Garantindo a proteção de dados para terceiros: práticas recomendadas

Quando uma empresa contrata ou faz parceria com terceiros para lidar e processar seus dados confidenciais de clientes, é crucial que esses terceiros usem estratégias eficazes para proteger esses dados. Terceiros devem tratar os dados que tratam das organizações como se fossem seus, cumprindo os regulamentos e requisitos de segurança estabelecidos pela organização.

Se sua organização fornece serviços que incluem o manuseio de dados confidenciais, continue lendo para obter algumas informações e práticas recomendadas para garantir que você esteja priorizando a segurança para todos os envolvidos.

Saiba como o UpGuard ajuda as organizações a obter proteção de dados de terceiros com o Vendor Risk >

Riscos Envolvidos com Dados de Terceiros

Embora os dados de terceiros forneçam insights e análises abrangentes, eles também apresentam riscos inerentes. Esses riscos podem se tornar vulnerabilidades, o que coloca esses dados em risco de acesso não autorizado e uso indevido.

Risco de terceiros

Embora terceiros forneçam insights e análises abrangentes, o manuseio de dados confidenciais traz riscos inerentes. Se os dados usados por terceiros não tiverem controles de segurança adequados, isso pode resultar em danos significativos, como perda de dados, roubo de identidade, uso indevido, fraude ou outras atividades maliciosas.

Riscos do uso de terceiros

A contratação de terceiros para análise de dados ou outros serviços é particularmente vulnerável a vários riscos porque diferentes organizações armazenam e usam esses dados. As informações pessoais compartilhadas por terceiros são frequentemente mal utilizadas, causando preocupações significativas com a privacidade, especialmente quando não há transparência sobre como os dados são coletados, usados ou armazenados.

Terceiros também são vulneráveis a violações de dados ou ataques cibernéticos devido às diferenças na forma como são transferidos e armazenados em diferentes sistemas. Se um sistema tiver uma fraqueza, ele pode expor esses dados a riscos potenciais. Há também preocupações éticas sobre como esses dados confidenciais são obtidos, como são usados e se os usuários consentiram em compartilhá-los.

Violações de dados

Uma violação de dados de terceiros é uma violação de dados que ocorreu por meio de uma empresa terceirizada. Nesse tipo de violação de dados, o sistema de terceiros foi comprometido e usado para roubar dados que pertencem a você. Mesmo que uma violação de dados ocorra no nível de terceiros, a empresa original ainda pode ser responsabilizada, especialmente se não tiver tomado as medidas adequadas para garantir que o terceiro utilize fortes práticas de segurança de dados.

Essas violações de dados podem expor dados confidenciais do usuário com consequências graves. Em 2013, os cibercriminosos invadiram os sistemas de rede da Target por meio de um fornecedor terceirizado e instalaram malware nos sistemas de ponto de venda (POS) em todas as lojas da Target. Os hackers conseguiram roubar detalhes de cartão de crédito e informações pessoais de mais de 40 milhões de clientes da Target, custando à Target mais de US$200 milhões em despesas relacionadas a violações.

Proteção de Dados para Terceiros: Conformidade Legal

Devido a violações de dados e implicações de privacidade, existem requisitos legais substanciais para organizações terceirizadas que utilizam dados. Espera-se que as empresas cumpram esses regulamentos e enfrentem penalidades severas se não cumprirem.

Leis e Regulamentos

Privacidade As leis e regulamentos estabelecem padrões legais para organizações terceirizadas que utilizam dados, garantindo que as informações confidenciais sejam mantidas privadas e protegidas em cada organização que as acessa.

Alguns exemplos dessas leis com requisitos de conformidade são:

• Regulamento Geral de Proteção de Dados (GDPR) da União Europeia: visa padronizar a regulamentação de proteção de dados na UE, proteger os dados pessoais e a privacidade dos cidadãos da UE e simplificar os processos de regulamentação para organizações internas. Este regulamento também incentiva controladores e processadores a seguir protocolos relevantes, implementar medidas de privacidade de dados e garantir que os dados sejam coletados com consentimento antes de serem disponibilizados publicamente.
• A Lei de Privacidade do Consumidor da Califórnia (CCPA): oferece aos consumidores da Califórnia maior transparência sobre como suas informações pessoais são tratadas. De acordo com a CCPA, os residentes da Califórnia têm o direito de saber quando seus dados são coletados por uma empresa, quando esses dados pessoais são vendidos ou compartilhados com terceiros, negar a venda de seus dados e ter sua solicitação de exclusão de dados honrada.
• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA): Protege as informações de saúde do paciente de serem divulgadas sem o conhecimento ou consentimento do paciente. A HIPAA garante a confidencialidade, integridade e disponibilidade das informações de saúde dos indivíduos, ao mesmo tempo em que dá aos pacientes o direito de obter e corrigir seus registros médicos.

