LGPD: multas começam a valer a partir de domingo (1º)

A nova legislação prevê advertências e penalidades que podem chegar a 2% do faturamento das empresas.

A partir de domingo (1º), a Lei Geral de Proteção de Dados (LGPD) entra em vigência completa, ou seja, órgãos do governo poderão advertir e multar empresas caso não estejam em conformidade com a nova lei que protege os dados pessoais dos brasileiros.

As penalidades podem chegar a 2% do faturamento das companhias, com limite de R$ 50 milhões. Contudo, especialistas afirmam que as mudanças não acontecerão do dia para a noite. 

Os parâmetros gerais para aplicação das multas constam nos artigos 52, 53 e 54 da LGPD. Os critérios poderão ser utilizados contra “agentes de tratamento de dados” (ou seja, qualquer companhia ou órgão público que armazene e manipule informações digitais de cidadãos) que desrespeitarem a legislação nacional, que estava em vigor desde 2020 em período de adaptação até então. 

As penalidades poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), entidade criada pela LGPD para regular e fiscalizar o assunto no País, pelos órgãos de defesa do consumidor (como o Procon) e também pela Justiça brasileira. Cidadãos poderão fazer denúncias em casos de desrespeito ao tratamento de dados, permitindo que a situação seja apurada.

Comprovadas as infrações, autoridades poderão aplicar advertências. Nessa advertência, a ANPD pode indicar um prazo para que seja corrigida a falha que permitiu o vazamento, por exemplo. Também é possível bloquear os dados pessoais de quem foi atingido, assim como impedir que a companhia acesse parcialmente o banco de dados por até seis meses no máximo, dando tempo para que seja consertado o erro. 

Critérios LGPD

A nova legislação determina alguns critérios a serem seguidos para definir qual sanção aplicar em cada caso. Entre os parâmetros citados, estão:

• a gravidade e a natureza das infrações e dos direitos pessoais dos afetados;
• a condição econômica do infrator; 
• a cooperação do infrator; 
• a reincidência;
• a adoção de política de boas práticas e governança. 

Mesmo com essas diretrizes, especialistas defendem que serão necessárias regras mais claras para definir o que é uma advertência, multa ou suspensão temporária de banco de dados.

A ANPD já indicou que não pretende fazer uma “indústria de multas” e que planeja trabalhar junto às empresas para formar uma cultura de dados no País.

“Queremos que o titular de dados (o cidadão) entenda seus direitos, que as pequenas e grandes empresas possam adequar suas estruturas”, afirmou o presidente da Autoridade, o coronel Waldemar Gonçalves, em evento promovido pela Federação Brasileira de Bancos (Febraban) em junho.

“Não vamos gerar quebradeira de empresas nem a ideia coercitiva de repressão.” Procurada pela reportagem, a ANPD não respondeu a pedidos de comentário.

                                                                               PORTAL CONTABEIS

Megavazamento compromete 13 mil documentos de 227 milhões de brasileiros

 Um novo estrondoso vazamento de dados que afeta o público brasileiro pode ter comprometido 13 mil documentos, como RGs, CPFs e carteiras de habilitação de um total de 227 milhões de usuários nacionais. Dois cibercriminosos, identificados como “YZK” e “Sr_Siriguejo”, colocaram os dados à venda em um fórum, junto a uma amostra com informações de 2,5 milhões de pessoas.

As informações foram divulgadas pela empresa de cibersegurança Syhunt, em um relatório enviado ao site TecMundo. Os criminosos responsáveis estão vendendo dois pacotes de dados vazamentos: o primeiro traz 13 mil fotos e documentos (incluindo números de cartão de crédito) e o segundo traz os nomes das mães de 227 milhões de brasileiros — a amostra grátis oferecida traz 2,5 milhões de nomes.

Segundo a investigação conduzida pela Syhunt, o mesmo pacote com as 13 mil fotos, com tamanho total de 1,2 GB, foi posto à venda por dois cibercriminosos que parecem agir de maneira independente. “A origem e o ano das fotos dos documentos não é revelada pelos hackers. Uma foto fornecida como amostra mostra uma mulher segurando sua carteira de identidade que teria sido emitida em 2011 no Estado de São Paulo”, afirma a empresa.

Imagem: Divulgação/Syhunt

As informações pessoais dos 227 milhões de brasileiros foram postas à venda no domingo (26) e supostamente foram obtidas a partir do DETRAN/DF em 2019 — ainda não há confirmação do órgão ou mais detalhes sobre como isso poderia ter acontecido. Além dos nomes das mães, o pacote de 37,7 GB inclui nome completo, data de nascimento, gênero, a condição se a pessoa está viva ou não, e o endereço residencial completo.

Conforme o Syhunt explica, muitas dessas informações já estavam presentes em vazamentos de dados anteriores, com a exceção dos nomes das mães. O conteúdo é valioso, especialmente por ser usado como uma solução para as etapas de validação de serviços online, também podendo ser aplicado em golpes de engenharia social.

Como se proteger?

Assim como aconteceu com os grandes vazamentos registrados em janeiro e em fevereiro deste ano, os dados postos à venda têm grande chances de já estarem circulando pela internet. Assim como nas situações anteriores, o mais provável é que essas informações vão ser usadas em golpes de phishing. Veja como se proteger:

• Não clique em links suspeitos que chegam à caixa de e-mail, mesmo que eles usem alguns dados familiares;
• Desconfiar de contatos por WhatsApp ou por redes sociais de pessoas que você desconhece;
• Ative a autenticação em dois fatores de todas as contas e serviços que os oferecem;
• Caso algum contato solicite um pagamento usando um número desconhecido, ligue para a pessoa para confirmar a situação. Há grandes chances de mensagens de texto usando identidade de conhecidos revelarem-se como golpes;
• Tenha sempre um software de proteção instalado em seu computador ou celular, e certifique-se de mantê-lo atualizado.
•                                                                                   FONTE:CAMALTECH

Vazamentos de dados nunca custaram tanto às empresas

 Os vazamentos de informações internas, de clientes ou segredos industriais custam, em média, US$ 4,24 milhões para as empresas atingidas. A conta gigantesca representa o maior valor histórico de uma pesquisa realizada pela IBM, com um crescimento de 10% que aponta a adoção descuidada do home office diante da pandemia do novo coronavírus como o principal fator que levou a um aumento no número de ataques e nos prejuízos causados por eles.

A cifra aparece na versão 2021 de um relatório que estuda o custo de violações de dados. Em 2020, esse montante era de US$ 3,86 milhões, e o comprometimento de dados e extorsão após golpes de ransomware ou invasões de redes foi um dos principais vetores. O levantamento aponta uma balança desequilibrada, com redução no aparato de segurança e maiores vulnerabilidades com ataques cada vez mais sofisticados por grupos especializados, que resulta em um boleto dos maiores e mais doloridos.

Aumentou, também, o tempo de resposta aos incidentes. De acordo com o relatório da IBM, alguns comprometimentos podem passar até 212 dias sem serem descobertos, enquanto as empresas levaram em média 75 dias para conter um vazamento desse tipo. Novamente, a multiplicidade de dispositivos, conexões e diferentes aparatos de segurança resultantes da adoção rápida do trabalho remoto são citados como complicadores. Aumentaram também os custos envolvidos nessa mitigação, com necessidade de gastar US$ 1 milhão adicionais nesse trabalho.

Trata-se de mais uma constatação de que a corrida para os regimes híbridos tiveram altíssimo impacto na segurança, e seguem dessa maneira, ainda mais com a perspectiva de muitas empresas adotarem tais dinâmicas como os padrões para o futuro. Por outro lado, a IBM vê um aumento no aparato de segurança como resultado dessa movimentação e, também, do fluxo maior de ataques cibernéticos.

Na direção contrária, o relatório aponta que empresas que empregaram soluções modernas de contenção, com inteligência artificial para análise de ameaças ou criptografias mais fortes, economizaram até US$ 1,49 milhão. Isso se deve tanto à dificuldade maior na realização de ataques quando à presença de mecanismos mais consolidados quando uma intrusão efetivamente acontece, também com redução no tempo de resposta.

