VFTP-SSH e o Compliance ao LGPD - Lei Geral de Proteção de Dados pessoais
A transferência de arquivos pode caracterizar uma atividade de alto risco no atendimento às novas exigências para a proteção de dados pessoais, conforme abordado em
Por esses princípios, consideramos que os riscos de segurança/conformidade no ambiente FTP padrão do z/OS ocorrem na ausência de:
<> criptografia: nas transferências sem suporte ao SFTP, as transmissões de arquivos serão em texto puro (não criptografadas) e vulneráveis a violações por meio de diversas tecnologias simples. A exposição de dados pessoais será uma grave violação a LGPD.
<> automação: os requisitos de transferência de arquivos repetitiva aumentam a complexidade dos processos na maioria dos ambientes FTP, expondo as empresas ao risco de erro humano e perda de dados. A automação de fluxos de transferência de arquivos fornece um mecanismo de governança, que facilita a mitigação do risco de perda de dados e das penalidades pela ausência de conformidade.
<> visibilidade: servidores FTP não possuem a visibilidade e o registro necessários e adequados à conformidade da LGPD. Os logs devem ser invioláveis e auditáveis quando um arquivo for transferido, recebido corretamente e se foi descartado ou não, posteriormente.
<> escala: a equipe de TI desenvolve scripts para automatizar as atividades de transferência de arquivos. À medida que suas necessidades crescem, aumenta a complexidade da manutenção desses scripts, o que pode introduzir brechas de segurança indesejáveis.
Quais são os riscos?
Sob a perspectiva da segurança, os dados trafegados são dados em risco, pois são vulneráveis às seguintes condições: interceptação e roubo, acesso não autorizado, entregas a um destinatário não intencional ou falhas no manuseio, quando processado no destino.
Cenários:
-
Arquivos de dados enviados via FTP padrão não são criptografados e raramente são descartados, quando se tornam desnecessários;
-
O modo FTP anônimo, patches de segurança desatualizados e outras vulnerabilidades, como controle descentralizado sobre permissões, expõem credenciais de usuários, facilitando o acesso de hackers;
-
Usuários de desktop podem enviar dados pessoais por meios não seguros, como e-mail ou serviços de compartilhamento de arquivos em nuvem;
-
Ausência de trilhas de auditoria criam brechas para transferências não autorizadas ou falhas.
Até aqui, elencamos elementos de total atenção quanto as transferências externas de arquivos de dados pessoais, na preparação para aderência a LGPD, mas...
O que a Workers Informática oferece ao mercado brasileiro no atendimento a LGPD, em especial, no uso do FTP seguro no ambiente z/OS?
A solução VFTP-SSH da SDS provê o FTP seguro no z/OS e outras plataformas, o que pode ajudar no processo de aderência com os padrões regulamentares atuais, como a LGPD.
Entendemos ser altamente recomendável planejar, com antecedência, o atendimento aos requisitos de conformidade da nova lei, o que irá garantir um aprimoramento da segurança geral do ambiente, redução das ameaças de violação, evitando sanções severas e a exposição da empresa e custos comerciais encadeados.
O atua no ambiente z/OS protegendo o tráfego FTP, gerenciando, autenticando, automatizando e criptografando o tráfego sem alterações na JCL.
Isso com uma completa trilha de auditoria em conformidade com os regulamentos atuais.
Todo o tráfego FTP pode ser convertido dinamicamente para SFTP ou redirecionado via ‘túnel’ SSH, incluindo o suporte nativo ao SFTP, SSH e FTPS.
O gerenciamento se dá através de uma interface web, fornecendo em tempo real a visibilidade ponta a ponta, em detalhes, do tráfego FTP.
O VFTP-SSH atua em conformidade com a SAF (RACF, ACF2 e Top Secret), checa a integridade dos arquivos transferidos e pode automatizar jobs e transferências via FCL (FTP Control Language).
O VFTP-SSH é uma solução de FTP seguro com melhor usabilidade, integração SAF e criptografia e tudo em conformidade com as políticas de segurança do mercado.