sexta-feira, 20 de dezembro de 2019

A lei de proteção de dados pessoais e os programas de compliance





                                                               O Brasil nos últimos anos, de forma inegável e com êxito, vem atualizando a sua legislação à luz das exigências do mundo digital, como se verifica das inúmeras leis que já dispõem expressamente sobre situações envolvendo tecnologia e internet.


Sancionada pelo governo no início de julho, a lei 13.709/18, conhecida como lei geral de proteção de dados (LGPD), entrará em vigor em agosto de 2020 e demandará alguns cuidados por parte das empresas, independentemente de seu porte.

Inspirada na “General Data Protection Resolution” da União Europeia, a Lei Geral de Proteção de Dados tem os seguintes fundamentos: (i) o respeito à privacidade; (ii) a autodeterminação informativa; (iii) a liberdade de expressão, de informação, de comunicação e de opinião; (iv) a inviolabilidade da intimidade, da honra e da imagem; (v) o desenvolvimento econômico e tecnológico e a inovação; (vi) a livre iniciativa, a livre concorrência e a defesa do consumidor; e (vii) os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

O impacto da lei deve ser ainda maior que o Código do Consumidor promulgado em 1990, na medida em que vai além das relações de consumo, envolvendo também, por exemplo, contratos de trabalho e defesa da livre concorrência.

Ponto de destaque é a criação da “Autoridade Nacional de Proteção de Dados (ANDP)”, a qual, dentre várias atribuições estabelecidas no texto legal, lhe caberá fiscalizar e aplicar multas.

Outro tema sensível cuida da necessidade do livre, inequívoco e expresso consentimento do titular dos dados para a sua colheita. As empresas públicas e privadas somente poderão coletar dados pessoais após solicitação clara sobre qual será o conteúdo obtido, devendo comunicar qual será a destinação das informações, bem como se o material será compartilhado.

Diante da nova lei, todos os agentes econômicos deverão se adaptar do ponto de vista técnico, jurídico e contratual.

O Brasil nos últimos anos, de forma inegável e com êxito, vem atualizando a sua legislação à luz das exigências do mundo digital, como se verifica das inúmeras leis que já dispõem expressamente sobre situações envolvendo tecnologia e internet. Desta forma, na esteira do marco civil da Internet, a Lei de Proteção de Dados Pessoais configura um avanço em nossa sociedade.

Por fim, exclusivamente no tocante às empresas, mais uma vez vislumbramos a relevância dos programas de compliance, os quais, além de proteger as companhias de potenciais passivos e de multas, valorizam-nas como um todo. As empresas têm até agosto do ano que vem para adequar os seus processos internos e criar a cultura de gestão de dados. 

                                                            FONTE:ARPEN-SP

                                                                               

quinta-feira, 19 de dezembro de 2019

ECD e ECF ano-calendário 2019 entrega 2020: atenção desde já com as mudanças


Recentes Atos Declaratórios numerados expedidos pela COFIS – 64/2019 de novembro para a ECD e 70/2019 agora em dezembro para a ECF


Recentes Atos Declaratórios numerados expedidos pela COFIS – 64/2019 de novembro para a ECD e 70/2019 agora em dezembro para a ECF – relativos à nova versão dos leiautes 8 e 6, respectivamente, para utilização em relação às informações a serem prestadas para o ano-calendário 2019 e eventos especiais a ocorrerem no ano-calendário 2020, trazem detalhes importantes, onde se recomenda cautela antecipada por parte do profissional contábil, pois poderá se observar um relativo aumento de tempo para estruturação e validação destes importantes projetos SPED, havendo a necessidade, inclusive, em determinadas situações, de retificação da ECF de lucro real apresentada em 2019 (será tratado mais adiante os detalhes).



Muitos profissionais encontraram dificuldades para a validação de suas respectivas ECF do ano-calendário 2018. As empresas sujeitas ao lucro presumido, como exemplo, por conta de um visível aumento de rigor em relação aos cruzamentos internos entre os registros da própria ECF, tais como, validações que contemplavam os movimentos do registro P150 – Demonstração do Resultado pelo Plano Referencial. Ocorre que tais erros ou advertências, por vezes, guardavam relação com a forma como o profissional vinha escriturando essas movimentações ou as controlando em seu plano de contas interno, onde podemos mencionar, como exemplos, o IPI e ICMS substituição tributária sobre a receita bruta e a revenda de veículos usados equiparada à consignação, o que obrigou em alguns casos a substituição da ECD transmitida, no objetivo de se contornar tal erro ou advertência observável apenas quando da validação da ECF.Desafios já enfrentados na validação da ECF leiaute 5