O vice-presidente e diretor-geral da IBM Security, Chris McCurdy, aponta ainda que a adoção de dinâmicas zero trust, com checagens constantes de dispositivos e impedimento de acesso caso certos critérios de proteção não estejam presentes, também ajudaram. São estas, apontam o relatório, as tendências para 2021 e além, com a expectativa de que, no próximo relatório, os custos envolvidos nos vazamentos de dados não atinjam um novo recorde.

A pesquisa da IBM leva em conta incidentes ocorridos em 500 organizações de todo o mundo, entre maio de 2020 e março deste ano. O relatório é anual e pode ser acessado na íntegra.

                                                                                     FONTE:CANALTECH

                                                                            

Estes são os grandes perigos para a segurança na nuvem de empresas em 2021

 Em um momento no qual cresce o uso corporativo de aplicações na nuvem — muito disso incentivado pela grande transição para o home office iniciada em 2020 —, também aumentam os riscos associados. A edição de julho de 2021 do Netskope Cloud and Threat Report mostra que 68% de todo o malware que chega às organizações têm usado sistemas desprotegidos para se propagar.

A tendência reflete o aumento de 22% no uso de aplicações baseadas na nuvem testemunho durante os seis primeiros meses deste ano. Segundo o estudo, uma empresa média (entre 500 a 2 mil funcionários) costuma usar, em média, 805 aplicações e serviços em nuvem distintos, sendo que pelo menos 97% delas não são sancionadas ou possuem suporte oficial das equipes de tecnologia da informação (o chamado shadow IT).

O uso não autorizado de aplicativos vem acompanhado pelo fato de que 97% dos usuários do Google Workspace consultado admitirem que deram autorização para que ao menos um app terceiro tivesse acesso a suas contas corporativas. As permissões concedidas incluem desde a visualização de arquivos até o poder de gerenciar arquivos do Google Drive — algo que ajuda a aumentar as portas de entrada usadas por atacantes externos.

Imagem: Captura de Tela/Felipe Gugelmin/Canaltech

Confira algumas das principais conclusões do relatório, gerado a partir de milhões de usuários da plataforma Netskope Security Cloud entre os dias 1º de janeiro e 30 de junho de 2021:

• 97% das aplicações em nuvem não foram aprovadas nem são gerenciadas pelos departamentos de tecnologia de informação das empresas;
• 97% dos usuários do Google Workspace forneceram ao menos uma autorização a aplicativos externos para que eles possam acessar e gerenciar contas corporativas do Google;
• Mais de 35% de todas as cargas de trabalho do AWS, Azure e CPG estão expostas à internet pública. Destas, 8,3% usam servidores RDP (Remote Desktop Protocol) expostos, que são um vetor popular para invasores;
• Documentos maliciosos do Office correspondem a 43% de todos os downloads de malware;
• 67% dos malwares são distribuídos por aplicações de armazenamento na nuvem.

Outra informação que chama a atenção na pesquisa é a tendência que empregados têm de exfiltrar quantidades significativas de dados para aplicativos pessoais nos últimos 30 dias de trabalho. Desses, 15% se originam de aplicações corporativas ou violam diretamente políticas de dados das empresas — o Google Drive e o Microsoft OneDrive são as principais plataformas usadas na ação.

Imagem: Captura de Tela/Felipe Gugelmin/Canaltech

O uso de aplicativos não autorizados pelas equipes de tecnologia da informação é o ponto que mais demanda atenção das empresas. Com a transição para o home office, é comum ocorrerem misturas entre dados corporativos e pessoais e o uso de ferramentas não autorizadas podem servir como porta de entrada não somente para malwares, mas também para golpes que roubam credenciais e para ataques de ransomware, que prejudicam todas as atividades de uma corporação de seus parceiros.

                                 FONTE:CANALTECH

EFD-Contribuições: confira a nova versão do programa

 A nova versão 5.0.1 do programa da EFD-Contribuições flexibiliza a validação e transmissão das escriturações das Sociedades em Conta de Participação.

A Receita Federal disponibilizou na última sexta-feira (23) a versão 5.0.1 do programa da EFD-Contribuições.

A atualização flexibiliza a validação e transmissão das escriturações das Sociedades em Conta de Participação (SCP). 

