Proteção de dados sensíveis por meio de anonimização e pseudonimização de dados

Abstract

O presente trabalho traz o conceito de anonimização de dados como abordagem de segurança do banco de dados para empresas atuais, dentro do escopo da atual Lei Geral de Proteção de Dados de 2018, vigorada em setembro de 2020. Para compreensão do texto são abordados os assuntos principais, passando dos conceitos mais simples da Segurança da Informação às bases da Lei Geral de Proteção de dados. O objetivo é gerar de forma concisa, a conscientização de empresas e profissionais de Segurança da Informação. O trabalho analisa estudos de caso de múltiplas empresas, cada qual com seu ramo de atuação no mercado. Explicita as falhas observadas durante a análise. Aponta os riscos que os titulares dos dados passaram a correr após os vazamentos de dados. Também aponta formas confiáveis de anonimização de dados, mitigando riscos e cercando processos de tratamento de dados. Torna seguro e padronizado o ambiente de banco de dados. Conscientiza as empresas a trabalhar de forma mais minimalista possível com os dados, quanto menos dados coletados, tratados e armazenados, mais seguro o ambiente. O resultado do trabalho é a aplicação de dois bancos de dados distintos, uma para login e senha e outro para dados de pesquisa. Em caso de vazamento do primeiro, não há vinculação com demais dados, como endereço, e-mail ou orientação religiosa. Caso o segundo vaze, existe apenas uma abstração dos dados, mesmo que sensíveis, mas sem vinculação a qualquer titular. É apenas material para estatística

The present work brings the concept of anonymization of data as an option of database security for nowadays companies, aligned with the objective of the current law LGPD or (General Data Protection Law) of 2018, which has been active since September of 2020. To understand this text it addresses the main topics, passing from the simplest concepts of Information Security to the bases of the General Data Protection Law. The objective is to generate, in a concise way, the awareness of companies and Information Security professionals. The work analyzes case studies of multiple companies, each with its field of activity in the market. It explains the failures observed during the analysis. It points out the risks that data subjects began to run after data leaks. It also points out reliable ways of data anonymization, mitigating risks and surrounding data processing. Makes the database environment secure and standardized. It makes companies aware to work in the most minimalist way possible with data, the less data collected, processed and stored, the safer the environment. The result of the work is the application of two distinct databases, one for login and password and the other for research data. In case of leakage of the first, there is no link with other data, such as address, e-mail or religious orientation. If the second leaks, there is only an abstraction of the data, even if sensitive, but without any link to any holder. It’s just statistical stuff.