Outro grave incômodo que afetou especialmente empresas que mudaram a estrutura de seu plano de contas interno, ou mesmo nos casos em que se efetuou apenas remanejo de saldos entre diferentes contas, dentre o final de um ano e o início de outro, mas sem lançamento contábil de transferência ou de reclassificação, conforme exige o Comunicado Técnico Geral (CTG) 2001(R3), publicado pelo Conselho Federal de Contabilidade (CFC), acabou sendo minimizado pela RFB, quando da liberação das versões finais do PVA da ECF, já nas proximidades da data-limite de sua entrega, ao transformar Erros em meras Advertências. Porém, essa importante validação tende a ser retomada, e não apenas na ECF, mas na ECD, por conta da criação do Bloco C – Dados recuperados da ECD Anterior e de um maior rigor no que se refere ao registro I157 da ECD – Transferência de Saldos de Plano de Contas Anterior.

Alterações mais relevantes da ECD (SPED Contábil) leiaute 8
a) Possibilidade de apresentação de ECD descentralizada (campo 21 do registro “0000”), por exemplo, um arquivo da Matriz e outro das Filiais. Trata-se de uma possibilidade nova, requer muito cuidado e atenção, além de adaptação dos softwares, obviamente, porém, a maior preocupação é a de como esses arquivos serão recuperados posteriormente na ECF, se o PVA da ECF estará adequado para essa situação. Caso o PVA da ECF ainda não possibilite a recuperação de diferentes arquivos de ECD entregues para períodos coincidentes de CNPJ diferentes, mas com CNPJ raiz idêntico, recomenda-se cautela, mantendo assim a transmissão da ECD centralizada pela Matriz, com a movimentação e saldos conjuntos de Matriz e Filiais;

b) Indicação do código do plano referencial adotado pela entidade deixa de ser demonstrado repetidamente no registro I051 – Plano de contas referencial – e passa a constar no registro de Abertura (campo 23 do registro “0000”). Não estando a entidade obrigada ao mapeamento de plano referencial, e consequentemente, da entrega de ECF, tal como ocorre em relação às empresas optantes pelo Simples Nacional, por exemplo, o campo deverá permanecer em branco (vazio). Porém, nessa situação, é preferível sequer gerar a informação do registro I051 no arquivo-texto da ser validado da ECD – tanto o campo 23 do registro “0000” quanto o registro I051 na ECD são facultativos;


c) Indicador de mudança de plano de contas – a partir do período apresentado (campo 22 do registro “0000”): havendo alteração de códigos do plano de contas interno, esse campo deverá constar com o indicador = 1 (houve mudança) e o PGE consequentemente irá requerer ao menos um registro I157 (“filho” do registro I155 – Detalhe dos Saldos Periódicos);

d) Novo Bloco C – Informações recuperadas da Escrituração Contábil Anterior: o Manual publicado informa que os registros desse bloco não precisam ser importados (ou seja, não necessitam ser gerados e incluídos no arquivo-texto gerado pelo software), pois serão preenchidos pelo próprio PGE da ECD, após a recuperação das informações da ECD anterior, procedimento este inexistente até o leiaute 7, ou seja, trata-se de uma nova etapa inserida no Passo-a-Passo para validação da ECD. Atenção especial ao registro C155 – Detalhe dos Saldos Periódicos Recuperados, pois havendo divergência entre o saldo final da ECD anterior por conta do plano interno, ao ser comparado com o saldo inicial da ECD corrente, uma dessas possíveis ações deverão ser necessariamente tomadas: a inclusão dos registros I157, supondo ter ocorrido alteração no plano em contas com saldo ao final do período imediatamente anterior, ou mesmo, a substituição da ECD anterior. Importante lembrar de que, nessa última hipótese, quando admitida nos termos da IN RFB 1.774/2017, há de se observar possíveis reflexos em relação à ECF, ou seja, este SPED deveria também ser objeto de retificação para o período da ECD afetada;

e) Demonstração de Resultado (registro J150): volta a ter duas colunas de valores, movimento – período/exercício social anterior e corrente, comparativos – e campos novos para identificação e ordenamento das linhas de agrupamentos e subtotais. Foram muitas as críticas por conta da geração e visualização deste registro no leiaute 7 da ECD.

