As leis de privacidade da Internet reveladas – como a sua informação pessoal é protegida online

As ameaças cibernéticas vêm de muitas fontes, cada uma procurando obter informação pessoal (PI) para benefício ou exploração. À medida que as intrusões se tornam cada vez mais sofisticadas, são necessárias mais salvaguardas regulamentares e internas em resposta.

A privacidade na Internet é um subconjunto do mundo maior de privacidade de dados que abrange a recolha, utilização, e armazenamento seguro de PI em geral. A privacidade na Internet preocupa-se principalmente com a forma como a PI é exposta através da Web, através do rastreio, recolha de dados, partilha de dados, e ameaças de cibersegurança.

Um estudo do Pew Research Institute descobriu que controlar a PI on line é “muito importante” para 74% dos americanos. De acordo com outro estudo do Pew, 86% dos americanos tomaram medidas para manter a sua privacidade – eliminando cookies, encriptando correio electrónico, e protegendo o seu endereço IP.

P>Pegadas digitais estão em todo o lado. Cada vez que visita um website, introduz a informação do seu cartão de crédito ou débito, se inscreve para uma conta, dá o seu e-mail, preenche formulários online, publica em redes sociais, ou armazena imagens ou documentos em armazenamento na nuvem, está a divulgar informações pessoais no ciberespaço. Quem, para além do destinatário pretendido, receberá ou terá acesso às informações que forneceu? Será partilhada com outras partes? O seu PI pode ser partilhado de formas que não espera ou que desconhece. A sua informação pode correr algum risco porque mesmo os melhores programas de segurança de informação não são 100% garantidos.

Lei de privacidade na Internet

O potencial de violação da privacidade online tem crescido significativamente ao longo dos anos. Não existe uma única lei que regule a privacidade online. Em vez disso, aplica-se uma manta de retalhos de leis federais e estaduais. Algumas leis federais chave que afectam a privacidade online incluem:

• A Lei da Comissão Federal de Comércio (FTC) – regula práticas comerciais desleais ou enganosas. A FTC é o principal regulador federal na área da privacidade e intenta acções coercivas contra empresas. Isto inclui o não cumprimento das políticas de privacidade afixadas e a não protecção adequada das informações pessoais.
  /li>
• Electronic Communications Privacy Act (ECPA) – protege certas comunicações electrónicas, orais e electrónicas contra a intercepção, acesso, utilização e divulgação não autorizados.

li> Fraude Informática & Lei de Abuso (CFAA) – torna ilegais certas actividades relacionadas com computadores que envolvem o acesso não autorizado de um computador para obter certas informações, defraudar ou obter algo de valor, transmitir itens prejudiciais, ou tráfego de palavras-passe de computadores. A lei foi emendada seis vezes.

li> Children’s Online Privacy Protection Act (COPPA) – exige que certos websites e fornecedores de serviços online obtenham um consentimento parental verificável antes de recolherem, utilizarem, ou divulgarem informações pessoais de menores de 13 anos. Também exige que os websites publiquem uma política de privacidade online, recolham apenas as informações pessoais necessárias, e criem e mantenham medidas de segurança razoáveis.

• Controlar a Agressão da Pornografia Não Solicitada e Lei de Marketing (CAN-SPAM Act) – rege o envio de correio electrónico comercial não solicitado e proíbe informações de cabeçalho enganosas e linhas de assunto enganosas. Também exige que os remetentes divulguem certas informações, inclui um mecanismo de opt-out válido, e cria sanções civis e penais para violações.
  /li> Lei de Modernização dos Serviços Financeiros (GLBA) – regula a recolha, utilização, e divulgação de informações pessoais recolhidas ou na posse de instituições financeiras e exige avisos ao cliente e um programa de segurança de informações escritas.
• Lei de Transacções de Crédito Justas e Precisas (FACTA) – exige que as instituições financeiras e os credores mantenham programas de prevenção de roubo de identidade escritos.

Muitos estados também adoptaram leis que afectam a privacidade online, por exemplo, estatutos de protecção do consumidor, leis que protegem certas categorias de PI, leis de segurança da informação, e leis de notificação de violação de dados.

Além de cumprir estas leis e implementar programas robustos de segurança da informação, há medidas que as organizações podem tomar para ajudar a mitigar as ameaças de cibersegurança.

Como está exposto e como se proteger online

As informações pessoais do cliente, cliente e funcionário na sua posse podem estar sujeitas a uma violação de dados de várias maneiras. Endereços de e-mail, bancos, senhas, endereços físicos, números de telefone e muito mais podem inadvertidamente encontrar as suas formas de golpistas, hackers, comerciantes indesejados, e muito mais. A maioria dos funcionários da área jurídica e de conformidade têm pouca ideia de como implementar a protecção de dados contra ameaças na Internet. O que fazer?

Um manual de ameaças para a sua organização

Uma coisa que a sua organização pode fazer é desenvolver um manual de referência rápida de privacidade na Internet que esteja facilmente disponível para os funcionários. Pode fornecer ameaças e melhores práticas a seguir para a sua área específica:

Existem cinco das mais significativas ameaças on-line à privacidade de dados provenientes da web e melhores práticas para lidar com elas:

li>Práticas de navegação insegura na web/ul>

Muitos utilizadores não escrutinam os sites nos quais encontram informação. Há frequentemente sinais de que os sites que visita podem ser maliciosos e pedir o seu IP: ofertas gratuitas, URLs encurtados, páginas socialmente concebidas para enganar os utilizadores para criar uma conta e descarregar malware a partir deles.