Agora, a regra de comparação entre o COD_SCP informado no registro 0035 e o CNPJ informado no registro 0000 passa a emitir aviso. Ela voltará a emitir erro em uma futura versão do PGE, a ser informada com antecedência no site da EFD-Contribuições.

Vale lembrar que a atualização para a versão 5.0.1 não é obrigatória, sendo recomendada apenas para os usuários afetados pelas alterações mencionadas.

Download EFD-Contribuições

O Programa Gerador da Escrituração Fiscal Digital das Contribuições incidentes sobre a Receita (EFD-Contribuições), versão Java, pode ser utilizado nos sistemas operacionais abaixo, desde que obedecidas as seguintes instruções:

1) A Máquina Virtual Java está embutida na aplicação e será instalada juntamente com ela, por compatibilidade de versões

2) Selecione o programa de acordo com o sistema operacional, faça o download e o instale:

A) Para Windows: EFDContribuicoes_w32-5.0.1.exe

B) Para Linux (32 bits): EFDContribuicoes_linux_x86-5.0.1.jar

C) Para Linux (64 bits):  EFDContribuicoes_linux_x64-5.0.1.jar

Versão 5.0.1

Alguns programas antivírus instalados no computador, bem como algumas permissões de execução, poderão gerar conflitos na execução do PGE. Deve o usuário observar as orientações contidas nas perguntas frequentes da EFD-Contribuições.

É recomendável fazer backup periódico das escriturações existentes no PGE, removendo as mais antigas, pois o desempenho do programa pode ficar comprometido ou lento com excesso de escriturações. 

Antes da instalação de uma nova versão, é recomendável fazer um backup completo das escriturações armazenadas no PGE, para evitar a perda de dados em caso de problemas no processo de instalação ou utilização do PGE.

                                                                   FONTE:PORTAL CONTABEIS

DCTFWeb: sua empresa está preparada?

A partir de novembro, dados previdenciários de médias e pequenas empresas e contribuintes deverão ser entregues em novo formato, que substituirá a atual GFIP.

A DCTFWeb (Declaração de Débitos e Créditos Tributários Federais Previdenciários e de Outras Entidades e Fundos) é uma obrigação acessória que facilita a declaração de contribuições e tributos para a Receita Federal — um envio que antes era feito por meio da Guia de Recolhimento do FGTS e de Informações à Previdência Social (GFIP).  O documento diz respeito à confissão de débitos de contribuições previdenciárias e de contribuições destinadas a terceiros.

O início da obrigatoriedade de envio, para parte das empresas do grupo 2 e integrantes do grupo 3 do eSocial, foi prorrogado para novembro (relativo aos fatos geradores de outubro), dando um fôlego a mais para quem ainda não adaptou. Com isso, a IOB, uma marca da ao³, referência nas áreas contábil, fiscal, tributária e trabalhista, alerta para a importância de adequação.

O documento é gerado a partir das informações prestadas por meio do eSocial e da EFD-Reinf, escriturações digitais integrantes do Sistema Público de Escrituração Digital (SPED) . Após o fechamento desses dados, a DCTFWeb recebe automaticamente os respectivos débitos e créditos, realiza vinculações, calcula o saldo a pagar e possibilita a emissão da guia de pagamento.

O processo de substituição da GFIP pela DCTFWeb está acontecendo gradativamente. Atualmente, ela já ocorre, para efeitos previdenciários, para as empresas do grupo 1 e parte das do grupo 2 do eSocial. A partir da competência outubro de 2021, outra parte do 2º grupo do eSocial (empresas não optantes pelo Simples Nacional com faturamento de até R$ 4,8 milhões) e Grupo 3 (empresas optantes pelo Simples Nacional, microempreendedor individual/MEI, produtores rurais pessoa física, empregadores pessoa física – com exceção dos domésticos –, e entidades sem fins lucrativos) deverão enviar a DCTFWeb.

É importante ressaltar que a DCTFWeb mensal deverá ser apresentada até o dia 15 do mês seguinte ao da ocorrência dos fatos geradores. Quando o prazo previsto não acontecer em dia útil, a entrega deverá ser antecipada para o dia útil imediatamente anterior.  Vale lembrar também que a empresa precisa se adequar, pois para a liberação de informações à DCTFWeb, é importante que os eventos de fechamento do eSocial e/ou da EFD-Reinf conste como “enviado com sucesso”.