Alterações mais relevantes da ECF leiaute 6

a) Inclusão do código de qualificante “18 – Usufrutuário de quotas ou ações” no registro Y600 - Identificação e Remuneração de Sócios, Titulares, Dirigentes e Conselheiros. Para informação na DIRF - Declaração do Imposto de Renda Retido na Fonte, a RFB já vinha se manifestando no sentido de incluir o beneficiário final efetivo do rendimento – o usufrutuário – e não o detentor formal da ação ou quota. Trata-se, portanto, mais de uma adequação, mas que poderá ser alvo de cruzamento de informações entre essas duas importantes obrigações fiscais acessórias;

b) Inclusão de linhas alusivas ao novo coeficiente de presunção sobre a receita bruta (38,4%) das ESC – Empresa Simples de Crédito (Lei Complementar 167/2019) nos registros P200 (base de cálculo do IRPJ presumido) e P400 (base de cálculo da CSLL presumida);

c) Inclusão de linhas específicas nos registros que tratam das apurações – intermediária e/ou definitiva – do IRPJ e CSLL quanto ao programa Rota 2030, pertinente ao segmento da indústria automobilística. Registros afetados: N620 e N630 (IRPJ) e N660 e N670 (CSLL);

d) Criação do registro M510 – Controle dos Saldos da Parte B do Lalur/Lacs POR CONTA PADRÃO: No leiaute 7, criou-se o código de conta padrão da Parte B do Lalur/Lacs, campo obrigatório incluído no registro M010 - Identificação da Conta na Parte B do e-Lalur e do e-Lacs.

Agora, a partir do leiaute 8, esse código começa a demonstrar sua oportuna utilidade de controle, passa a equivaler ao que ocorre em relação ao registro L300 – Demonstração do Resultado Referencial com o registro K355 – Saldo das contas de resultado (plano de contas interno) antes do encerramento.

É observável, ao longo da atuação profissional desenvolvida ao longo desses últimos anos em relação à ECF, uma quantidade significativa de erros na forma de apresentar os saldos e movimentos que deveriam estar controlados em conta da Parte B do Lalur/Lacs na ECF, dentre os quais os abaixo descritos:

- abertura de contas de Parte B para adições ou exclusões definitivas (por exemplo, brindes e determinadas multas e doações);

- abertura de uma conta para cada trimestre ou ano relativas a prejuízos fiscais;
- inversão dos saldos iniciais informados no registro M010,
- erro na atribuição da linha da Parte A do Lalur/Lacs – registros M300/M350 – o que faz com que o PVA da ECF na validação não direcione corretamente qual a conta padrão correta da Parte B; dentre outras situações.

Com esse novo registro na ECF (M510), recomenda-se que as empresas de lucro real verifiquem com atenção as informações controladas na Parte B na ECF transmitida do ano-calendário 2018, e providenciem retificação (em caso de erros) com a maior antecedência possível, especialmente caso se observe alguma das situações supracitadas.

                                                                                 FONTE:CONTADORES.CNT.BR

quarta-feira, 18 de dezembro de 2019

eSocial: Publicada Nota Técnica 17/2019, com alterações decorrentes da EC 103/2019


Emenda Constitucional da Reforma da Previdência trouxe modificações no cálculo das Contribuições Previdenciárias que impactam o eSocial.

A promulgação da Emenda Constitucional nº 103, de 12 de novembro de 2019, a chamada Reforma da Previdência, trouxe uma série de modificações nos cálculos das Contribuições Previdenciárias dos trabalhadores. Por força dessas mudanças, o eSocial será impactado, em especial quanto aos eventos totalizadores (eventos que são retornados pelo sistema quando recebe informações de remuneração e de fechamento da folha).
Para atender às mudanças legislativas, foi publicada a Nota Técnica nº 17/2019, que traz as alterações e outras adequações pontuais no sistema. Foram publicados, também, os leiautes do eSocial consolidados até a nova Nota Técnica. A Nota Técnica 17/2019 terá vigência a partir de 01/03/2020, quando entrará em produção. 

sexta-feira, 13 de dezembro de 2019

Vai trabalhar remotamente nesta temporada de férias? Proteja-se com nossas dicas


Muitas pessoas vão ficar online para trabalhar durante o final de ano e 30% delas, várias vezes por dia
Novos dados mostram que os bons hábitos de segurança cibernética ao trabalhar em casa são mais relevantes do que nunca.
Cerca de 95% dos trabalhadores intelectuais dos Estados Unidos querem trabalhar remotamente e 74% deles estariam dispostos a deixar o seu atual emprego, de acordo com uma recente pesquisa da Harris* com cerca de 1.200 trabalhadores. A maioria das pessoas (53%) vai à internet para trabalhar durante os feriados do fim do ano, sendo que 30% o faz várias vezes por dia, de acordo com uma pesquisa do LinkedIn*.
Aqui estão nove pontos para que você e sua equipe tenham presente ao trabalhar remotamente:
  1. Proteja-se com uma VPN. Ao trabalhar remotamente e, especialmente, durante uma viagem, você deve se certificar se está protegido(a) em redes Wi-Fi. Use uma VPN para criptografar a sua conexão com a internet. Saiba o que é e como funciona uma VPN
     
