Proteção de dados

Segurança: prevenir para não ter de remediar

As organizações devem fazer análise de risco relativamente à segurança e proteção de dados para garantir que a regulamentação está a ser cumprida, que os dados estão anonimizados e protegidos e, em última instância, evitar as coimas.

O tema da segurança fez também parte integrante do programa do SmartPayments Congress – Shaping the Future. Numa mesa-redonda composta essencialmente por responsáveis de proteção de dados ou segurança de várias instituições financeiras estes foram também os temas que dominaram a discussão.  Os convidados apresentaram as suas visões sobre as vulnerabilidades nos sistemas de pagamento e o que fazer para diminuir os riscos.

Não sendo possível “conseguir uma proteção a 100%”, é viável desenvolver “sistemas com defesas em várias camadas” que asseguram “uma proteção adequada”, referiu Valentim Oliveira, diretor de segurança da SIBS.

Para o efeito é importante que as “organizações consigam antecipar os desafios relacionados com a segurança”, defendeu Rui Tomás da Fonseca, diretor de desenvolvimento de negócio da Mastercard. Na empresa onde trabalha a mudança é encarada como uma oportunidade de melhorar a experiência do consumidor e de reduzir o risco quando os pontos de risco são cada vez maiores.

“Ao tokenizar a informação não se têm dados sensíveis na base de dados”, Rui Tomás da Fonseca, Mastercard

A Mastercard criou soluções de inteligência artificial e aprendizagem automática (machine learning) para: aumentar as transações, reduzir a taxa de abandono e reduzir a fraude. A empresa recorreu também a parcerias com startups em áreas específicas como a biometria comportamental, através da qual é possível, por exemplo, identificar padrões únicos de digitação de passwords. Rui Tomás da Fonseca assinalou também a importância de tokenização de dados sensíveis – como os números dos cartões – para deste modo evitar que mesmo que ocorra um data breach, por exemplo, num comerciante, os dados dos clientes não sejam comprometidos porque simplesmente não existem.

Já a diretora do Bankintercard Portugal, Isabel Dias, apontou para a importância que tem a educação dos consumidores para os cuidados que devem ter. E sublinhou que “é responsabilidade de cada um de nós assegurar que as mudanças são comunicadas e que os dados estão protegidos”.

Por fim, Daniel Caçador, responsável de proteção de dados (DPO) do Montepio, lamentou a grande confusão que existe ainda em matéria de proteção de dados, três anos após a publicação do Regulamento Geral de Proteção de Dados (RGPD). Alertou para a necessidade de falar “sobre gestão de risco, análise de risco, ou identificação dos principais focos de risco”. Recordando que a segurança está cada vez mais avançada, assinala que também há novos desafios ao nível da proteção de dados com a chegada das novas API.

Valentim Oliveira, diretor de segurança da SIBS, explicou que ao longo de décadas todos nós beneficiamos de um sistema de autentificação eficiente: pin e cartão. Mas que, com o advento da Internet, surgiu uma zona vazia.

“O nível de fraude em Portugal é quatro vezes mais baixo que a média da União Europeia”, Valentim Oliveira, SIBS

Estando na ordem do dia, a tokenização não é estranha para a SIBS que já a utiliza desde 2001 com o MBNet e agora com os cartões contactless que tiram partido do mesmo conceito de tokenização. A SIBS está também a investir num sistema de deteção de fraude a pensar na experiência do utilizador e baseada na análise comportamental padrão do utilizador que permite detetar anomalias e reduzir a fraude. Congratulou-se ainda porque o “nível de fraude em Portugal é quatro vezes mais baixo que a média da União Europeia”.

Sobre os cartões contactless, Rui Tomás da Fonseca, referiu que “Portugal tem a sorte de estar um pouco atrasado face a outros países da Europa nesta matéria”, o que significa que a adesão será feita num momento de maior maturidade da tecnologia.

“O sucesso da adoção do contactless tem de passar pela comunicação com os clientes e com os comerciantes”, Isabel Dias, Bankintercard Portugal

Enquanto que a adoção do contactless é de 70% nos países nórdicos, começou a aumentar há cerca de dois anos em países como França ou Espanha, onde se encontra nos 50%, e deverá também ser adotada em Portugal, porque “a user experience é boa”, mas tem de ser simples. Para o efeito “todos os emissores têm de ter cartões com contactless” e todos os comerciantes “equipamentos que aceitem esse tipo de pagamento” para que o processo tenha sucesso. São ações complementares.

Isabel Dias acrescentou que o sucesso da adoção do contactless tem de passar pela comunicação com os clientes e com os comerciantes. Já Valentim Oliveira acha curioso o contactless não ter tido grande adesão em Portugal.

Responsabilidade dos DPO é igual em qualquer setor de atividade

A mesa-redonda foi concluída com o tema da proteção de dados e do papel do DPO. Daniel Caçador, DPO do Montepio, considera que o papel do DPO não é diferente numa organização financeira ou numa organização de qualquer outro tipo. A responsabilidade é a mesma em qualquer dos casos. A diferença está mais relacionada com aspetos como a dimensão das organizações.

À margem da conferência o SmartpaymentsNews trocou algumas impressões sobre o tema com o responsável que detalhou que, antes de mais, as empresas precisam de verificar, de acordo com os critérios definidos no Regulamento Geral de Proteção de Dados (RGPD), se são ou não obrigados a ter um DPO.

Esta obrigação está relacionada com o número de colaboradores, quantidade de dados tratados, entre outros “Podemos ter uma empresa com poucos empregados, mas que trabalham massivamente em dados pessoais e que pode ser obrigada a ter um DPO. E outra que tenha 100 pessoas e não precise”.

Se for necessário deve passar-se à nomeação do DPO que pode ser uma pessoa (ou equipa multidisciplinar) interna ou externa à organização. Esta função de aconselhamento não operacional é um apoio para a empresa ao encaminhar todo o trabalho da empresa no sentido da conformidade com o regulamento: é “alguém que ajuda a orientar, a melhorar os processos, as estratégias de comunicação, o processo de consentimento e outras situações”.

“As coimas elevadas previstas no Regulamento acabam por ser um driver para as empresas caminharem mais rapidamente para implementação do RGPD”, Daniel Caçador, Montepio

Acresce ainda que o DPO deve reportar ao conselho de administração diretamente, não integrando qualquer área, departamento ou direção para que mantenha a sua independência. Em qualquer caso, tem de ter a sponsorização da administração que deve consultar o DPO na tomada de decisão sobre processos ou até mesmo tecnologias que possam ter impacto na proteção dos dados pessoais.

Finalmente o DPO deve apoiar ações de formação e sensibilização no seio das empresas contribuindo ainda para promover uma mudança cultural na organização. Daniel Caçador acrescenta ainda que as coimas elevadas previstas no Regulamento acabam por ser um  driver para as empresas caminharem mais rapidamente para implementação do RGPD.

Daniel Caçador recomenda também uma constante análise de riscos na implementação de processos nas organizações. É aconselhada a realização de data privacy impact assessements (DPIAS) quando se está a implementar projetos. A “avaliação de impacto é fundamental para identificar riscos”, concluiu. No final, a identificação dos riscos acautela tudo o que tem a ver com a regulamentação de proteção de dados, mas reforça igualmente a segurança. “Estamos a ganhar nos dois sentidos. Há uma grande acoplagem e a privacidade e proteção de dados”, rematou o responsável do Montepio.

Sobre este e outros temas a SmartpaymentsNews falou ainda com Valentim Oliveira e Maria Antónia Saldanha, da SIBS à margem da conferência.