[GTER] LGPD

[Danton Nunes]

On 10/01/2021 15:20, Renato Almeida de Oliveira wrote:
> Colaborador------Certificado da empresa--------> FW ----------Certificado
> do provedor --------> Provedor de conteúdo.
> Ao se analisar desta forma não há em nenhum momento invasão de dispositivos
> ou tecnologias de terceiros.

Há sim. O provedor de conteúdo está sendo enganado, ele supõe que a transação é 
sigilosa, quando não é. Isso é particularmente importante para bancos.

Por isso os bancos usam um segundo canal seguro, por dentro do canal SSL, com a 
negociação de chaves feita com chave compartilhada só entre o aplicativo do 
banco e o servidor, e que o seu Firewall ou nenhum outro man-in-the-middle não 
têm condições de decifrar.

Eu realmente não entendo essa obsessão por xeretar conteúdo que não é de sua 
conta. Tem medo de vazamento de dados? segure antes seus bancos de dados, tenha 
controle de acesso, logs dos acessos, etc. ṕos não adianta ter essas políticas 
doentias em funcionamento se você abre o portão de vazamentos com:
1. celulares funcionando em 3/4/5G no ambiente de trabalho,
2. home-office com ou sem VPN (de certa forma com VPN é pior ainda),
3. notebooks que o funcionário leva para casa,
4. pendrives e outras memórias removíveis.
5. backups sem a mesma proteção que os dados originais,
6. serviços em que todos usam a mesma senha, e por aí vai.

De que adianta fechar a porta da frente quando a dos fundos, as janelas, todas 
estão escancaradas?

Além disso o que você faz com as toneladas de terabytes que são coletados ao 
fuçar as conexões SSL? Tem algum programa como o Echelon ou tem os recursos 
computacionais para pescar uma agulha de indício de malfeito no meio desse 
imenso palheiro? Vao gastar mais recurso para isso do que para a atividade fim 
da empresa?

Segurança envolve políticas que pervadem todos os processos da empresa, não é só 
um Firewall cheio de recursos como inspeção de SSL.

-- Danton