  2. Use obrigatoriamente a autenticação de 2 fatores. A autenticação de dois fatores ou 2FA acrescenta uma segunda etapa quando você acessa sites ou suas contas online, enviando um código para o seu telefone ou exigindo a resposta a uma pergunta de segurança
     
  3. meanelfNavegue com segurançaTrês quartos dos jovens americanos que já trabalham* dizem que fazem tarefas relacionados com suas férias durante o trabalho. Elfos (foto) e scammers estão por toda parte nesta época do ano. O Avast Secure Browser é seguro, rápido, privado e gratuito. O Avast AntiTrack tira os anunciantes das suas costas e esconde a sua identidade online
  4. Bloqueie a tela. Trabalhar em casa durante as férias ou durante uma viagem pode significar que você se afaste fisicamente do seu computador. Habilitando um bloqueador de tela com uma senha e definindo um tempo menor para que o seu notebook bloqueie automaticamente e protegê-lo contra acessos indevidos
     
  5. Adote um antivírus robusto. É o momento de baixar uma proteção antivírus gratuita para o seu Windows ou Mac e se proteger das complexas ameaças digitais de hoje. Ele é simples, rápido e 100% gratuito
     
  6. Cuidado com os e-mails profissionais. Os golpes que nos chegam pelos e-mails profissionais – especialmente os de phishing – são os crimes cibernéticos mais comuns no mundo, de acordo com o FBI. Você deve estar ainda mais atento aos e-mails suspeitos quando estiver longe do ambiente de trabalho e verificar atentamente os endereços de e-mail dos remetentes
     
  7. Evite o tipo mais perverso de crime. O roubo do próprio dispositivo é uma das coisas que você deveria estar superatento(a) nos aeroportos ou cafeterias
     
  8. Uma reunião remota pode resolver uma enxurrada de e-mails. Se você tem que trabalhar, uma teleconferência com sua equipe pode ser mais seguro do que enviar uma dezena de e-mails a partir de muitos dispositivos e locais diferentes
     
  9. Proteja o teclado do seu notebook. Nas viagens, cuidado ao comer e beber junto ao seu notebook. Existem protetores de tela (para não ser espionado) e protetores de teclado
     
  10. Não se esqueça da proteção ao seu smartphone. Muito trabalho pode ser feito em dispositivos móveis. Baixe o Avast Mobile Security, o antivírus gratuito para Android.

Preparando-se com calma para trabalhar remotamente durante as férias pode poupar as dores de cabeça mais tarde. “Trabalhar desde a sua casa ou em uma viagem, durante férias agitadas, pode ser algo muito perturbador. Fazendo um pouco de preparação prévia da sua cibersegurança pode lhe dar paz de espírito”, disse o Evangelista de Cibersegurança da Avast, Jasdev Dhaliwal.
                                                                FONTE:BLOG AVG/AVAST

quarta-feira, 11 de dezembro de 2019

Brasil: roteadores infectados enviam vítimas a falsos sites de Bancos e da Netflix


Sites estão infectando roteadores e aplicando golpes de phishing que enviam os usuários para falsos sites de Bancos e da Netflix
No final de novembro, a equipe do Laboratório de Ameaças da Avast* descobriu ciberataques cujo alvo eram roteadores de usuários brasileiros. As vítimas eram redirecionadas para páginas com golpes de phishing que eram muito similares os verdadeiros sites que queriam visitar. Nestes ataques em concreto, sites de Bancos, notícias e da Netflix foram os mais utilizados:
  • bradesco.com.br
  • santandernetibe.com.br
  • pagseguro.com.br
  • terra.com.br
  • uol.com.br
  • Netflix.com
Sites bancários e o da Netflix são muitas vezes alvo de cibercriminosos, pois isso lhes permite roubar facilmente valiosas credenciais de login.
Normalmente, este tipo de ataque ao roteador começa quando o usuário visita um site comprometido com publicidade maliciosa (malvertising), distribuída por redes de anunciantes terceirizadas. Neste caso, os usuários eram automaticamente redirecionados para uma das duas páginas que continham as ferramentas capazes de infectar o roteador (GhostDNS Exploit Kit). A infecção é feita sem a interação do usuário, em segundo plano. Em seguida, os roteadores infectados redirecionavam as vítimas para sites muito parecidos aos verdadeiros e aplicavam golpes de phishing.