Essas leis de proteção geralmente exigem que as organizações obtenham o conteúdo necessário do usuário, utilizem medidas mínimas de segurança, mantenham a transparência e defendam os direitos dos titulares dos dados.

Penalidades por não conformidade

Terceiros que não estejam em conformidade com as leis de proteção de dados enfrentam penalidades severas, dependendo da natureza e gravidade da violação. As penalidades mais comuns são as multas, que podem aumentar quando as violações não são sanadas dentro de prazos específicos.

Por exemplo, a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) estabelece um padrão nacional para proteger os direitos dos pacientes e informações específicas de saúde, conhecidas como informações de saúde protegidas ou PHI. As violações da HIPAA podem resultar em penalidades civis entre US$100 e US$50.000 por violação, e as penalidades criminais incluem multas de até US$250.000 e possível prisão.

Embora as penalidades sejam altas, a perda duradoura da confiança do cliente e a reputação comercial prejudicada por um incidente de segurança podem ser ainda mais graves. Portanto, o cumprimento das leis de proteção de dados vai além da obrigação legal de manter a confiança do cliente e a sustentabilidade dos negócios.

Proteção de dados para terceiros: melhores práticas

Se sua organização lida com dados de terceiros ou trabalha com uma empresa que o faz, há etapas que você pode seguir para garantir a conformidade legal e o tratamento ético dos dados. Essas medidas ajudarão a proteger as informações e manter a conformidade.

Gerenciamento de risco do fornecedor

O gerenciamento de riscos do fornecedor (VRM) é o processo de gerenciamento e monitoramento de riscos de segurança resultantes de fornecedores terceirizados, fornecedores de TI e soluções em nuvem. Os programas VRM, como o UpGuard Vendor Risk, combinam monitoramento contínuo da superfície de ataque de terceiros, avaliações de risco e outras funcionalidades de gerenciamento de risco de terceiros para mitigar as interrupções nos negócios causadas por riscos de segurança de terceiros.

Os VRMs têm práticas específicas que ajudam a identificar a segurança de um terceiro, garantindo que os dados com os quais trabalham também estejam protegidos. Essas práticas incluem

• Seleção de fornecedores e due diligence: uma triagem de segurança abrangente de um potencial fornecedor terceirizado antes de formar uma parceria
• Questionários de avaliação de risco: um conjunto de perguntas destinadas a ajudar uma organização a identificar possíveis pontos fracos de segurança cibernética entre seus fornecedores, parceiros de negócios e provedores de serviços terceirizados e de terceiros
• Requisitos e controles de segurança: métodos de restrição de acesso a dados confidenciais.
• Monitoramento contínuo: monitoramento de controles de segurança da informação, vulnerabilidades e outras ameaças cibernéticas para apoiar as decisões de gerenciamento de riscos organizacionais
• Planos de resposta a incidentes: instruções escritas que descrevem a resposta da sua organização a violações de dados, vazamentos de dados, ataques cibernéticos e incidentes de segurança.
• Auditorias regulares: avalie a eficácia do programa de segurança cibernética de sua organização e certifique-se de implementar ou implementará as medidas necessárias para melhorar sua postura de segurança.

Confira como a plataforma de Risco de Fornecedor da UpGuard pode agilizar o processo de Gerenciamento de Risco de Fornecedor da sua organização >

Estabelecendo tolerância ao risco e requisitos mínimos de segurança

Os terceiros devem estabelecer sua tolerância ao risco e definir requisitos mínimos de segurança antes de lidar com quaisquer dados. Este é um aspecto crítico do processo de gerenciamento de dados e ajuda muito a mostrar sua priorização dos padrões de segurança cibernética.

Depois de realizar uma avaliação de risco, terceiros podem definir seu nível de tolerância ao risco e a quantidade de risco que estão dispostos a aceitar. Isso depende de diferentes fatores, como o tipo de negócio, regulamentações e impacto potencial dos riscos identificados. Um nível de tolerância ao risco determina os requisitos mínimos de segurança que um terceiro deve estabelecer. Esses requisitos mínimos incluem criptografia, ferramentas de controle de acesso e procedimentos de backup/recuperação.

