2018/03/28

GDPR obriga passwords de 9 caracteres em Portugal e backups offsite


Já foi publicado em Diário da República algumas das obrigatoriedades a nível técnico que terão que ser cumpridas em Portugal a propósito do novo Regulamento Geral de Protecção de Dados - RGPD / GDPR e encontram-se por lá algumas coisas curiosas.

A Resolução do Conselho de Ministros n.o 41/2018 especifica um conjunto de medidas a seguir, umas de carácter obrigatório, outras como recomendação, que deverão ser tomadas em consideração pelos developers.

Para começar, e fazendo total sentido nos dias que correm, passa a ser obrigatório a utilização de comunicações seguras a todos os níveis: interface, app (referindo-se a toda a parte operacional) e bases de dados. Isto é algo que qualquer app ou serviço já deveria fazer por sua própria iniciativa, mas que assim passa a ter que ser feita, obrigatoriamente.

A nível das passwords, a obrigatoriedade de usar passwords seguras vai ao ponto de especificar em detalhe o que deverá ser exigido:
"... a palavra-passe deve ter no mínimo 9 caracteres (13 caracteres para utilizadores com acesso privilegiado) e ser complexa. A sua composição deverá exigir a inclusão de 3 dos 4 seguintes conjuntos de caracteres: letras minúsculas (a...z), letras maiúsculas (A...Z), números (0...9) e caracteres especiais (~ ! @ # $ % ^ & * ( ) _ + | ` - = \ { } [ ] : “ ; ‘ < > ? , . /). Poderá, em alternativa, ser constituída por frases ou excertos de texto longo conhecidos pelo utilizador, sem caracter de «espaço»."
... Parece-me curioso que façam tantas exigências e depois no final digam que não se pode utilizar o "espaço", mas pronto... confirma-se que preferem apostar na "quantidade" em vez da "qualidade". Não é feita nenhuma referência quanto a desincentivar a utilização de passwords do estilo "Abc123456" ou "Aaaaaaaa1", o que também deveria ter sido, no mínimo, recomendado.

O que é recomendado é que se utilize um sistema de autenticação 2-factor, que passa a ser obrigatório para os administradores.


Garantir que os dados não desaparecem é outra das preocupações, passando a ser obrigatória a existência de backups online e offsite.
Devem existir dois tipos de backups (online e offsite), que devem obedecer aos mesmos requisitos de segurança definidos para os sistemas produtivos.
Os backups offsite devem ser guardados numa localização que não esteja exposta aos mesmos riscos exteriores da localização original, podendo ser da organização mas geograficamente distinta e/ou afastada.

Estes são apenas alguns dos pontos que me pareceram mais marcantes numa primeira leitura rápida destas novas exigências por conta do RGPD... mas certamente existirão outros; podem deixar nos comentários aqueles que acharem pertinentes. :)

9 comentários:

  1. Para entidades da Administração ou relacionadas com a mesma.

    ResponderEliminar
  2. Isso significa que para o "privado" as regras mantém-se às do Regulamento (UE) 2016/679. Certo???

    ResponderEliminar
  3. Este parece um título no melhor exemplo de click-bait !

    O GDPR não especifica coisa nenhuma, nem impõe regras, o que aqui se apresenta é um conjunto de recomendações e práticas a seguir pela administração pública. No "privado" cada um define o que considerar mais de acordo com a sua situação...

    ResponderEliminar
    Respostas
    1. Pedro, não leves a mal, mas acho que neste caso ainda se trata de português que não deixa margens para dúvidas:
      "Nos termos da alínea g) do artigo 199.º da Constituição,
      o Conselho de Ministros resolve:
      1 — Aprovar os requisitos técnicos mínimos das redes e
      sistemas de informação que são exigidos ou recomendados..."

      Sendo que os pontos que referi estão classificados como "obrigatórios"...

      Do meu ponto de vista, algo obrigatório não é uma "recomendação"...

      (E sim, aplica-se à administração pública... o que não faz com que seja menos obrigatório...)

      Eliminar
    2. Pedro,
      O GDPR recomenda e regulamenta (daí o R, de Regulation e de Regulamento) e tem como grande diferença em relação ao que anteriormente existia o agora por força de ser Regulamento, forçar a que Todas as entidades sejam mandatoriamente abrangidas pelo mesmo desde que de alguma forma processem informação pessoal de cidadãos europeus ou residentes na Europa.
      O que o Estado fez foi, à imagem do que já sucedia noutros países (Itália tem algo muito semelhante desde 2015/16) definir as regras com as quais os Organismos Públicos devem tratar e proteger a informação pessoal.
      No Privado, as considerações irão ser afinadas de acordo com as primeiras coimas que acontecerem... comme d'habitude...

      Eliminar
  4. Carlos e Adolfo, em nenhum do 99 artigos do Regulamento se refere sequer o termo "password" ou "palavra-chave", quanto mais obrigar a que tenha um tamanho ou outro.. esse é o ponto.
    A resolução do conselho de ministros refere concretamente o artigo 25 do GDPR que refere apenas que :
    "... o responsável pelo tratamento aplica, tanto no momento de definição dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizativas adequadas,
    como a pseudonimização, destinadas a aplicar com eficácia os princípios da proteção de dados...".
    Mais uma vez nada sobre passwords, nem regras definidas. Cabe às diversas entidades (públicas e privadas) definir e implementar o que julguem necessário...

    ResponderEliminar
    Respostas
    1. Citação directa do DR: "Sempre que aplicável, a palavra-passe deve ter no mínimo 9 carac- teres (13 caracteres para utilizadores com acesso privilegiado) e ser complexa. A sua composição deverá exigir .."

      Eliminar
    2. ... Isto sendo uma das tais "recomendações" referidas como sendo *obrigatórias*

      Eliminar
  5. Relativamente ao RGPD, sabem me indicar se as comunicações através de email empresarial para clientes empresariais é considerado "dados pessoais"?
    Se sim, teremos que cifrar este tipo de comunicações?

    ResponderEliminar