* Marcelo Mergulhão
A preocupação com a segurança de dados é um tema que está cada vez mais em pauta. E não apenas entre os desenvolvedores, mas também entre os usuários. Afinal, com a popularização das tecnologias e crescimento dos ambientes virtuais, aumenta também o relato de roubo de informações, clonagem de cartões ou fraudes.
Por outro lado, são cada vez mais rígidas as legislações e políticas de proteção de dados. Por isso, é exponencial o trabalho que as empresas de tecnologia têm desenvolvido para aumentar o sigilo das informações no ambiente virtual. Um dos recursos é o Data Obfuscation, a ofuscação ou mascaramento de dados. Trata-se de um processo de transformação de informações que remove suas características sigilosas, resultando em uma nova versão que ainda possui utilidade, mas não permite a identificação do dado original.
Esse tipo de transformação é fundamental para os negócios. Já que a maioria dos dados coletados dos usuários, chamados de PII (Personal Identifiable Information ou Informações Pessoais Identificáveis) só são de interesse do próprio usuário.
Mascaramento de dados na prática
Executar a ofuscação da informação é um desafio que deve ser trabalhado de maneira integrada à Política de Segurança da organização. Começa pela definição de quais dados são sigilosos, quem deve ter acesso a eles dentro e fora da organização, quais técnicas devem ser aplicadas e como será o armazenamento e movimentação dos dados.
Não existe uma regra única a ser seguida na proteção dos sistemas, dada sua heterogeneidade. No entanto, alguns itens são importantes para a política, como:
- classificação dos dados (sensíveis, não sensíveis);
- regras de autenticação e acesso;
- mecanismos de proteção e contingência.
A substituição de valores em sites de compras é uma das técnicas mais corriqueiras de mascaramento de dados. Os números podem ser substituídos por ‘X’, mantendo apenas o final, o que ainda permite ao verdadeiro dono do cartão identificá-lo sem que outros o façam, por exemplo.
Outro método bastante conhecido é a criptografia, que utiliza uma chave e uma operação de embaralhamento nos dados, de modo que apenas quem possua a chave possa desfazê-lo.
As técnicas de mascaramento precisam de bases teóricas fortes para garantir que de fato funcionam. Pior do que não ter um mecanismo de proteção é ter um que dá apenas a falsa sensação de segurança.
Reputação
Ao trabalhar para garantir o uso correto e sigiloso dos dados de seus usuários, as empresas focam na manutenção de um de seus bens mais valiosos, ainda que intangível: a sua reputação.
Negligenciar o tratamento do sigilo dos dados pode resultar em penas severas, tanto para os resultados quanto para a imagem da corporação. No GDPR (General Data Protection Regulation ou Regulamento Geral de Proteção de Dados), da União Europeia, a multa por uma brecha na privacidade dos dados de usuários pode chegar a até 4% da receita global da empresa.
Para a Daitan, o mascaramento de dados é um viabilizador de negócios junto aos clientes. Várias empresas estão sujeitas às leis que exigem proteção dos dados dos clientes e não poderiam fazer negócios caso não houvesse a técnica.
* Marcelo Mergulhão, Senior Backend Developer at Innovation