No dia 25 de novembro, o Módulo Internet dos antivírus Avast bloqueou 5.500 ataques vindos de dois sites maliciosos que queriam infectar o roteador dos nossos usuários e, no dia seguinte, protegemos nossos usuários de mais 1.000 ataques.
Nossa equipe analisou a versão falsa do site do Bradesco, para onde as vítimas dos ataques foram redirecionadas ao tentar entrar em sua conta bancária. A barra de endereços mostra que o site não era seguro (um site HTTPS), que aparece sem o símbolo do cadeado. Uma mensagem de erro também informava que o site era inseguro. A maioria dos links no site não fazia o que deveria, mas a página de login funcionava, isto é, a vítima supostamente podia efetuar login em sua conta preenchendo suas credenciais no topo da página.

Como é lógico, o falso site não validava as credenciais de login – nem teria como fazê-lo – e, por isso, só finge registrar automaticamente o usuário em sua conta. O falso site, portanto, captura os nomes de usuários e senhas e, posteriormente, exibe uma mensagem pop-up notificando a vítima que o sistema está temporariamente indisponível e que deveria tentar novamente em alguns minutos. Este site não está mais ativo.

Para evitar esses ataques ao roteador (CSRF ou sequestro de DNS), você deve:

  • Atualizar as credenciais de administrador do seu roteador usando uma senha forte
  • Atualizar o firmware (software) do seu roteador para a versão mais recente. Normalmente você pode encontrar essas atualizações no site do fabricante do seu roteador
  • Alterar suas credenciais de login, especialmente para os seus serviços bancários online, usando senhas fortes
  • Certifique-se de verificar se o site bancário tem um certificado válido, olhando para o cadeado na barra de endereço (URL) do seu navegador

O Módulo Internet está incluído tanto na versão gratuita quanto na premium do Avast Antivírus e protege proativamente os usuários contra esses ataques CSRF ao roteador. O Verificador de Wi-Fi do Avast – presente em todas as versões dos nossos antivírus – também pode avaliar a força da senha do seu roteador, testar a rede para ver se está protegida contra os ataques de sequestro de DNS e mostrar uma lista dos sites que foram sequestrados.

                                                                         
                                                                      FONTE: BLOG AVG/AVAST

Entenda por que analisar o banco de dados do ERP é importante


A decisão de implementar um ERP é um passo importante para trazer mais produtividade e eficiência aos processos diários de qualquer negócio. Mas para que esse sistema possa realmente representar benefícios, é fundamental avaliar alguns aspectos, como o atendimento às necessidades da empresa, a segurança das informações e como funciona o banco de dados do ERP, tema deste artigo.

Para entender a importância do banco de dados do ERP, imagine os arquivos físicos em que eram, e em alguns casos ainda são, armazenados todos os documentos de uma empresa. É essencial que eles estejam seguros, que possam ser acessados apenas por pessoas autorizadas e que mantenham as informações organizadas, de forma que seja fácil encontrá-las quando necessário.

Pois bem, o banco de dados tem um objetivo semelhante. Ele funciona como um programa de computador que armazena e organiza todos os dados processados por algum outro software, como o ERP, por exemplo. Ou seja, em resumo, ele faz as vezes de um arquivo, só que de forma digital.
Quando tratamos especificamente do ERP, o banco de dados é muito importante. Como você sabe, uma das grandes vantagens de contar com um sistema de gestão integrado é, justamente, a integração entre as informações de toda a empresa. Mas você já parou para pensar em que local ficam armazenadas todas essas informações? Se você disse banco de dados, acertou!

Enquanto o ERP coleta, administra e processa todos os dados do seu negócio, o banco de dados é o sistema que armazena e organiza essas informações. E como todo esse conteúdo é essencial para o seu negócio, é fundamental que o banco seja seguro e confiável. Por isso, analisar como funciona o banco de dados do ERP antes de escolher um fornecedor é indispensável!

O que analisar em relação ao banco de dados do ERP


Agora que você já sabe a importância do banco de dados, deve estar pensando em como escolher a melhor alternativa para a sua empresa ou, ainda, o que é necessário analisar antes de escolher um ERP. Veja algumas dicas:

1 – Implementação do banco de dados


Como dissemos, o banco de dados é como um programa de computador que armazena e organiza os dados de outro programa, no nosso caso, o ERP. Dessa maneira, essas duas soluções funcionam como produtos separados. Isto é, quando você adquire um ERP,  não está adquirindo também um banco de dados para armazenar as informações processadas por ele.