Caso a entrega não seja feita dentro do prazo estipulado ou com erros ou omissões, as empresas ficarão sujeitas a penalidades. Quem continuar usando o sistema antigo para o pagamento e emissão da GFIP terá problemas na prestação de contas ao Fisco.

Para evitar dor de cabeça, o ideal é começar agora com seguintes passos:

1. Acessar o site da RFB;
2. Selecionar a opção “Atendimento Virtual e-CAC”;
3. Apertar o botão “Acessar”;
4. Informar o código de acesso ou selecionar o certificado digital;
5. Ao acessar o DCTFWeb, a tela inicial apresentará o quadro “Relação de Declarações”, evidenciando as declarações que ainda não foram transmitidas, ou seja, estão “em andamento”;
6. Ao clicar “editar”, o programa permitirá a visualização das informações completas para as conferências;
7. Quando estiver tudo certo, clique em transmitir;
8. Por fim, clique em emitir a DARF. 

“A DCTFWeb é mais uma iniciativa do Governo de simplificar o recolhimento de tributos e cumprimento de obrigações. Como foi adiada, ainda dá tempo de empresas e contadores se organizarem com as novidades da entrega. Agora com mais prazo, o ideal é não deixar para última hora para evitar o sufoco na hora do envio e possíveis multas”, afirma Mariza Machado, especialista da IOB/ao³.

                                                                        FONTE:PORTAL CONTABEIS

E-mail criminoso usa imagem para tentar roubar credenciais do Office 365

 Golpes de phishing — que escondem ameaças dentro de mensagens que parecem ser verdadeiras — não são novidade, e por isso mesmo todos os serviços de e-mail possuem filtros que as detectam e excluem automaticamente. Tentando burlar os sistemas de segurança, criminosos têm recorrido a novos métodos para enganar suas vítimas, incluindo o uso de imagens que imitam o formato de um texto.

Uma análise conduzida pela Kaspersky mostra que isso vem acontecendo em um novo tipo de golpe que tenta roubar credenciais do Microsoft Office 365. Os criminosos responsáveis estão usando um texto em imagem e incorporando ela ao corpo de e-mails usando a codificação Base64, garantindo que elas são carregadas automaticamente.

O falso e-mail alerta sobre atividades incomuns encontradas na conta do usuário, que é aconselhado a clicar sobre um link de verificação. Ao fazer isso, a vítima é levada a um site externo no qual é convidada a inserir seu endereço de e-mail e senha de acesso, que são roubados pelos criminosos.

Segundo a Kaspersky, o fato de a mensagem conter somente uma imagem deve despertar imediatamente a atenção de que a abre. Caso restem dúvidas sobre isso, basta tentar destacar uma palavra específica para ver que isso não é possível, e o redimensionamento de janelas não muda o comprimento do suposto texto.

Como se manter protegido?

Também chama a atenção o design do texto, que usa fontes diversas com tamanhos e espaçamentos estranhos, e do site usado pelos golpistas. A página criada para roubar as informações pessoais não somente não pertencente à Microsoft (o que é denunciado por um banner do Wordpress), como sua simplicidade mostra que não houve muito tempo dedicado a criá-la.

Além de ficar atento a esses elementos, usuários que desejam se manter protegidos também precisam investir em sistemas de segurança capazes de detectar tentativas de phishing em diversos fatores que vão além do texto. No campo empresarial, também são necessários treinamentos constantes sobre comportamento digital, especialmente em um momento no qual casa e escritório se confundem com a adoção de rotinas baseadas no home office.

                                                                   FONTE:CANALTECH

Malware que rouba senhas do Windows se espalha em anúncios pagos de buscadores

 Um novo tipo de malware está usando os anúncios exibidos em buscadores como o Google e o Bing para se espalhar. Descoberta pela empresa de segurança BitDefender, a ameaça é capaz de roubar senhas do Windows, instalar mineradores de criptomoedas (cryptojacking) e abrir a porta para que trojans e outras ameaças entrem em uma máquina.

