O que é compliance?
O termo “compliance” vem do verbo, em inglês, “to comply”, que significa estar de acordo com alguma determinação ou código de conduta. Sendo assim, compliance quer dizer seguir um conjunto de normas e políticas visando estar em conformidade com as regras e leis de um setor.
Através disso, é possível garantir que uma empresa atue de forma ética e legal, evitando problemas jurídicos e, ainda, agregando valor à sua marca.
Compliance em tecnologia da informação
Atualmente, a tecnologia é um pilar fundamental para a maioria das instituições, que a utilizam para coletar e armazenar dados de clientes, arquivar e compartilhar documentos, otimizar e organizar processos, evitar fraudes, entre outras funções.
Para que uma empresa esteja realmente conforme o código de conduta de seu segmento, ela também deve se preocupar com sua cibersegurança, para garantir a integridade de seus dados e clientes.
Dentro da área de tecnologia da informação, algumas das normas que as organizações precisam seguir são a LGPD (Lei Geral de Proteção de Dados), Marco Civil da Internet, Lei de Direitos Autorais, GDPR (General Data Protection Regulation), entre outras.
Ou seja, alguns pontos importantes com as quais elas devem se preocupar são:
- Integridade dos dados pessoais sensíveis de seus clientes;
- Prevenção de ataques cibernéticos, especialmente aqueles cujo objetivo é o roube de dados ou tomar controle de um sistema;
- Prevenção de vazamento de dados;
- Protocolos de segurança para os funcionários;
- Implementação de VPNs e protocolos para o trabalho remoto.
E vários outros. Sendo assim, qualquer empresa que utilize a tecnologia em seu dia a dia precisa desenvolver normas internas e buscar recursos externos que garantam sua cibersegurança.
Principais certificações
Algumas das principais certificações de compliance ligadas à segurança e tecnologia da informação são:
#1 SOC 2
O SOC 2 foi criado por um instituto estadunidense, visando a garantia da segurança de dados de clientes e fornecedores de uma empresa. É muito utilizado especialmente por instituições que trabalham com o modelo de SaaS (Software as a Service) ou que lidam com grandes clientes.
#2 PCI DSS
O PCI foi desenvolvido por grandes empresas de cartão de crédito, como Visa e Mastercard, e representa as medidas de segurança de dados dos cartões de pagamento, cujo objetivo é evitar fraudes e vazamento de dados.
#3 ISO 27001
Essa norma é definida como “padrão e a referência Internacional para a gestão da Segurança da informação”. Ela envolve cerca de 114 de requisitos, processos e controles para gerenciar os riscos de uma instituição.
#4 NIST 800-53
Essa regulamentação é muito utilizada por empresas que possuem filiais ou clientes nos Estados Unidos. Ela representa um conjunto de práticas de segurança e privacidade para os sistemas de informação do país.
Como o pentest pode ajudar
Para obter qualquer uma dessas certificações – que ajudam a evitar implicações legais, atestam o comprometimento de uma organização e agregam valor a ela -, é necessário seguir todas as suas orientações e comprovar que a empresa consegue garantir a integridade de seus clientes e de sua própria operação.
Para isso, o pentest – teste de penetração que identifica as vulnerabilidades e riscos dos sistemas, redes e plataformas de uma instituição – é essencial. Em alguns casos, como do PCI DSS, ele é considerado um requisito obrigatório.
O pentest, especialmente no modelo PTaaS (Pentest as a Service), é capaz de oferecer à empresa todas essas métricas de cibersegurança com mais agilidade, autonomia e melhor custo-benefício. Sendo assim, torna-se um recurso importante, e às vezes fundamental, para cumprir com as normas de compliance ligadas à tecnologia da informação.
Além disso, todas essas preocupações também fazem com que a empresa esteja protegida contra ciberataques e evite perdas financeiras ou multas relacionadas a eles.