O Pentest é essencial para validar a segurança das fases de processamento exigidas pela Lei Geral de Proteção de Dados Pessoais (LGPD). Ou seja, ele checa a segurança dos processos de coleta, armazenamento, processamento e destruição ou descarte de dados pessoais.
Empresas que buscam segurança no tratamento de dados pessoais utilizam o Pentest neste processo da LGPD. Porém, independente da LGPD, o Pentest é recomendado para todas as empresas que queiram ter mais segurança em seus processos internos. Pois ele previne vazamento de dados, inclusive dos clientes da empresa. Isto ajuda a evitar perda de credibilidade da empresa no mercado, além prevenir ações judiciais, multas ou demais transtornos que podem ocorrer.
Sobre a LGPD
A Lei Geral de Proteção de Dados (LGPD) dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado. Sancionada em agosto de 2018, Lei 13.709 (LGPD) objetiva proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Ou seja, a LGPD busca garantir a segurança de dados pessoais, respeitando a liberdade individual e a privacidade de cada pessoa, física ou jurídica. Para as empresas a lei determina como as empresas deverão coletar, armazenar, processar e destruir os dados pessoais coletados.
O uso do Pentest para validar a LGPD
Popularmente conhecido como teste de intrusão, o Pentest realiza testes em todos os processos que envolvem a aplicação da LGPD em uma empresa e os valida. Realizar uma análise de Pentest ajuda as empresas a medirem a sua maturidade e entenderem onde estão as possíveis falhas e brechas de insegurança em seus aplicativos, sistema e infraestrutura digital, de forma geral.
Com o teste de intrusão é possível saber se os dados da empresa estão realmente seguros ou não. O profissional pentester utiliza diversas técnicas para colocar à prova cada uma das etapas do processamento de dados. Entre os principais questionamentos feitos durante a análise estão: será que é possível obter informações dos formulários de cadastro? Existe a possibilidade de acessar o banco de dados da empresa de forma não autorizada? É possível entrar no meio de comunicação do usuário e da empresa e capturar todos os seus dados?
O Pentest utiliza-se da visão de um cibercriminoso mal intencionado para mostrar à empresa as possíveis falhas e brechas que possam deixar o sistema inseguro, dentro de todos os processos. Portanto, o Pentest é um passo importante na etapa de Assessment da LGPD. Pois, durante o mapeamento completo da estrutura, considera-se não apenas os processos, mas os ambientes, sistemas, incidentes, problemas e pessoas. Desta forma, o assessment de TI poderá surgerir os planos de melhorias para otimização de processos ou redução de custos, sem precisar abrir mão da segurança.