O malware foi batizado como MosaicLeader e tem como foco o sistema operacional da Microsoft, criando exceções no Windows Defender para nomes de arquivos específicos. A BitDefender afirma que o nome foi escolhido pela estrutura interna intrincada da ameaça, que tem como objetivo evitar sua engenharia reversa e a análise por especialistas de segurança.

O MosaicLeader se espalha a partir de anúncios pagos, que prometem oferecer a usuários interessados o download de softwares pirateados. Ao se infiltrar em um sistema, ele cria uma cadeia complexa de processos e tenta baixar diversas ameaças adicionais, incluindo ladrões de cookies, mineradores e até mesmo backdoors (pragas que abrem brechas de acesso) como o Glupteba.

Imagem: Captura de Tela/Felipe Gugelmin/Canaltech

Para evitar a desconfiança das vítimas, o MosaicLeader reproduz todas as informações e sistemas de arquivos dos softwares que promete oferecer gratuitamente. No entanto, apesar de nomes e estruturas de pastas serem copiadas, somente o programa malicioso realmente é instalado nas máquinas das vítimas.

Usuários domésticos são os principais alvos

A análise conduzida pela empresa de segurança mostra que o malware não tem como alvo países ou organizações específicas. No entanto, como ele está associado ao download ilegal de produtos protegidos, a expectativa é que as principais vítimas sejam usuários domésticos em busca de programadas crackeados.

Imagem: Captura de Tela/Felipe Gugelmin/Canaltech

A distribuição através de sistemas de busca traz um risco adicional, visto que os anúncios pagos tendem a ganhar mais destaque sobre aqueles considerados legítimos. Como essas propagandas são adquiridas através de um sistema automatizado, são poucas as chances de que as empresas que o operam saibam que os links promovidos contêm malwares antes que eles sejam denunciados.

A BitDefender aconselha que usuários que desejam se manter à salvo do malware devem evitar o download de qualquer arquivo de sites suspeitos, especialmente aqueles que prometem versões desbloqueadas e gratuitas de apps pagos. Ela também aconselha que empresas adotem proteções adicionais para evitar que funcionários em sistemas de Home Office sejam afetados.

                                                                            FONTE:CANALTECH

eSocial: Governo Federal lança layout da nova versão simplificada

 Projeto do Governo busca digitalizar e unificar o envio das informações fiscais, previdenciárias e trabalhistas no eSocial.

A partir desta segunda-feira (19) os usuários do eSocial vão ter acesso ao novo layout, desenvolvido pelo Serpro, que facilita o envio de informações.

A mudança, que faz parte da nova fase do eSocial, é um projeto do Governo Federal que busca digitalizar e unificar o envio das informações fiscais, previdenciárias e trabalhistas das empresas brasileiras para cerca de 6 milhões de empregadores e 40 milhões de empregados. 

“O eSocial simplificado reduziu a quantidade de informações que devem ser enviadas pelos usuários, com a diminuição do número de eventos e de campos exigidos no formulário. Também excluímos as informações cadastrais em duplicidade, ou seja, aquelas que já estão disponíveis em outras bases de dados”, explica o gerente do Departamento de Negócios Soluções para Escrituração Fiscal, Trabalho e Fundo de Garantia do Serpro, Arnaldo Santana.

Além da atualização das soluções web do eSocial, que atendem aos empregadores domésticos e empresas em geral, também foram atualizados os web services e o aplicativo mobile. 

“Isso só foi possível graças ao empenho dos diversos times responsáveis pelo eSocial. Mesmo em trabalho remoto, conseguimos atuar em sintonia com as áreas envolvidas, garantindo à sociedade brasileira os benefícios da desburocratização, simplificação e eficiência”, afirma o gerente do Departamento de Desenvolvimento de Escrituração Digital Tributária e Trabalhista do Serpro, Eduardo Maris.

Evolução do eSocial

O eSocial passou a ser obrigatório desde 2018 e sua implementação é baseada em um calendário, que prevê várias etapas. Ainda em 2018, a solução foi adotada primeiramente pelas empresas que tiveram faturamento anual superior a R$ 78 milhões. De início, elas deveriam enviar apenas cadastros do empregador e tabelas. A última fase desse chamado “Grupo 1”, que deverá acontecer no próximo mês de outubro, será a do envio dos dados de segurança e saúde no trabalho (SST).

