• Like
BIG DATA AND CLOUD FORENSICS
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

BIG DATA AND CLOUD FORENSICS

  • 809 views
Published

Big Data Forensics: Conformidade e melhores práticas para o tratamento de dados e investigação de incidentes. Palestra professor José Milagre - Site: www.josemilagre.com.br - www.direitodigital.adv.br …

Big Data Forensics: Conformidade e melhores práticas para o tratamento de dados e investigação de incidentes. Palestra professor José Milagre - Site: www.josemilagre.com.br - www.direitodigital.adv.br - Twitter: @periciadigital

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
809
On SlideShare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
49
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. BIG DATA FORENSICS Conformidade e melhores práticas para o tratamento de dados e investigação de incidentes José Antonio Milagre Diretor de Forense Digital Legaltechterça-feira, 23 de outubro de 2012
  • 2. Cronograma * Tecnologia e Privacidade * Cloud Computing e Big Data * Atividades de Pentest e Hacking * Investigação Digital * Melhores Práticas * Conformidade * Perspectivas Finais Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 3. Tecnologia e Privacidade “intimidade é o núcleo duro da privacidade, enquanto a vida privada é uma esfera externa, mais abrangente que, entretanto, não se confunde com a esfera pública”(MORI 2011, 38) Leia mais: http://jus.com.br/revista/texto/22809/faltas-nao- relacionadas-ao-trabalho-violacao-a-privacidade-e-intimidade-do- empregado#ixzz2A36ozQUt Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 4. Tecnologia e Privacidade Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 5. Tecnologia e Privacidade A evolução tecnologica impõe desafios para garantir a adequada proteção de dados online. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 6. Tecnologia e Privacidade Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 7. Cloud Computing e Big Data Cloud relativiza completamente as normas de proteção de dados e práticas de investigação digital existentes Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 8. Cloud Computing e Big Data A capacidade de coletar dados em todos os lugares, a partir de interações online e dispositivos, chips RFID, algoritmos de busca , tecnologias baseadas em localização, tem trazido benefícios para Sociedade em geral, porém, aumentam os riscos de violações à privacidade. (Prof. Omer Tene - Centro Berkeley de Direito e Tecnologia) Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 9. Cloud Computing e Big Data Redes Sociais: O combustível do Big Data (Análise de Redes Sociais corresponderá a 45% de todo o gasto anual) Os gastos mundiais com tecnologias de big data — de empresas dos setores da indústria, governo, comércio e de serviços, entre outras — devem totalizar US$ 28 bilhões em 2012. Para o ano que vem, a previsão é que ocorra um incremento de 22%, chegando a US$ 34 bilhões, diz o Gartner. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 10. Cloud Computing e Big Data Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 11. Melhores Práticas Passamos por profundas transformações nas normas e melhores práticas envolvendo proteção de dados e investigação Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 12. Melhores Práticas: Big Data Solução BIG Data Forensics considerará: * Ambiente cultural; * Diligência sobre os dados a coletar (próprios ou de terceiros); * Eventuais autorizações dos proprietários; * Técnicas utilizadas para a coleta; * Após a coleta, como se dará o uso; * Legislação aplicável; * Considerar Big Data em ambientes Cloud pode se caracterizar como “antiforense”. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 13. Melhores Práticas: Cloud Computing Pesquisa CipherCloud % de Organizações - Preocupações 70 53 35 18 Data Security Data Privacy 0 Compliance Data Residency Fonte: http://www.net-security.org/secworld.php?id=13802 Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 14. Melhores Práticas: Cloud Computing Características: * Motor para o crescimento da TI nos próximos 25 anos; * 75% das empresas da TI no Brasil já usam Cloud - Olhar Digital; Riscos: * Acesso indevido a informações; * Vazamento de informações; * Indisponibilização de serviços. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 15. Melhores Práticas: Cloud Computing Cloud Computing: * Segurança de TI se tornando mais “cinza”; * Perda do controle de toda a infra-estrutura; * Revisão dos Acordos de Nível de Serviço; * http://www.ico.gov.uk/; * Poucos julgados a respeito; Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 16. Melhores Práticas: Cloud Computing Investigação de crimes Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 17. Melhores Práticas: Cloud Computing Investigação de crimes Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 18. Melhores Práticas: Cloud Computing Resposta Forense (Cloud Forensics): * Elementos de rastreabilidade gerados (formato, tempo, SaaS, customer não será “first responder”); * Recursos humanos para resposta forense (Acordo com os CSPs); * Cooperação em multi-jurisdição: Plano de Segurança Cloud considerar a “sombra da nuvem”; Exito da resposta forense intimamente ligado com a maturidade da segurança Cloud; * Saber identificar o serviço: VPS, Cloud, VPN, Virtualização * Métricas e níveis de serviços deve incluir melhores práticas em segurança da informação (European Network and Information Security Agency, Association of Chief of Police Officer (ACPO), Investigative Process Model - DIP (DFRS); Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 19. Melhores práticas: Monitoramento Empregador que vasculha as redes sociais. Faltas não relacionadas ao trabalho. Violação à intimidade e privacidade do empregado.  “o comportamento social do empregado deve ser punido pelos desvios que, no ambiente da empresa ou repercutindo imediata e diretamente nas suas relações com o empregador, possam causar dano à entidade patronal, ao seu ambiente de trabalho, aos colegas de serviço ou aos clientes.” (SOUZA 1997, 294-295) Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 20. Melhores práticas: Monitoramento Empregador que vasculha as redes sociais. “JUSTA CAUSA - ENVOLVIMENTO DO EMPREGADO EM BRIGA FORA DO AMBIENTE DE TRABALHO, E SEM QUALQUER PREJUÍZO AO EXERCÍCIO DE SUAS FUNÇÕES - VIOLAÇÃO DO ART. 482, -B- E -E-, DA CLT - NÃO-CARACTERIZAÇÃO. Havendo o v. acórdão do Regional consignado que não houve registro de nenhuma conduta indisciplinar ou irregular do reclamante durante quase três anos (de agosto de 1996 até 19 de abril de 1999); que a briga na qual o reclamante se envolveu ocorreu fora do local e do horário de trabalho; que não houve repercussão no âmbito da empresa; que nada teve a ver com o exercício das funções; e que a prisão em flagrante, ocorrida quando da referida briga, se deu por porte ilegal de arma de fogo, impossível cogitar-se de caracterização de justa causa por incontinência de conduta ou mau procedimento (alínea b do art. 482 da CLT) ou desídia (alínea e), que somente dizem respeito a fatos ocorridos no ambiente de trabalho, ou seja, à conduta do empregado nessa condição, dentro do espaço físico onde se presta o trabalho ou em prejuízo do serviço ou da integridade do empregador como tal.Agravo de instrumento não provido.” (grifos nossos) Leia mais: http://jus.com.br/revista/texto/22809/faltas-nao-relacionadas-ao-trabalho-violacao-a-privacidade- e-intimidade-do-empregado#ixzz2A3DNFAKL Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 21. Melhores práticas: Monitoramento Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 22. Melhores práticas: BYOD Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 23. Melhores práticas: BYOD CLT: Art. 6o Não se distingue entre o trabalho realizado no estabelecimento do empregador, o executado no domicílio do empregado e o realizado a distância, desde que estejam caracterizados os pressupostos da relação de emprego.  (Redação dada pela Lei nº 12.551, de 2011) Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 24. Melhores práticas: BYOD An upcoming Trend Micro study* into mobile consumerisation trends finds that nearly half of companies have experienced a data breach as a result of an employee owned device accessing the corporate network. When the stakes are this high, IT needs to know which platforms to allow and which to refuse. (http://consumerization.trendmicro.com/ consumerization-byod-jailbreak-apple-control- enterprise-primetime/) Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 25. Melhores práticas: BYOD Política BYOD: Pontos omissos: * Direito de apagar dados; * Suprimir dados pessoais; * Instalar aplicações; * Auditar histórico de navegação * Monitorar utilização. * Acesso a informações pessoais identificáveis A EMPRESA NÃO É PROPRIETÁRIA DO ATIVO RISCO TRABALHISTA. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 26. Melhores práticas: BYOD Riscos Futuros: Soluções: * Propriedade intelectual; * Revisão de Políticas/Controle riscos; * Vazamento dados pessoais; * Solução de Segurança BYOD/VM; * Vazamento dados corporativos; * Forense Digital externa; * Demandas cíveis e trabalhistas * Aderência a conformidade de normas (sobreaviso/jornada); de proteção à privacidade. * Responsabilidade civil e criminal por atos praticados. NÃO HÁ JURISPRUDÊNCIA. RISCO TRABALHISTA. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 27. Melhores práticas: BYOD http://blog.allstream.com/5-byod-legal-risks-it-departments-cant-ignore/ User authentication Due dilligence Remote Wipping Surveillence e-Discovery Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 28. Melhores práticas: BYOD Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 29. Melhores práticas: BYOD Prever em política não apenas a possibilidade de monitoramento, mas de inspeção. Técnicas anti-forense devem ser desencorajadas e bloqueadas no preparo do sistema do proprietário. FORENSE DIGITAL: Preventiva! Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 30. Investigação Digital As ferramentas da rede social recorrem a fatores como amigos mútuos, interação no passado, distância e diferenças de idade numa tentativa de tentar combater, por exemplo, atividades pedófilas. Ler mais: http:// exameinformatica.sapo.pt/ noticias/internet/2012/07/13/ privacidade-facebook- monitoriza-conversas-a-procura- de-criminosos#ixzz2A3IZKGKX Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 31. Investigação Digital: Big Data Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 32. Investigação Digital: Big Data Em ambiente forense posso estimar: * Vazamento de dados funcionários; * Vulnerabilidades mais exploradas; * Ativos mais propensos a ataques; * Níveis de risco para determinadas áreas da TI; * Possíveis ataques programados; * Antecipar crimes? (Controle Absoluto, Minority Report) Solução: Equilíbrio. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 33. Investigação Digital: Big Data * Informações subjacentes de dados em fontes públicas: EUA v Maynard, 615 F.3d 544, 555 (DC Cir. 2010) O Federal Bureau of Investigation ("FBI") instalou um dispositivo de rastreamento GPS no carro de Antoine Jones enquanto ele estava estacionado em via pública. O FBI então usou o dispositivo para rastrear os movimentos de seu veículo de forma contínua por um mês. Foi identificado que Jones distribuia cocaína, prova que foi parcialmente baseada em dados do dispositivo GPS de localização. O D.C. Corte de Apelações apreciou o caso United States v Maynard, 615 F.3d 544 (DC Cir. 2010). O Tribunal considerou que o rastreamento GPS “sem mandado” foi uma busca e violou a Quarta Emenda. * Mudanças de tecnologia importam em mudança da expectativa de privacidade; Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 34. Investigação Digital: Big Data Ao mesmo tempo que favorece a investigação se mal estruturada a coleta de massa critica pode ser considerada ilícita. Do mesmo modo, o grande volume de dados produzidos por devices, em segurança da informação, pode comprometer a análise. BigData está relacionado a maior propensão ao vazamento de algo. Custo do e-discovery fica minúsculo diante dos riscos associados. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 35. Investigação Digital: Cloud Computing Arquivos armazenados nas nuvens por muito tempo: Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 36. Investigação Digital: Cloud Computing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egaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 37. Investigação Digital: Cloud Computing Premissas: * Dados espalhados demandam compromisso contratual; * Nuvem privada, comunidade, pública, híbrida (imagem.dd/raw); * Modelo de serviços: SaaS (WebClient), PaaS (API), IaaS (cessão de recursos) - Coleta influenciada completamente; Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 38. Investigação Digital: Cloud Computing Nuvem como técnica anti-forense Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 39. Atividades de Pentest e Hacking Controle! Muito se questiona sobre a quantidade de campos em logs, diante da possível violação privacidade, mas se esquecem que eles podem elucidar uma grave violação à privacidade. “Se ao caminhar pelas ruas, uma pessoa avistar que os cordões de seus sapatos estão desamarrados, ser-lhe-á devido um agradecimento ou uma censura por se intrometer em sua vida, em sua privacidade? Caso lhe comuniquem que um certo restaurant já provocou intoxicações sérias em diversos incautos que experimentaram suas especialidades, julgaria prudente