Page 72

INSIGHTS

Helsen Rossi Arquiteto de Soluções na SEC4YOU

Como o Open Authentication beneficia os usuários e se relaciona com a LGPD? Todo usuário de internet se conecta a diversas redes sociais e sites durante a navegação e, para isso, utiliza credenciais de acesso (identificação e senha). Além, claro, de precisar realizar novos cadastros em cada novo app que queira se conectar. Mas existe um mecanismo que simplifica esse processo: Open Authentication ou OAuth. OAuth é um padrão aberto para autorização, atualmente está na sua versão 2.0, e permite que usuários se conectem em sites de terceiros por meio de suas contas do Google, Facebook, etc. Atualmente, podemos citar algumas das principais bases de usuários que utilizam este padrão, são Facebook, Google, LinkedIn e WeChat e atuam como Authorization Servers (provedores de identidade). Juntas, detém a maior base de usuários do planeta! Tais redes armazenam as informações do usuário e os conectam em outros sites sem que o usuário precise preencher tudo de novo. Dessa forma, utiliza-se apenas um login e uma senha para conexões em diferentes

72

INFORMATION MANAGEMENT | 2019

aplicativos e o usuário pode escolher quais dados são compartilhados com os aplicativos, podendo cancelar o compartilhamento das informações com estes aplicativos através de um painel de controle oferecido pelos provedores de identidade. Onde fica a Lei Geral de Proteção de Dados nesse contexto?

O passo após o consentimento está no tratamento dos dados, ou seja, qual a garantia de que os aplicativos irão armazenar de forma correta as informações que foram solicitadas no Onboard do usuário e como o DPO (Data Protection Officer) vai controlar isso? Nesse sentido, falamos em governança do consentimento! Esse procedimento busca responder:

Na Europa, um dos padrões tecnológicos utilizados para atender a GDPR é o OAuth aplicado juntamente com OpenID Connect. Isso é, a decisão de compartilhar ou não os dados ficam com o usuário. Por exemplo, um aplicativo permite que o usuário se conecte com a conta do Google. Então o Google informa ao usuário que tal aplicativo deseja acessar alguns dados como nome, e-mail e telefone. Se o usuário permitir, poderá acessar o aplicativo e seu aceite fica registrado sendo o “consentimento”. Onde entra a Governança desse consentimento e a segurança dos dados?

que processo de negócio continua utilizando os dados do usuário; período de vigência do consentimento; se deve ou não expirar, por alguma demanda legal. As funcionalidades do OAuth mencionadas não se resumem nas linhas acima, mas nos permitem fomentar a respeito da tradicional disciplina de Segurança da Informação e seus desdobramentos atuais como a Lei Geral de Proteção de Dados sendo peça importante na estratégia apoiando a Governança da Privacidade.

www.informationmanagement.com.br

Profile for Editora Guia

Revista IIMA 85  

Revista IIMA 85