O que acontece na maioria das vezes é que, além de contratar um fornecedor para o ERP, a empresa precisa adquirir um banco de dados também. E é aí que vem o problema: os custos ao fazer esse processo são grandes e contínuos, já que é necessário fazer o licenciamento e a manutenção constante desse sistema.

Outra desvantagem é que a maioria dos bancos de dados utilizados no Brasil são estrangeiros e, por isso, tem o seu preço impactado pelo câmbio e pelos impostos de importação. Dessa forma, além de pagar por uma solução a mais, o preço acaba sendo variável, o que pode prejudicar a previsão de custos.

A boa notícia é que existem ERPs que contam com seus próprios bancos de dados, como é o caso do ERP Radar Empresarial, desenvolvido pela WK Sistemas. Ele tem um banco de dados próprio, o WK Database, que já é embarcado pela aplicação e funciona de forma invisível para o usuário. Assim, além de não ter custos a mais, já que o banco faz parte da solução, não é necessário implantá-lo de forma separada.



2 – Adaptação ao ERP


Como dissemos, na maioria dos casos, o banco de dados e o ERP são adquiridos separadamente. E como os bancos de dados são produtos desenvolvidos para uso geral, isto é, não são feitos especificamente para o uso combinado com ERPs, é necessário adaptá-los para esse sistema.

Por isso, quando a contratação ocorre de forma separada, é necessário ajustar o banco de dados conforme as necessidades do ERP, o que pode levar tempo e ser sinônimo de novos custos até que se chegue ao funcionamento  ideal.

Além disso, enquanto o uso de um banco de dados externo traz a necessidade de oferecer treinamento para os funcionários, já que se trata de uma solução diferente, o banco de dados próprio do ERP não tem essa demanda.

3 – Manutenção do banco de dados


Ainda em relação à diferença entre ter um banco de dados do próprio ERP e uma solução adquirida separadamente podemos destacar os custos de manutenção. Quando o banco de dados é próprio, esse processo costuma ser muito mais facilitado, já que a empresa desenvolvedora do ERP e do banco de dados é que resolve as demandas das duas soluções.

Quando a manutenção ocorre de forma separada, é necessário identificar qual fornecedor ― ERP ou banco de dados ― é responsável pelo problema e pelo ajuste. Além disso, se o sistema do banco de dados precisa de uma correção ou melhoria, normalmente elas são realizadas apenas com a atualização do produto em uma próxima versão.

Já se o banco de dados é próprio do ERP, as atualizações das duas soluções ocorrem sempre de forma conjunta e conforme a demanda.

4 – Performance do sistema


Outro fator a analisar em relação ao banco de dados é a performance. Afinal, é importante que ele seja ágil no processamento de dados e que as informações estejam organizadas de modo eficiente. Neste sentido, mais uma vez, existem diferenças entre os ERPs que têm bancos de dados próprios e aqueles que precisam ser contratados separadamente.

Tomando como exemplo o Radar Empresarial, é possível ver a diferença entre as duas formas: o ERP desenvolvido pela WK Sistemas utiliza a plataforma FAST DATA, última tendência em processamento de dados, e a tecnologia in memory, que oferece agilidade na consulta de informações já registradas.

Como comparação, a tecnologia in memory é utilizada por poucos bancos de dados de prateleira, como são chamados os sistemas comprados de forma separada. Somado a isso, aqueles que utilizam essa solução têm políticas comerciais que acabam elevando os custos para as empresas interessadas. Ou seja, você até pode ter a tecnologia, mas acaba pagando mais por isso.


FONTE: BLOG WK SISTEMAS






terça-feira, 10 de dezembro de 2019

LGPD: Como fazer uma adequação legal dos contratos de trabalho?


LGPD traz impactos em relação aos contratos de trabalho que as empresas já tenham com seus funcionários.