ir lá e fazer uma refeição e se arriscar a uma desagradável e involuntária ginástica para seus intestinos?” (Amaro Moraes e Silva Neto, Privacidade na Internet, EDIPRO, 2001) Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 40. Atividades de Pentest e Hacking Controle! “Pois bem, no ciberespaço, assim como no Mundo Físico, também existem boas almas que nos alertam sobre os perigos que enfrentamos neste recanto não espacial: são os hackers (e, em algumas vezes, até mesmo os cracckers). São eles que nos sinalizam quanto a similares riscos neste Mundo que não podemos pegar, porque verificaram as debilidades e fragilidades do sistema que os suporta” (Amaro Moraes e Silva Neto, Privacidade na Internet, EDIPRO, 2001) Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 41. Investigação Digital Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 42. Conformidade: Diretiva 95/46/EU •  E-Privacy Directive – 2002/58 - amended by Directive 2009/136 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do? uri=CELEX:32002L0058:EN:NOT •  Data Protection Directive 1995/46 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do? uri=CELEX:31995L0046:EN:HTML •  Canadian PIPEDA Act http://laws.justice.gc.ca/eng/P-8.6/ •  USA ECPA (Wiretap e Storage)– Caso Lane x Facebook http://en.wikipedia.org/wiki/Lane_v._Facebook,_Inc. •  Patriot Act 2011 •  UK Data Protection Act http://www.legislation.gov.uk/ukpga/1998/29/contents Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 43. Conformidade: Diretiva 95/46/EU Não atende mais as necessidades dos cidadãos: 2012: Comissão Européia - Apresentados textos das propostas para: a) Regulamento Geral de Privacidade; b) Diretiva de Privacidade no Âmbito penal e de Investigação Criminal; Dentre as características: a) Sem necessidade de ação legislativa dos parlamentos nacionais; b) Aplicável à empresas que não estão sediadas na EU, mas que oferecem bens ou serviços a países da União. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 44. Conformidade: Brasil * Marco Civil da Internet Brasileira (Eleva a princípio em seu artigo terceiro a proteção à privacidade e a proteção a dados pessoais) http://www.camar a.gov.br/proposicoesWeb/ prop_mostrarintegra;jsessionid=5D6476842878EB901E806B1C234528E2.nod e2?codteor=912989&filename=PL+2126/2011 * AnteProjeto de Lei de Proteção de Dados Pessoais http://culturadigital.br/dadospessoais/debata-a-norma/ * PL 84/1999, PL 2793/2011, PLS 236/2012 Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 45. assegurados osendereço IP. determinado seguintes direitos: Conformidade: Brasil > Marco Civil I -Art.inviolabilidade e ao sigilo de suasserão levados em conta, além dos à 6o Na interpretação desta Lei, comunicações pela Internet, salvo por ordem judicial, nas hipótesesobjetivos previstos,lei estabelecer para fins de investigação criminal fundamentos, princípios e e na forma que a a natureza da Internet, seus usos e costumes ouparticulares e sua importância para a promoção do desenvolvimento humano, econômico, social instrução processual penal; e cultural. II - à não suspensão da conexão à Internet, salvo por débito diretamente decorrente de sua utilização; CAPÍTULO II DOS DIREITOS E GARANTIAS DOS USUÁRIOS III - à manutenção da qualidade contratada da conexão à Internet, observado o Art. o disposto no art. 9o; 7 O acesso à Internet é essencial ao exercício da cidadania e ao usuário são assegurados os seguintes direitos: IV - a informações claras e completas constantes dos contratos de prestação de serviços, com previsão expressa sobre o regime suas proteção aos seus Internet, salvo por I - à inviolabilidade e ao sigilo de de comunicações pela dados pessoais, aos registros judicial, nas e aos registrosforma que aalei estabelecer para fins de investigação criminal ordem de conexão hipóteses e na de acesso aplicações de Internet, bem como sobre práticas de ou instrução processual penal; gerenciamento da rede que possam afetar a qualidade dos serviços oferecidos; e VII - utilização; - ao não fornecimento a conexão à Internet, salvo de conexão e de acesso a decorrente de sua à não suspensão da terceiros de seus registros por débito diretamente aplicações de Internet, salvo mediante consentimento ou nas hipóteses previstas em lei. III - à manutenção da qualidade contratada da conexão à Internet, observado o Art. o8o A garantia do direito à privacidade e à liberdade de expressão nas disposto no art. 9 ; comunicações é condição para o pleno exercício do direito de acesso à Internet. IV - a