[GTER] LGPD
Danton Nunes
danton.nunes at inexo.com.br
Thu Dec 17 16:03:45 -03 2020
On 17/12/2020 13:11, Edvan Lima wrote:
> Estava lendo o artigo
> https://ftp.registro.br/pub/gter/gter49/03-LGPD-IncidentesDeSeguranca.pdf
>
> Com LGPD, parei de usar proxy na rede, pelo que li, analisar o tráfego
> criptografado está quebrando a privacidade dos usuários, isso pode dar
> problema pra gente.
>
> Porém seria uma mão de duas vias, afinal precisamos garantir tudo que um
> usuário fizer na nossa rede, somos responsáveis e se algo acontecer, temos
> como saber e mostrar quem foi ... não podemos por exemplo, permitir que um
> site pornográfico seja visualizado.
isso é política da empresa, não lei. uma política bem naïve, se me permite,
porque o protocolo IP não tem um "porn bit" que permite de maneira inequívoca
distinguir o que é pornografia do que não é. (se não me engano já foi assunto de
uma das RFCs de primeiro de abril).
se a sua filtragem se limitar às URLs e não invadir o conteúdo, tudo bem,
continue usando o proxy para bloquear o que der na telha dos teus chefes, mas se
for fuçar o conteúdo de tráfego https, provavelmente estará violando não só a
LGPD mas a lei penal, pois falsificar certificados e atuar como
man-in-the-middle é crime.
hoje praticamente todo navegador envia cabeçalhos SNI (nada a ver com o extinto
Serviço Nacional de Informações, trata-se de Server Name Indication, RFC-4366)
que transporta pelo menos o nome do servidor remoto em texto claro. Essa
extensão permite criar sites virtuais em https baseados em nome e não somente em
endereços IP, como nos velhos tempos e, obviamente, permite ao proxy negar
conexão a sites que se encontrem em uma lista negra.
> *Se não posso usar proxy (squid) na rede, qual seria outra solução que está
> dentro da LGPD?*
minha opinião (de engenheiro, não de advogado): você pode usar proxies, desde
que não falsifique certificados para analisar o conteúdo de transações que
deveriam ter criptografia fim-a-fim. como teu artefato não sabe distinguir uma
página de pornografia de uma transação bancária, veja o lamaçal em que você pode
estar se metendo cacheando os dados bancários de alguém.
não sei que influência você tem na elaboração da política de uso da empresa, mas
se puder, recomende não imporem regras cuja implementação possa violar a lei. Se
a corda quebrar, adivinha para que lado quebra.
-- Danton
More information about the gter
mailing list