Arquivo

Archive for the ‘InfoSec’ Category

Sobre a Prova EXIN Privacy & Data Protection Foudation

17 de dezembro de 2018 18 comentários

Saudações!

Depois de um longo tempo e com muita alegria, volto a este querido espaço!

Durante os últimos meses, este que vos escreve passou por uma série de mudanças profissionais que ainda estão meio que em andamento, mas, o espaço ainda está ativo e recebo com muita alegria contato de pessoas que estão usando o conteúdo da prova CLO-001 da CompTIA ou que passaram na prova usando os posts como parte de seus estudos, então, nada mais correto que continuar investindo tempo este espaço que vai completar 10 anos em abril de 2019!

No mais, vamos tentar manter, para o próximo ano, uma frequência nos posts para não haver tantos espaços como este.

Bom, vamos ao tema de hj! No último mês de outubro fui convidado pela Daryus Management Business School a fazer o treinamento de Privay & Data Protection da EXIN… confesso que não estava nos meus planos, mas, em virtude dos temas que estava trabalhando na época, e por agregar conhecimento, resolvi me aventurar e acabei conseguindo certificação.

image

Para quem tem intenções de fazer a prova e vai fazer o treinamento, é necessário procurar uma escola autorizada da EXIN (A Daryus é uma delas) para um treinamento de 16 horas (2 dias de 8 horas) com opção de já fazer a prova ao final do segundo dia, ou agendar para até 5 dias uteis para rever conceitos e estudar mais – caso sinta ser necessario.

O que é pedido no exame:

Este exame é todo ele baseado no GDPR – General Data Protection Regulation da União Européia – a qual falei no meu último post neste blog no mês de julho deste ano. Neste post você tem os principais fundamentos, principais artigos, as penalidades e o que se espera das áreas técnicas para colocar a empresa em concordância com a lei, além do tempo de adequação dado pela União Européia.

É importante entender um ponto que é cobrado na prova – a diferença entre privacidade e proteção de dados. A leitura dos materiais que vou passar mais a frente e/ou o próprio curso em si mostrará que privacidade é um direito garantido de todo e qualquer cidadão e a proteção de dados se dá a partir deste direito, ou seja, proteger dados e privacidade não são a mesma coisa.

A proteção de dados pessoais é a maneira como as informações de um determinado cidadão serão mantidas em sigilo.

Para quem já conhece, ou ao menos deu uma lida na GDPR sabe que é importante o consentimento do dono do dado para o devido processamento, além do direito a ser esquecido e o direito de portabilidade sem burocracia, ou seja, os dados que um cidadão europeu tem cadastrado em um clinica médica estão sujeitos a serem completamente apagados, ou prontamente migrados para outra clínica sem que qualquer cópia ou parte deles fiquem na anterior.

Quem processa dados pessoais:

Data Controller – responsável pelos dados de seus clientes

Data Processor – responsável pelo processamento dos dados do Data controller

Nas definições acima, suponhamos que uma empresa de telefonia terceiriza os serviços de controle de seus clientes a uma empresa… temos aí um data controller (empresa de telefonia) e um data processor (empresa terceira que vai manipular os dados), que obviamente deverá ter um contrato de confidencialidade garantindo que os dados tratados não serão divulgados e nem processados de forma fora do escopo.

O que são dados sensíveis: Em suma, dados médicos, opção sexual, ideologia política, dados de associação a sindicatos diversos, etc.

É importante saber diferenciar dados pessoais diretos e indiretos;

Diretos – são dados que podem ser atribuídos diretamente a um indivíduo específico sem o uso de informações adicionais. Por exemplo, a foto do indivíduo, seu DNA, impressão digital.

Indiretos – são dados que podem estar ou poderão estar no futuro vinculados a um indivíduo específico usando informações adicionais. Por exemplo, a placa numérica de um carro é um dado pessoal indireto, porque é possível rastrear o carro até seu proprietário usando informações adicionais (neste caso, as informações em um banco de dados eram as placas de matrícula relacionadas aos proprietários dos carros).

Importante também entender a figura do DPO (Data Protection Officer) – lider do seguimento de data protection e data privacy da empresa.

Também sobre a entidade controladora – DPA (Data Protection Authority). Qual o papel dela e em qual momento incidentes de vazamento de dados sensíveis diretos e indiretos deverão ser reportados.

Você também será cobrado pelas definições de minimização dos dados, subsidiarização, entre outros descritos na tabela abaixo que mostra o conteúdo a ser cobrado na prova. Vale lembrar que a mesma traz questões de múltipla escolha com definições e estudos de casos com cenários variados, portanto, firme bem os conceitos:

image

Abaixo vou deixar alguns links uteis para seu estudo:

Página do Exame – No link abaixo você encontra a página oficial do exame EXIN Privacy & Data Protection Foundation. Nesta página além das informações do exame você pode agendar o exame e escolher o lugar onde você poderá fazer a prova. Ainda tem a opção de comprar um vouchert que te permite fazer o exame em sua residência:

https://www.exin.com/certifications/privacy-and-data-protection-foundation-exam?language_content_entity=pt-br

Preparation Guide – Aqui vc baixa o guia de preparação da prova com a tabela que colei neste post e muito mais sobre o que estudar, quais os principais artigos envolvidos na prova entre outros.

https://dam.exin.com/api/&request=asset.permadownload&id=138&type=this&token=712adc3fe51eed0f03fcf1b642996828

White Paper – Este documento no link abaixo é importante para que vc, após ler a GDPR, possa firmar bem todos os conceitos que foram expostos neste post com todas as explicações:

https://dam.exin.com/api/&request=asset.permadownload&id=2648&type=this&token=0f72677bc0854e354cee83e18760ccca

Simulado -  No link abaixo um simulado do exame para que possa posa medir seu nível de conhecimento pós estudos:

https://dam.exin.com/api/&request=asset.permadownload&id=384&type=this&token=7ceee7e9b29ba9d2a28cc46fc3298e7d

DICA DE OURO DO UILSON – porque eu fiz o exame logo em seguida ao curso? Porque já tinha lido e relido a GDPR e atualmente estou estudando a LGPD (Lei Geral de Proteção de Dados) Brasileira. Mas no caso de quem ainda não o fez, recomendo que, se for fazer o curso, não faça a prova em seguida (a menos que esteja totalmente seguro). Pegue o tempo dado para estudo relendo a lei e reforçando a leitura dos links acima, refazendo o simulado e suas anotações pessoais. Para quem não vai fazer o curso, recomendo fortemente ler, reler e anotar tudo que for possível da lei. No link para o meu artigo sobre a norma no começo deste post tem o link para o texto completo da GDPR na íntegra. Em seguida leia o White Paper e reforce os conceitos. A EXIN recomenda 60 horas de estudo para quem não tem familiaridade com a norma e não vai fazer o treinamento oficial.

Espero que este post possa ser útil e ajudar você.

Abraços

Uilson

%d blogueiros gostam disto: