Civil como o Art. 3 e Art. 11. Com a sanção recente da LGPD (Lei Geral de Proteção de Dados) isso pode se complicar ainda mais.
>
> O argumento usado por aqueles que defendem ser correto informar apenas o grupo de usuários atrás de um IP Público é que isso "se deve à uma limitação técnica imposta pela escassez de endereços IPv4" o que nós sabemos que não é verdade.
> A necessidade de utilização do CGNAT é sim uma imposição decorrente de uma limitação de endereços IPv4, porém a possibilidade de identificação **individual** do usuário não é.
>
> Tanto nas modalidades de alocação de portas Fixas ou Dinâmicas em CGNAT é plenamente possível identificar individualmente o usuário a qualquer momento desde que o CGNAT e a guarda de logs sejam configurados da maneira correta.
>
> Não se deixem levar pelo caminho mais fácil e confortável que dá uma falsa sensação de cumprimento da exigências. Na hora que o situação complicar e aparecer um juiz ou um promotor público que não concordam com isso (e reitero que este não é o entendimento majoritário) não vai adiantar explicar que seguiu a recomendação de fulano porque parecia muito crível.
>
> Espero que isso ajude ISPs ainda estão em dúvida sobre este assunto ou os que estão seguindo esta orientação equivocada a adequarem seus sistemas para passarem a fazer da maneira correta.
>
> Fernando Frediani
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list