Segurança da Informação e LGPD

O que é

• Segurança da informação (SI) protege ativos digitais contra acesso não autorizado, alteração indevida e indisponibilidade.
• Tríade CIA: Confidencialidade, Integridade, Disponibilidade — base para políticas e controles.
• LGPD (Lei 13.709/2018) regula tratamento de dados pessoais no Brasil; capítulo VII trata de segurança e boas práticas.
• Exportar PDF (RF-012) trata dados de atividades e identificação de gestores — exige controle de acesso e auditoria.

Controles e ameaças comuns

• Autenticação forte, autorização por perfil (RBAC), princípio do menor privilégio.
• Criptografia em trânsito (TLS) e em repouso (disco/banco).
• Ameaças: phishing, malware, SQL injection, XSS, vazamento de credenciais, insider threat.
• Gestão de vulnerabilidades: patch, scan de dependências (Dependabot, Snyk).
• Resposta a incidentes: detectar, conter, erradicar, recuperar e documentar (comunicação ANPD/titulares quando aplicável).

LGPD — conceitos para desenvolvedores

• Dado pessoal: identifica ou identifica pessoa natural (nome, e-mail, IP em certos contextos).
• Bases legais: consentimento, execução de contrato, legítimo interesse, etc.
• Direitos do titular: acesso, correção, eliminação, portabilidade — impactam APIs e relatórios.
• RIPD (Relatório de Impacto): quando o tratamento apresenta risco elevado.
• DPO/encarregado: canal entre organização, titulares e ANPD.

Exemplo visual — camadas de defesa

• Defesa em profundidade aplicada ao fluxo RF-012.

Modelo textual — registro de tratamento (resumo LGPD)

• Documente o tratamento de dados no módulo de exportação.

────────────────────────────────────────────────────────────
REGISTRO DE TRATAMENTO — EXPORTAÇÃO PDF (RF-012)
────────────────────────────────────────────────────────────

Finalidade:        Gerar relatório PDF de atividades para gestor
Dados tratados:    Nome/e-mail do gestor; dados das atividades no período
Base legal:        [Execução de contrato | Legítimo interesse — justificar]
Titulares:         Gestores e responsáveis pelas atividades listadas
Compartilhamento:  [Não | Sim — descrever terceiros]
Retenção PDF:      [ex.: 0 — stream direto; log 5 anos]
Medidas segurança:
  - HTTPS, JWT, perfil Gestor
  - LogExportacao (auditoria)
  - Banco com backup criptografado

Riscos:            Vazamento de PDF; acesso indevido por token roubado
Mitigações:        Expiração de token, rate limit, alerta de download em massa

Responsável/DPO:   [nome/contato]
Revisão:           [AAAA-MM-DD]