Com a nova Lei Geral de Proteção de Dados (LGPD), mostrou-se essencial para as empresas verificarem as novas regulamentações em relação a seus bancos de dados em vistas ao cumprimento da nova legislação. É importante ressaltar que esta lei traz, inclusive, impactos em relação aos contratos de trabalho que as empresas já tenham com seus funcionários.
A partir desta disposição legal, para realização das atividades nas quais haja tratamento de dados, é imprescindível a observância dos parâmetros para armazenamento e coleta, assim como o devido registro em relatórios e nomeação de um encarregado de proteção de dados pessoais, entre outras deliberações advindas da lei.
Ainda pensando na adequação legal dos contratos de trabalho que mantêm e nas novas contratações que poderão realizar, é muito importante as companhias contratarem uma assistência jurídica que realize serviços de análise de todos esses contratos, a fim de que possam se adequar às novas normas e até mesmo proceder com inclusão de cláusulas acerca do consentimento expresso e da responsabilidade específica no tocante ao tratamento de dados, para melhor atender às necessidades do empregador e dos empregados.
Neste passo, deverá ainda ser observado o prazo para armazenamento dos dados, não só de empregados, mas também de todos os indivíduos dos quais houver a coleta de dados, ainda que na fase pré-contratual, motivo pelo qual as cautelas deverão ser adotadas desde o anúncio de emprego até o fim da relação contratual.
E, assim sendo, é essencial que todas as empresas busquem auxílio profissional adequado, em especial auxílio jurídico, para que haja uma análise completa de condutas a serem adotadas e revisão dos contratos a qualquer tempo, bem como solicitar a elaboração de modelos para adequação às inovações trazidas, para que possam atuar com segurança jurídica dentro dos parâmetros legais.
                                                                                          FONTE:PORTAL CONTÁBEIS

eSocial: Governo faz corte pesado nos layouts do sistema


O eSocial vai cair de 2000 mil layouts para 500 no começo de 2020


eSocial vai cair de 2000 mil layouts para 500 no começo de 2020. A promessa foi feita pelo secretário especial de Previdência e Trabalho do Ministério da Economia, Rogério Marinho, ao participar de seminário promovido pelo Conselho das Federações Empresariais de Santa Catarina (COFEM), nesta quinta-feira, 05/12, na FIESC, em Florianópolis.
“Vamos apresentar o novo modelo muito mais simplificado e desburocratizado e também vamos ter um novo modelo para micro, pequenos e médios empresários”, afirmou ele, lembrando que o eSocial tinha cerca de 2000 mil layouts no início do ano e deve reduzir para 500 no início de 2020. “O eSocial vai mudar para tornar o ambiente de negócios melhor”,adicionou.
eSocial é um sistema pelo qual as empresas comunicam ao governo federal, periodicamente, indicadores de saúde e segurança do trabalhador, informações trabalhistas, previdenciárias, tributárias e fiscais. Durante a palestra, Marinho fez um panorama das diversas medidas tomadas pelo governo ao longo do ano em áreas como a fiscal, econômica, privatizações e concessões e chamou a atenção para a modernização das Normas Regulamentadoras (NRs).
“Quando cheguei na Secretaria, sabia que era complicado, mas não sabia que era tanto. As 37 NRs da saúde e segurança do trabalho permitiam 6.970 tipos de multas. Estabelecemos um grupo de trabalho para fazer a customização das normas dentro da comissão tripartite. As 10 primeiras NRs já foram customizadas e as outras serão melhoradas ao longo de 2020. Estamos num processo gradativo de alinhar sem perder de vista a segurança e a saúde de quem trabalha”, completou.
                                                                           FONTE:PORTAL CONTÁBEIS

Servidor desprotegido da UEESP expõe dados de milhares de universitários paulistas


Uma plataforma desenvolvida por terceiros sob encomenda da União Estadual de Estudantes de São Paulo (UEESP) acabou expondo milhares de documentos sensíveis de universitários que realizaram o pedido de suas carteirinhas de estudante, conforme apurado com exclusividade pela The Hack. O problema estava justamente no servidor utilizado no site pelo qual o interessado podia adquirir o documento, que dá direito a descontos, benefícios e a tradicional meia-entrada em sessões de cinema, por exemplo.

Trata-se de mais um caso de configuração inapropriada de um bucket do serviço Amazon Simple Storage Service (S3), que, por estar definido como sendo de acesso público, permitia que qualquer internauta tivesse acesso aos arquivos armazenados lá ao simplesmente saber o endereço específico do servidor. O problema foi denunciado por um leitor da The Hack que preferiu se manter no anonimato — as apurações penduram desde o dia 09 de setembro, primeira data em que fomos informados sobre o incidente.


A UEESP, para aqueles que não estão familiarizados com a entidade, é uma tradicional organização estudantil cujas origens datam do final da década de 40 (de acordo com a própria instituição), já tendo sido presidida por figuras políticas famosas como o ex-governador José Serra e o ex-deputado José Dirceu. Trata-se de um capítulo local da União Nacional dos Estudantes (UNE) e é famosa por mobilizar campanhas, manifestações e ações em prol dos direitos estudantis e da sociedade como um todo.

Atualmente, um de seus “produtos” é o Documento do Estudante, uma carteirinha dupla que serve como comprovação de matrícula universitária (para que o portador tenha direito a descontos e meia-entrada) e também como um cartão de crédito pré-pago, que pode ser recarregado com qualquer valor pela internet e utilizado para realizar pagamentos em qualquer maquininha. Para obter o Documento do Estudante, o interessado precisa fazer um registro, arcar com uma taxa e provar que está matriculado em um curso superior.

