[GTER] LGPD

Danton Nunes danton.nunes at inexo.com.br
Thu Dec 17 16:03:45 -03 2020


On 17/12/2020 13:11, Edvan Lima wrote:
> Estava lendo o artigo
> https://ftp.registro.br/pub/gter/gter49/03-LGPD-IncidentesDeSeguranca.pdf
> 
> Com LGPD, parei de usar proxy na rede, pelo que li,  analisar o tráfego
> criptografado está quebrando a privacidade dos usuários, isso pode dar
> problema pra gente.
> 
> Porém seria uma mão de duas vias, afinal precisamos garantir  tudo que um
> usuário fizer na nossa rede, somos responsáveis e se algo acontecer, temos
> como saber e mostrar quem foi ... não podemos por exemplo, permitir que um
> site pornográfico seja visualizado.

isso é política da empresa, não lei. uma política bem naïve, se me permite, 
porque o protocolo IP não tem um "porn bit" que permite de maneira inequívoca 
distinguir o que é pornografia do que não é. (se não me engano já foi assunto de 
uma das RFCs de primeiro de abril).

se a sua filtragem se limitar às URLs e não invadir o conteúdo, tudo bem, 
continue usando o proxy para bloquear o que der na telha dos teus chefes, mas se 
for fuçar o conteúdo de tráfego https, provavelmente estará violando não só a 
LGPD mas a lei penal, pois falsificar certificados e atuar como 
man-in-the-middle é crime.

hoje praticamente todo navegador envia cabeçalhos SNI (nada a ver com o extinto 
Serviço Nacional de Informações, trata-se de Server Name Indication, RFC-4366) 
que transporta pelo menos o nome do servidor remoto em texto claro. Essa 
extensão permite criar sites virtuais em https baseados em nome e não somente em 
endereços IP, como nos velhos tempos e, obviamente, permite ao proxy negar 
conexão a sites que se encontrem em uma lista negra.

> *Se não posso usar proxy (squid) na rede, qual seria outra solução que está
> dentro da LGPD?*

minha opinião (de engenheiro, não de advogado): você pode usar proxies, desde 
que não falsifique certificados para analisar o conteúdo de transações que 
deveriam ter criptografia fim-a-fim. como teu artefato não sabe distinguir uma 
página de pornografia de uma transação bancária, veja o lamaçal em que você pode 
estar se metendo cacheando os dados bancários de alguém.

não sei que influência você tem na elaboração da política de uso da empresa, mas 
se puder, recomende não imporem regras cuja implementação possa violar a lei. Se 
a corda quebrar, adivinha para que lado quebra.

-- Danton


More information about the gter mailing list