Antes de desenvolver o seu programa ou aplicativo é importante pensar na forma como serão gerenciados os perfis dos colaboradores e usuários finais. Isso porque a definição dos diferentes perfis de acesso e o gerenciamento dos usuários fará com que cada pessoa tenha autorização para acessar apenas aos dados de que ele efetivamente precisa.
Boas práticas na gestão dos usuários
– Faça uso de identificadores únicos para cada indivíduo, seja ele usuário ou colaborador;
– Solicite autorização antes de qualquer acesso a dados pessoais;
Veja também: Blog Solere: Quais são as regras básicas de segurança virtual para empresas?
– Planeje para o seu sistema, desde o início, políticas de gestão de acesso aos dados diferenciados (leitura, gravação, exclusão e etc.) de acordo com as pessoas e suas necessidades. Um sistema de gestão de perfis de usuários global permitirá agrupar diferentes direitos de acordo com uma função exercida por um grupo de usuários no aplicativo;
– É possível que o gerenciamento de perfis de usuários seja acompanhado por um sistema de registro (gravações em arquivos ou logs) para que sejam rastreadas as atividades e se detecte anomalias ou eventos ligados à segurança, como acesso fraudulento e uso indevido de dados pessoais. O uso desses dispositivos não deve, em nenhuma hipótese, ser utilizado para outros fins que não sejam garantir o uso adequado do sistema de informática e os logs não devem ser mantidos por período além do necessário. Esses sistemas de registro não devem armazenar os dados além do período de conservação que, normalmente, é de 6 meses.
– É possível planejar auditorias de código ou de testes de invasão dentro do seu ambiente de desenvolvimento para garantir a solidez do seu sistema de gerenciamento de perfis.
Torne fluída a gestão dos perfis de autorizações
– Documente ou automatize os procedimentos de movimentação dos seus colaboradores, bem como de cadastro e descadastramento de seus usuários. Por exemplo, esses procedimentos devem enquadrar as ações a serem tomadas quando as pessoas não são mais autorizadas a acessar a um local, a um recurso de TI ou ao final de seu contrato;
Veja também: Blog Solere: Como escolher a estrutura adequada para tratamento de dados?
– Revise regularmente os direitos concedidos aos usuários e aos colaboradores de acordo com a evolução dos usos e movimentos organizacionais dentro do seu projeto. O uso de serviços de diretório, como Lightweight Directory Access Protocol (LDAP), ajudará a seguir essas evoluções e permitirá refinar suas diretivas de acesso, por exemplo atribuindo uma função de acordo com os perfis de uso. Isso permite respeitar melhor o princípio do menor privilégio (POLPA).
– Evite o uso de conta “suprema” (tipo root, administrador e etc.) em operações convencionais. Como essa conta é pilar do sistema, também será o principal alvo no caso de um ataque externo. Recomenda-se a associação de uma política de senhas fortes (conjunto de 10 a 20 caracteres ou multifatores) e a limitação do número de pessoas que detém o conhecimento dessas senhas ao mínimo necessário;
– Priorize o uso de um gerenciador de senhas no seu projeto e privilegie a transição para uma autenticação forte quando possível. Evite também contas genéricas compartilhadas entre várias pessoas.
Veja também: Blog Solere: Dicas para elaborar projetos de TI de acordo com a LGPD
Em conclusão, este texto procura tratar sobre como realizar eficientemente o gerenciamento de usuários do seu projeto digital (app ou site). Este artigo é uma iniciativa do Solere – Data Protection Compliance para esclarecer diversos temas relacionados à dados pessoais e a proteção deles. Somos especializados em direito empresarial e somos certificados Data Protection Officer (DPO) pelo Bureau Veritas. Conheça nossos serviços e veja como podemos ajudar a sua empresa se adequar à LGPD e não sofrer penalidades.