O que pode fazer

Actualize o seu anti-vírus. Utilize o navegador de Internet mais seguro — Google Chrome ou Microsoft Edge são as duas melhores escolhas. Verificar os ficheiros com o seu software anti-vírus antes de descarregar. Não reutilize palavras-passe para múltiplos websites. Ligue o bloqueador de pop-ups do seu navegador.

li>Cookies e rastreio web

Cookies são ficheiros descarregados para o seu navegador por um website que contém dados identificadores únicos sobre o site. No entanto, não contêm qualquer informação pessoal ou código de software. Quando um sítio web “vê” os dados que coloca num cookie, sabe que o browser é aquele que o contactou antes.

P>Pode ser útil para coisas como manter a sua informação de login para um sítio web, para que não tenha de o introduzir novamente. Os cookies também podem ser utilizados para rastrear as suas actividades e capturar os seus hábitos de compra e depois ser partilhados com terceiros indesejados afiliados ao sítio.

O que pode fazer

Definir o seu navegador para eliminar cookies sempre que terminar a navegação ou definir cookies “opt out” no seu navegador para cookies não são permitidos de forma alguma no seu navegador.

IP address tracking

O COPPA Act declara especificamente que os endereços IP são informações pessoais, uma vez que são informações sobre um indivíduo identificável a eles associado. Um endereço de Protocolo Internet (IP) é uma etiqueta numérica por detrás dos endereços web familiares que vemos todos os dias. Identifica um dispositivo através da Internet. Os hackers muitas vezes vêm através de endereços IP como o seu primeiro ponto de ataque.

As partes indesejáveis podem rastrear o seu IP procurando o endereço do seu website se este estiver listado no WHOIS, a base de dados central que contém todos os endereços web na Internet. A informação de propriedade está prontamente disponível aqui.

O que pode fazer

Se criar um sítio web, pode solicitar uma listagem privada WHOIS ao gestor da base de dados, Network Solutions. O seu nome, endereço e outras informações de propriedade aparecerão em vez da sua.

Ao trabalhar no seu computador pessoal, pode utilizar uma ferramenta de Rede Privada Virtual (VPN). Uma boa ferramenta é a IP Vanish. Inicie sessão na VPN como intermediário. Após esse ponto, o seu endereço IP é encriptado e passa pelo fornecedor de VPN para a Internet.

Os empregados ou clientes em casa têm endereços IP “alugados” com as suas contas de modem de cabo e ISP. O seu IP não muda até que desligue o seu modem. Desligue-o com a frequência que sentir necessidade.

li>Utilizar HTTP em vez de HTTPS Conexões Encriptadas de Servidor Web

Fluxo de dados pessoais entre a máquina de um utilizador e um website utilizando o protocolo HTTP simples pode ser monitorizado por outras empresas ou potencialmente interceptado e roubado por hackers maliciosos (muitas vezes chamado o “man-in-the-middle”). É aí que entra o Secure Sockets Layer (SSL).

O que se pode fazer

HTTPS ou Secure Sockets Layer (SSL) encripta a informação enviada entre um sítio web e a máquina de um utilizador. Ao comprar ou introduzir informações pessoais em websites, verifique sempre se existe um “https://” ou um ícone de cadeado na barra URL do seu browser para verificar se um website é seguro antes de introduzir qualquer informação pessoal. Quando vir HTTPS em vez de HTTP na barra de endereços do seu navegador, saberá que é um sítio seguro!

Se estiver a alojar um sítio web, considere a possibilidade de implementar SSL no seu servidor web para assegurar a privacidade dos dados entre si e os clientes. Ajudará também a mitigar as ameaças de hacking directo. Terá de encontrar uma autoridade de certificação digital (AC) como a Verisign para o ajudar a configurá-lo.

A ameaça da nuvem

A computação em nuvem é a mais recente e maior onda tecnológica que traz à tona novas questões de privacidade de dados. Isto é especialmente verdade quando se desiste dos controlos administrativos e tecnológicos a uma parte externa. Isso por si só é uma grande ameaça.

Um fornecedor de nuvem pode ser deficiente em processos de backup, práticas de segurança, controlos de empregados, interfaces de aplicações & APIs para nomear apenas alguns. Além disso, nunca se sabe quem tem as “chaves do reino” para ver todos os seus dados ali dentro. Assustador.

O que pode fazer

Tanto você como o fornecedor da nuvem são responsáveis pela segurança, e não apenas por esta última. Se estiver a armazenar dados no armazenamento em nuvem ou a utilizar uma plataforma de nuvem para alojar um website, há algumas coisas que deseja considerar:

• Descobrir do fornecedor que está encarregado de cada controlo de segurança em nuvem.
• Treine alguém na utilização das ferramentas de identidade e acesso fornecidas pelo fornecedor para que possa controlar-se quem tem acesso aos dados e aplicações.

>Segure que o fornecedor tem todos os seus dados que são armazenados com eles encriptados

• Os fornecedores de nuvens maiores oferecem todas as ferramentas de registo. Utilize-as para permitir o registo e monitorização de auto-segurança para monitorizar quaisquer tentativas de acesso não autorizado e outras questões.

Uma combinação de regulamentos governamentais e práticas individuais responsáveis só pode frustrar potenciais ameaças cibernéticas não as eliminando. O seu cumprimento & área jurídica pode fazer a sua parte implementando uma análise abrangente das ameaças e medidas de resposta.