Skip to content

MASTG-BEST-0003: Conformidade com Regulamentações e Melhores Práticas de Privacidade

Recomendações da CWE-359.

Fase: Requisitos

Identifique e consulte todas as regulamentações relevantes para privacidade pessoal. Uma organização pode ser obrigada a cumprir certas regulamentações federais e estaduais, dependendo de sua localização, do tipo de negócio que conduz e da natureza de quaisquer dados privados que manipula. As regulamentações podem incluir o Safe Harbor Privacy Framework [REF-340], a Lei Gramm-Leach Bliley (GLBA) [REF-341], a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) [REF-342], o Regulamento Geral de Proteção de Dados (GDPR) [REF-1047], a Lei de Privacidade do Consumidor da Califórnia (CCPA) [REF-1048] e outras.

Fase: Arquitetura e Design

Avalie cuidadosamente como um design seguro pode interferir na privacidade, e vice-versa. Preocupações de segurança e privacidade frequentemente parecem competir entre si.

  • De uma perspectiva de segurança, todas as operações importantes devem ser registradas para que qualquer atividade anômala possa ser posteriormente identificada.
  • No entanto, quando dados privados estão envolvidos, essa prática pode, na verdade, criar risco. Embora haja muitas maneiras pelas quais dados privados podem ser manipulados de forma insegura, um risco comum decorre de confiança mal direcionada.

Os programadores frequentemente confiam no ambiente operacional no qual um programa é executado e, portanto, acreditam que é aceitável armazenar informações privadas no sistema de arquivos, no registro ou em outros recursos controlados localmente. No entanto, mesmo que o acesso a certos recursos seja restrito, isso não garante que os indivíduos que têm acesso possam ser confiáveis.

Referências