Posteriormente, começaram as fases das empresas do “Grupo 2”, aquelas com faturamento, no ano de 2016, de até R$ 78 milhões e não optantes pelo Simples Nacional. Em 2019, foi a vez das empresas do “Grupo 3”, que compreendem os optantes pelo Simples Nacional, empregadores pessoa física, produtor rural e entidades sem fins lucrativos. 

Um último grupo, que compreende entidades e órgãos públicos federais, ingressará no eSocial já na próxima quarta-feira, dia 21. “Antes mesmo de concluir as implantações do mês de julho, as equipes técnicas já estão trabalhando no próximo desafio para o eSocial, que é a utilização do sistema pelos órgãos públicos. A fim de garantir a estabilidade do serviço, as atividades técnicas foram iniciadas para a revisão da arquitetura do serviço e atualização tecnológica da infraestrutura alocada para o sistema”, ressalta o gerente da Divisão de Negócios Soluções de Escrituração da Folha Digital das Empresas do Serpro, Leonardo David Rocha..

Segundo Eduardo Maris, a implantação do “Grupo 3” do eSocial foi especialmente importante. “Enfrentamos um grande desafio, já que esse grupo representa um grande volume de empresas: são mais de 3 milhões de empregadores e, aproximadamente, 15 milhões de trabalhadores”, avalia o gerente.

Funcionalidades

Os usuários do sistema contam com serviços de integração com os softwares de gestão corporativa; portais web para acesso das empresas e do cidadão; aplicativo mobile para trazer mobilidade à gestão dos empregados; chatbot para responder ao questionamento dos empregadores domésticos; lago de dados para possibilitar o consumo dos dados do eSocial; e serviço de download para possibilitar que as empresas/empregadores recuperem as informações enviadas para o eSocial.

                                                                   FONTE: PORTAL CONTABEIS

LGPD: o ciclo de vida dos documentos físicos e digitais

 A lei determina que todo o arquivo que contenha dado pessoal seja processado, armazenado e após o término da sua finalidade, seja protegido, armazenado ou descartado.

A Lei de Proteção de Dados (LGPD) já está em vigor e agora, a partir de agosto, começarão a ser aplicadas multas e sanções.

Com a proximidade, confira algumas dicas para ajudar as empresas, que lidam diariamente com documentos físicos e digitais, a preservarem os dados dos seus clientes e não sofrerem sanções.

Como gerenciar os dados

O primeiro passo para estar em conformidade com a Lei Geral de Proteção de Dados é produzir um inventário de dados, que pode ser dividido em quatro categorias: 

1. Ativos: ferramentas e plataformas que armazenam os dados;
2. Atividade de tratamento: processos que envolvem as coletas dessas informações; 
3. Bases de fornecedores: tudo que é armazenado de terceiros;
4. Entidades jurídicas: eventuais contratados para coletar e processar informações pessoais - é necessário registrar quais métodos e meios foram utilizados.

Após esse levantamento, é necessário fazer um relatório de conformidade, que determinará o tempo que cada dado ficará armazenado – a apresentação dele é obrigatória caso a autoridade responsável solicite uma auditoria.

Se a empresa não tem profissional ou área especializada, o ideal é buscar ajuda com especialistas da área que orientam sobre esse processo de inventário. Outra forma de controlar, é criar planilhas e formulários online, que correlacionem as informações coletadas com demais fases do mapeamento dos dados pessoais.

O ciclo da vida do documento

A LGPD exige que todo documento que contenha dado pessoal tenha um ciclo de vida definido, isso significa que a empresa deve processar, armazenar e após o término da sua finalidade, destruir ou armazenar esse material, caso necessário devido a outras leis ou regulamentações.

Para que isso aconteça respeitando a legislação, é indispensável criar um programa de privacidade para gerenciar tudo. O art. 37 impõe que, o controlador e operador devem manter o registro das atividades de tratamento. Ou seja, ele precisa identificar quais tipos de papéis/dados são arquivados na empresa, qual é a finalidade de cada um e a sua temporalidade, de acordo com as bases legais.