Auditoria e monitoramento regulares

Uma medida de proteção proativa para terceiros é a auditoria e o monitoramento regulares. As organizações utilizam essas auditorias para verificar se suas políticas de proteção de dados são usadas corretamente e identificar quaisquer vulnerabilidades ou lacunas na estratégia de segurança cibernética de uma organização.

O monitoramento contínuo ajuda a lidar com qualquer atividade incomum ou ameaças potenciais antes que causem danos ou uma violação de dados não autorizada. Especialmente quando um terceiro lida com dados confidenciais, identificar uma vulnerabilidade antes que um cibercriminoso se aproveite dela pode salvar sua organização de uma violação de dados potencialmente devastadora.

Saiba como o UpGuard ajuda as organizações a monitorar consistentemente sua superfície de ataque com o BreachSight >

Criptografia e anonimização

A criptografia de dados é o processo de codificação de informações ou dados confidenciais para que apenas partes autorizadas possam acessá-los. Mesmo durante uma violação de dados, os dados criptografados permanecem inúteis sem uma chave de descriptografia. A criptografia é fundamental para terceiros que lidam com dados porque fornece uma camada adicional de segurança.

A anonimização remove ou altera informações identificáveis para que os dados não possam ser rastreados até um indivíduo específico. Essa medida protege a privacidade de um indivíduo, especialmente ao lidar com dados que terceiros usam.

Treinamento de pessoal

Os terceiros que lidam com dados são responsáveis por garantir que sua equipe entenda a importância da segurança dos dados e esteja ciente das políticas e procedimentos para lidar com esses dados com segurança. Um extenso programa de treinamento ajuda os funcionários além das equipes de segurança a aprender sobre medidas básicas de segurança cibernética e como responder a possíveis ameaças cibernéticas.

Quando funcionários terceirizados têm o conhecimento e as habilidades para lidar com os dados adequadamente, as organizações correm um risco muito menor de erro humano, uma causa comum de violações de dados. Reserve um tempo para ajudar sua equipe a aprender sobre tentativas de phishing, práticas recomendadas para gerenciamento de senhas e como denunciar suspeitas de violações de dados.

Protegendo seus dados com um programa de gerenciamento de risco do fornecedor

A proteção começa com a prevenção. Continue lendo para obter uma lista passo a passo para criar um programa sólido de gerenciamento de riscos de fornecedores que proteja seus dados quando usados por terceiros.

Etapas essenciais para construir um programa VRM

1. Identifique e entenda os riscos: revise os dados da sua organização usados por terceiros, onde estão armazenados e como são processados. Analise essas informações para identificar possíveis vulnerabilidades em seus processos atuais.
2. Avalie seus fornecedores: revise os fornecedores existentes e as práticas de segurança de dados da sua organização. Utilize questionários, auditorias ou uma plataforma como o UpGuard Vendor Risk para obter uma linha de base de sua postura de segurança.
3. Estabeleça políticas e procedimentos: Após a revisão, desenvolva uma lista de políticas e procedimentos claros sobre como essa organização lidará com os dados - incluindo requisitos detalhados para acesso, compartilhamento, retenção e descarte de dados.
4. Projete um plano de resposta a incidentes: se ocorrer uma violação de dados, certifique-se de que sua organização esteja pronta para responder em tempo real. Pense e descreva as etapas para identificar e conter a violação, investigar, perceber e prevenir futuras violações.
5. Implemente medidas de segurança: Depois que as políticas estiverem em vigor, implemente essas medidas de segurança e quaisquer outras medidas de segurança técnicas e físicas que protejam os dados usados por terceiros. Essas medidas incluem autenticação multifator, armazenamento seguro de dados, segurança de rede e processos de descarte de dados.
6. Treine sua equipe: treine todos os membros da equipe neste programa de proteção de dados atualizado regularmente. À medida que o programa evolui, atualize sua equipe ao longo do caminho.

Obtenha mais informações sobre como iniciar seu próprio programa VRM >

O UpGuard ajudou centenas de organizações a gerenciar seus programas VRM e proteger dados usados por terceiros. Nossa pesquisa foi apresentada no New York Times, Wall Street Journal, Bloomberg, Washington Post, Forbes, Reuters e Techcrunch.

Minimize o tempo que sua organização gasta no gerenciamento de relacionamentos com terceiros com o UpGuard Vendor Risk. Nossa plataforma tudo-em-um fornece modelos de questionário de fornecedores mapeados para a estrutura de segurança cibernética do NIST e automatiza esses questionários de fornecedores para que você possa monitorar a postura de segurança de seus fornecedores ao longo do tempo.