informações claras e completas constantes dos contratos de prestação de serviços, com previsão expressa sobreCAPÍTULO IIIproteção aos seus dados pessoais, aos o regime de registros de conexão e aos registros de acesso E DE APLICAÇÕES DE INTERNET práticas DA PROVISÃO DE CONEXÃO a aplicações de Internet, bem como sobre de gerenciamento da rede que possam afetar a qualidade dos serviços oferecidos; e Seção I V - ao não fornecimento Tráfego de Dados registros de conexão e de acesso a Do a terceiros de seus aplicações de Internet, salvo mediante consentimento ou nas hipóteses previstas em lei. Art. 9o oO responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma Art. 8 A garantia do pacotes de privacidade edistinção Legaltech Consultoria e Treinamentoe isonômica quaisquer direito à dados, sem à liberdade de expressão nas Ltda. por conteúdo, origem destino, serviço,éterminal ou aplicativo,exercício do direito de acesso à Internet. ou degradação do comunicações condição para o pleno sendo vedada qualquer discriminaçãoterça-feira, 23 de outubro de 2012
  • 46. aplicações de Internet, salvo mediante consentimento ou nas hipóteses previstas em lei. Conformidade: Brasil > Marco Civil Art. 8o A garantia do direito à privacidade e à liberdade de expressão nas comunicações é condição para o pleno exercício do direito de acesso à Internet. CAPÍTULO III DA PROVISÃO DE CONEXÃO E DE APLICAÇÕES DE INTERNET Seção I Do Tráfego de Dados Art. 9o O responsável pela transmissão, comutação ou roteamento tem o dever de tratar de forma isonômica quaisquer pacotes de dados, sem distinção por conteúdo, origem e destino, serviço, terminal ou aplicativo, sendo vedada qualquer discriminação ou degradação do tráfego que não decorra de requisitos técnicos necessários à prestação adequada dos serviços, 4 conforme regulamentação. ! Parágrafo único. Na provisão de conexão à Internet, onerosa ou gratuita, é vedado monitorar, filtrar, analisar ou fiscalizar o conteúdo dos pacotes de dados, ressalvadas as hipóteses admitidas em lei. Seção I I Da Guarda de Registros Art. 10. A guarda e a disponibilização dos registros de conexão e de acesso a aplicações de Internet de que trata esta Lei devem atender à preservação da intimidade, vida privada, honra e imagem das partes direta ou indiretamente envolvidas. § 1o O provedor responsável pela guarda somente será obrigado a disponibilizar as informações que permitam a identificação do usuário mediante ordem judicial, na forma do disposto na Seção IV deste Capítulo. § 2o As medidas e procedimentos de segurança e sigiloLegaltech Consultoria e Treinamento Ltda. devem ser informadosterça-feira, 23 de outubro de 2012
  • 47. Conformidade: Brasil > Marco Civil Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 48. disposto na Seção IV deste Capítulo. Conformidade: Brasil > Marco Civil § 2o As medidas e procedimentos de segurança e sigilo devem ser informados pelo responsável pela provisão de serviços de conexão de forma clara e atender a padrões definidos em regulamento. § 3o A violação do dever de sigilo previsto no caput sujeita o infrator às sanções cíveis, criminais e administrativas previstas em lei. Subseção I Da Guarda de Registros de Conexão Art. 11. Na provisão de conexão à Internet, cabe ao administrador do sistema autônomo respectivo o dever de manter os registros de conexão, sob sigilo, em ambiente controlado e de segurança, pelo prazo de um ano, nos termos do regulamento. § 1o A responsabilidade pela manutenção dos registros de conexão não poderá ser transferida a terceiros. § 2o A autoridade policial ou administrativa poderá requerer cautelarmente a guarda de registros de conexão por prazo superior ao previsto no caput. § 3o Na hipótese do § 2o, a autoridade requerente terá o prazo de sessenta dias, contados a partir do requerimento, para ingressar com o pedido de autorização judicial de acesso aos registros previstos no caput. § 4o O provedor responsável pela guarda dos registros deverá manter sigilo em relação ao requerimento previsto no § 2o, que perderá sua eficácia caso o pedido de autorização judicial seja indeferido ou não tenha sido impetrado no prazo previsto no § 3o. Subseção I I Da Guarda de Registros de Acesso a Aplicações de I nternet Art. 12. Na provisão de conexão, onerosa ou gratuita, éLegaltech Consultoria e Treinamento Ltda. vedado guardar os registros de acesso a aplicações de Internet.terça-feira, 23 de outubro de 2012