Apesar de não constar na lei uma tabela de temporalidade, é importante buscar entender quais são os prazos previstos para os arquivos, como atestados médicos, por exemplo. Uma dica é organizar uma tabela com tempo de guarda de documentos de acordo com instituições oficiais e órgãos governamentais, que indicam a temporalidade requerida por lei.

Como guardar o documento físico 

A destruição de alguns documentos só pode acontecer após um tempo mínimo de armazenamento. Enquanto isso, o papel precisa ser acomodado em um local com restrição de acesso, vigilância e um ambiente climatizado para que não haja degradação.

Esse espaço pode ser dentro da própria empresa ou em algum fornecedor especializado em guarda de documentos físicos - independentemente do tamanho da empresa esse recurso é o mais indicado por ter a segurança das informações garantida em contrato.

Como descartar os documentos 

Quando necessário, o descarte de um dado, principalmente o físico, deve acontecer de maneira segura. No mercado existem empresas especializadas nesse tipo de serviço, que após a destruição, emitem um certificado, comprovando o encerramento correto do ciclo da vida do documento. 

“A LGPD tem início e meio, mas não tem fim, pois os processos e dinâmicas mudam constantemente. Além disso, uma vez que você coleta dados, você é responsável por todo o ciclo, desde a coleta até a destruição.  Por isso, é importante sempre se manter atualizado para estar em conformidade e não sofrer com vazamentos e multas.”

                                                                                  FONTE:PORTAL CONTABEIS

Hospital é processado por paciente que teve dados vazados em ataque ransomware

 Além de ter que enfrentar os problemas administrativos gerados por um ataque de ransomware, o Hospital Universitário Mercy (MUH) na Irlanda também vai ter que lidar com a ira de ao menos um paciente. Um homem com câncer que prefere não revelar sua identidade iniciou um processo contra a instituição após ter suas informações confidenciais vazadas como consequência do incidente.

Segundo o advogado que representa o caso, Micheál O’Dowd, diversas informações relacionadas aos arquivos médicos de seu cliente (mas não todas) foram colocadas na dark web. Ele afirma que deve entrar com representações semelhantes para outras pessoas que estavam recebendo tratamentos contra câncer no hospital quando ele foi afetado pelo ataque.

O’Dowd afirma que seu cliente passou por um longo tratamento no MUH e que está plenamente satisfeito com os cuidados que recebeu. No entanto, ele está “compreensivelmente preocupado com os eventos que se desenrolaram”, e decidiu que é apropriado iniciar a ação legal contra a instituição.

“O próximo passo ao longo do caminho será buscar mais detalhes sobre o hack por meio do processo de descoberta nos tribunais”, explicou o advogado. Consultada pelo Irish Examiner, a direção do hospital afirmou que não pode fazer comentários sobre o assunto antes que os procedimentos legais adequados sejam feitos.

Hospital ainda se recupera dos ataques

Os ataques contra o MUH foram registrados no dia 14 de maio deste ano, resultando em 85 mil máquinas bloqueadas por criptografia. A gangue responsável pelo ataque exigiu US$ 20 milhões (R$ 100 milhões na cotação atual) em um resgate e, durante as negociações, decidiu divulgar as informações sensíveis de 520 pacientes na dark web, junto a correspondências e documentos relacionados a reuniões do serviço de saúde irlandês.

Dois meses após o ataque, o hospital ainda não conseguiu recuperar todos os documentos criptografados, tampouco retomou todas as atividades normais. Estimativas do Health Service Executive, organização que cuida dos serviços de saúde públicos do país, é que o custo total dos ataques excede os € 500 mil (R$ 3 bilhões), visto a necessidade de substituir muitos dos equipamentos afetados.

A situação do MUH é ilustrativa dos riscos financeiros que os ataques de ransomware trazem a empresas e instituições ao redor do mundo. Além de ter que lidar com os prejuízos das paralisações de suas atividades, elas também precisam se responsabilizar pelas consequências que as ações de cibercriminosos trazem a clientes, parceiros comerciais e fornecedores que têm suas informações confidenciais divulgadas publicamente.

                                                                          FONTE:CANALTECH