O mesmo erro de sempre

O problema é que a plataforma responsável por todo esse gerenciamento do Documento do Estudante — pedido de novos cartões, recargas e até mesmo uma ferramenta de validação (usada por estabelecimentos para garantir que a carteirinha é real) — foi construído com base em um bucket (servidor) do serviço Amazon S3, e tal ambiente estava configurado de forma errônea permitindo que qualquer indivíduo pudesse ter acesso aos arquivos e dados armazenados lá.

Visto que o bucket possuía uma quantidade imensa de documentos, a The Hack não foi capaz de apurar seu conteúdo em totalidade, mas encontrou, com facilidade, cópias digitalizadas de RGs, CNHs, Documentos de Estudante digitais (com nome, foto, instituição de ensino, CPF e data de nascimento), boletos de mensalidades escolares e atestados de matrículas. Esses últimos, obviamente, incluem ainda mais informações pessoais, como endereço completo, email e telefone do universitário.

De acordo com a fonte que nos notificou a respeito do problema, foi possível encontrar cerca de 2 mil documentos de cunho pessoal no servidor desprotegido.


Uma vez validada a vulnerabilidade, a The Hack entrou em contato com a UEESP no dia 05 de novembro, mas, a priori, não obteve resposta. A instituição só se pronunciou no dia 15 do mesmo mês e o problema só foi resolvido na totalidade no dia 27. Confira a nota da entidade na íntegra:

Em resposta ao questionamento levantado pelo veículo The Hack, sobre a exposição dos dados cadastrais dos estudantes na plataforma das Carteirinhas, informamos que ao, trocar os fornecedores e responsáveis pela emissão dos documentos dos estudantes, a empresa Two Wins, antiga contratada responsável pelas CIEs, cometeu uma falha de segurança, que já foi solucionada.

Tal disponibilidade irregular e insegura é de enorme preocupação à UEE-SP, que não pode e nem tem como se responsabilizar pelo ocorrido, mas que não mediu esforços para solucionar a questão o quanto antes. Os arquivos sensíveis dos cadastrados estão sob sigilo e disponíveis apenas para eventuais auditorias, conforme a Lei nº 12.933, de 26 de dezembro de 2013, que regulamenta a meia-entrada.

Ressaltamos que os dados contidos tanto nas nossas bases, quanto nas bases de dados de parceiros não vão além dos exigidos por lei, e que estamos de acordo com as normas exigidas pelos órgãos de regulamentação. Sendo assim, somos gratos pelas observações apontadas e confirmamos que a Two Wins corrigiu a vulnerabilidade.





Falta de especialização?

Como já dissemos diversas vezes aqui na The Hack, a má-configuração de ambientes na nuvem é um dos problemas de segurança mais comuns de 2019 — e possivelmente continuará sendo em 2020.

Muitas empresas e profissionais estão se sentindo pressionados a adotar a cloud em seus negócios mesmos sem o devido conhecimento técnico para garantir a segurança da informação nesse tipo de infraestrutura, o que acaba causando incidentes deste tipo — não só na AWS S3, mas em outras ferramentas como a Elastic.

No mês passado, durante o Roadsec São Paulo 2019, Marcos Oliveira, country manager da Palo Alto Networks, afirmou que “é comum encontrar clientes que, por não ter um conhecimento profundo sobre a nuvem, desconhecem os reais riscos de exposição de informações sensíveis ou a melhor

forma de reagir a um incidente cibernético”. Para ele, o mercado de cloud é extremamente carente de mão-de-obra especializada, o que simboliza inclusive uma ótima oportunidade profissional para novos jovens.




Quem também pensa assim é Henrique Vaz, CEO da CleanCloud (serviço que analisa ambientes cloud e provê orientações a respeito de eventuais vulnerabilidades). À The Hack, o executivo explica: “Um profissional de segurança está sempre lidando com incidentes e a Amazon Web Services, por default, deixa portas abertas. Às vezes, essa pessoa cria um ambiente que por padrão está desprotegido e com a correria do dia-a-dia nem sequer percebe”.

Esse tipo de exposição indevida já causa prejuízos financeiros e morais incalculáveis; porém, com a iminente chegada da Lei Geral de Proteção de Dados (LGPD), que deve entrar em vigor em agosto de 2020, as penalidades para quem descuidar dos dados de seus clientes ficarão ainda mais pesadas.

                                                                            FONTE: THE HACK