  • 49. Conformidade: Brasil > Marco Civil Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 50. somente poderá ser responsabilizado por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito do seu serviço e Conformidade: Brasil > Marco Civil dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente. Parágrafo único. A ordem judicial de que trata o caput deverá conter, sob pena de nulidade, identificação clara e específica do conteúdo apontado como infringente, que 5 permita a localização inequívoca do material. ! Art. 16. Sempre que tiver informações de contato do usuário diretamente responsável pelo conteúdo a que se de aplicações o Internet provedor de aplicações de Internet Art. 13. Na provisão refere o art. 15, caberá ao é facultado guardar os registros de de acesso dos usuários, respeitado o disposto nojudicial. informar-lhe sobre o cumprimento da ordem art. 7 . § 1o A opção por não guardar os registros de acesso a aplicações de Internet não Seção I V implica responsabilidade sobre danos decorrentes do uso desses serviços por terceiros. Da Requisição Judicial de Registros § 2o Ordem judicial poderá obrigar, porcom o propósitoguarda de registros de Art. 17. A parte interessada poderá, tempo certo, a de formar conjunto acesso a aplicações de Internet, desde ou penal, em caráter incidental ou autônomo, requerer em probatório em processo judicial cível que se tratem de registros relativos a fatos específicos ao período determinado,responsávelfornecimento dasfornecimento submetido aode conexão ou de juiz que ordene ao ficando o pela guarda o informações de registros disposto na Seção IV deste Capítulo. a aplicações de Internet. registros de acesso § 3o Observado o Sem prejuízo 2dos autoridade policial ou administrativa poderá o Parágrafo único. disposto no § , a demais requisitos legais, o requerimento requerer cautelarmente de inadmissibilidade: deverá conter, sob pena a guarda dos registros de aplicações de Internet, observados o procedimento e os prazos previstos nos §§ 3o e 4o do art. 11. I - fundados indícios da ocorrência do ilícito; Seção I I I Da Responsabilidade por Danos Decorrentes dedos registros solicitados para fins de II - justificativa motivada da utilidade Conteúdo Gerado por Terceiros investigação ou instrução probatória; e Art. 14. O provedor de conexão à Internet não será responsabilizado por danos decorrentes de conteúdo gerado por terceiros. Art. 15. Salvo disposição legal em contrário, o provedor de aplicações de Internet somente poderá ser responsabilizado por danos decorrentes de conteúdo Legaltech Consultoria e Treinamento Ltda. gerado por terceiros se,terça-feira, 23 de outubro de 2012 específica, não tomar as providências para, no âmbito do seu serviço e após ordem judicial
  • 51. Conformidade: Brasil > Marco Civil Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 52. Conformidade: Brasil > Dados Pessoais Tratamento de dados pessoais: toda operação ou conjunto de operações, realizadas com ou sem o auxílio de meios automatizados, que permita a coleta, a r m a ze n a m e n t o, o r d e n a m e n t o, c o n s e r v a ç ã o, modificação, comparação, avaliação, organização, seleção, extração, utilização, bloqueio e cancelamento de dados pessoais, bem como o seu fornecimento a terceiros por meio de transferência, comunicação ou interconexão; Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 53. Conformidade: Brasil > Dados Pessoais Dado pessoal: qualquer informação relativa a uma pessoa identificada ou identificável, direta ou indiretamente, incluindo todo endereço ou número de identificação de um terminal utilizado para conexão a uma rede de computadores; Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 54. Conformidade: Brasil > Dados Pessoais Art. 6. O tratamento de dados pessoais é atividade de risco e todo aquele que, por meio do tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, é obrigado a ressarci-lo, nos termos da lei. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 55. Conformidade: Brasil > Dados Pessoais Art. 24. Um conjunto de medidas mínimas de segurança preventiva será publicado pela Autoridade de Garantia dentro de, no máximo, um ano após a entrada em vigor da presente lei, e atualizado periodicamente, com base na evolução da tecnologia e na experiência adquirida. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 56. Conformidade: Brasil > Dados Pessoais subcontratado: a pessoa jurídica contratada pelo responsável pelo banco de dados como encarregado do tratamento de dados pessoais; Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 57. Conformidade: Brasil > Dados Pessoais Ar t. 25. O subcontratado deve ter experiência, capacidade e idoneidade para garantir o respeito às disposições vigentes em matéria de tratamento de dados pessoais, e responderá solidariamente com o responsável pelos prejuízos causados pela sua atividade aos titulares dos dados. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 58. Conformidade: Brasil > Dados Pessoais Ar t. 27. O responsável pelo tratamento deverá comunicar à Autoridade de Garantia e aos titulares dos dados, imediatamente, sobre o acesso indevido, perda ou difusão acidental, seja total ou parcial, de dados pessoais, sempre que este acesso, perda ou difusão acarretem riscos à privacidade dos seus titulares. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 59. Conformidade: Brasil > Dados Pessoais Proteção de dados pessoais (Art. 8o.) Princípio da finalidade Princípio da necessidade Princípio do livre acesso Princípio da porporcionalidade Princípio da qualidade dos dados Princípio da transparência Princípio da segurança física e lógica Princípio da boa-fé objetiva Princípio da responsabilidade Princípio da prevenção Princípio do “consentimento revogável ou anulável” art. 9o Princípio da vedação da captura capciosa Princípio da proibição da interconexão não autorizada Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 60. Perspectivas Finais: Legislação Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 61. Perspectivas Finais: Legislação Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 62. Perspectivas Finais: Legislação 08%1#.&);"2&#1.5#+)<==>?@A) B%4#(#+)?)93,.*5:) !"#$%&#%()*+,)-../#/).$) 0%1",#/)-+2#&%)3%4#1%()#) 56%)75%,8,#(%)93,.*5:) Recommendations of the National Institute of Standards and Technology Legaltech Consultoria e Treinamento Ltda. Murugiah Souppayaterça-feira, 23 de outubro de 2012
  • 63. Perspectivas Finais: Regulação Privacy Office. Art. 34. Toda entidade privada que realize o tratamento de dados pessoais para o desenvolvimento de suas atividades e conte com mais de duzentos empregados deverá apontar um diretor responsável pelo tratamento de dados pessoais. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 64. Perspectivas Finais: Boas práticas Código de Boas Práticas (Prever a Forense Digital) Art. 45. Os responsáveis pelo tratamento de dados pessoais, individualmente ou através de organizações de classe, poderão formular códigos de boas práticas que estabeleçam as condições de organização, regime de funcionamento, procedimentos aplicáveis, normas de segurança, padrões técnicos, obrigações específicas para os diversos envolvidos no tratamento e no uso de dados pessoais e demais quesitos e garantias para as pessoas, com pleno respeito aos princípios e disposições da presente lei e demais normas referentes à proteção de dados. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 65. Perspectivas Finais: Crimes Novo Código Penal: Art. 209 - Acesso Indevido - Prisão seis meses a um ano, ou multa. Art. 210 - Sabotagem Informática - Prisão de um a dois anos. Art. 211 - Procede-se mediante queixa. Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 66. Perspectivas Finais: Por onde começar? White Paper: Big Data Solutions For Law Enforcement http://ctolabs.com/wp-content/uploads/ 2012/06/120627HadoopForLawEnforcement.pdf ECPA Modernization http://www.wired.com/images_blogs/threatlevel/2012/08/ ECPA-Modernization-Act-of-2012.pdf ECPA 2.0 http://thomas.loc.gov/cgi-bin/bdquery/z?d112:h.r. 6529: Cloud Computing: Legal Issues http://www.isaca.org/Groups/Professional-English/cloud- computing/GroupDocuments/DLA_Cloud%20computing %20legal%20issues.pdf Legaltech Consultoria e Treinamento Ltda.terça-feira, 23 de outubro de 2012
  • 67. Perspectivas Finais: Por onde começar? •  Standards –  ISO 17799 + ITIL –  ISO 22307 (PIA) –  ISO 27000 (minimum privilege) •  Pratices –  HIPAA –  NIST 800-144 (Guidelines on Security and Priacy in Public Cloud Computing) –  NIST 800-53(Security and Privacy Controls for Federal Information Systems and Organizations) –  CSA Guideline Guide to Integrating Forensic Techniques into Incident Response http://csrc.nist.gov/publications/ nistpubs/800-86/SP800-86.pdf Consultoria e Treinamento Ltda. Legaltechterça-feira, 23 de outubro de 2012
  • 68. OBRIGADO Big Data Forensics: Conformidade e melhores práticas para o tratamento de dados e investigação de incidentes José Antonio Milagre Diretor de Forense Digital jose.milagre@legaltech.com.br Twitter: @periciadigital Legaltechterça-feira, 23 de outubro de 2012