MySQL e o GDPR

O que é o GDPR?

Global Data Protection Regulation ou Regulamento Geral sobre Proteção de Dados é uma regulamentação, criado pela União Européia, mas, com abrangência global. Antes de ser uma regulamentação, é acima de tudo, um belo conjunto de boas práticas que deveria ser adotado por toda empresa que, de alguma forma, coleta e manipula dados de pessoas (físicas e/ou jurídicas) e estão interessadas em manter sua imagem institucional, além, obviamente, de mitigar prejuízos financeiros.

A GDPR não é uma regulamentação nem modismo de última hora. Ele começou a ser rascunhado em 2010, e, começou a ganhar corpo e forma por volta de 2012. Aprovado em 2016, quando foi definido sua data de entrada em vigor a partir de 25/06/2018, portanto, existiu um prazo extenso de quase 2 (dois) anos para que as empresas se adequassem à ele.

Inicialmente, foi criado para proteger os dados de cidadãos dos países membro da Comunidade Européia. Mas, certamente, transformar-se-á, rapidamente, em uma regra de boa prática, e, passar-se-á a exigir “compliance”.

Como isso afeta minha empresa e/ou meu site/produto online?

Hoje? Sinceramente? Muito pouco se voce não captura, tão pouco, manipula dados de cidadãos europeus. Por mais que fabricantes e prestadores de serviços estejam todos “animadinhos” em vender softwares e serviços “matadores” para resolver 100% das questões da GDPR.

No entanto, a GDPR é uma das regulamentações mais bacanas que eu já vi nestes meus 30 e poucos anos na área de TI. É um guia completo e gratuito de governança de dados.

E, se sua empresa pretende ficar bem na foto, acredite, terá que se adequar. Logo, haverá aqueles selinhos “100% GDPR”, “GDPR Approved”, não tenho dúvida.

Quais o principais pontos da GDPR?

Muitos “especialistas em GDPR” com mais de “20 anos de experiência” no assunto tem apregoado desastres corporativos para aqueles que não comprarem suas soluções. Não é nada disso, os principais pontos sobre a GDPR são:

  • Todo cidadão tem o direito de saber quando e quais dados seus são coletados, como são usados, e, acima de tudo, estarão protegidos e não poderão ser usados pelo Thanos, Loki, nem pela Stark Corporation
  • Deverá haver explícita autorização dos cidadãos para que seus dados possam ser coletados, e, haver meios de o mesmo poder solicitar a exclusão de seus dados
  • Possibilidade de portabilidade de seus dados entre serviços
  • No caso de vazamento dos dados, transparência total, comunicação pública e às autorizados em prazo não superior à 72 horas
  • Proteção de dados deve ser considerada ponto-a-ponto em todo serviço e aplicação, desde o inicio do desenvolvimento, assegurando que hardware, serviços, software, dados, e, descarte dos dados estejam protegidos
  • Criação do papel do DPO (Data Protection Officer) quer será responsável por coordenar o tratamento de dados e sua segurança

Vou ter que trocar meu MySQL? Ele atende a GDPR?

Disse o sábio Mestre Yoda: “Patience you must have my young Padawan”.  A GDPR na íntegra, está disponível em português (da terrinha) em Euro Lex. Li diversos textos correlacionados de juristas, especialistas, charlatões, e, de fabricantes de soluções. Estive, inclusive, na Oracle Open World Brazil, e, assisti tudo quanto possível sobre GDPR, e, falei com todos que pude sobre isso.

Minha resposta sobre se o MySQL é ou não compatível com a GDPR irá chocar você. E, a resposta é: Depende! (agora é quando voce olha aquele vídeo de um monte de caras gritando e dançando).

A GDPR não tem nada a ver com o seu RDBMS, seja ele MySQL, DB2, Oracle, PG, SQL Server. Não tem nada a ver com funcionalidades ou características. Não deixe o vendedor de licenças enganar você.

A GDPR tem mais a ver com boas práticas corporativas, respeito ao seu cliente e suas informações (governança de dados).

Portanto, não adianta voce ter um bando de banners legais no seu site “autoriza cookies”, utilizar Oracle Database com Oracle Vault e Oracle Firewall, firewall de borda da nasa adornado pelas jóias do infinito,  se, os dados podem ser negociados naquela rua conhecida por Santa das Causas Eletrônicas (em São Paulo).

A GDPR é, puramente, aplicação de boas práticas. Como estas boas práticas irão se traduzir tecnicamente, quais medidas e contra-medidas serão adotadas, pouco ou muito pouco, tem a ver com o seu tipo de RDBMS, se ele é free ou pago.

CONCLUSÃO! O MySQL, seja ele, community (gratuito) ou enterprise (pago via assinatura) pode ser, igualmente, usado como RDBMS GDPR. Inclusive, é o banco de dados oficial de Asgard.

No final do dia, é preciso ser honesto, e dizer que alguns RDBMS tem ferramentas nativas (ou contratadas adicionalmente) que irão facilitar a vida de quem implementa a GDPR, mas, todos podem ficar 100% aderentes.

Por onde eu começo?

Primeiro, não se desespere. Segundo, comece a se desesperar. E, por último, vamos com calma. No caso, exclusivo do MySQL, aconselho as seguintes dicas e recomendações:

  • Firewall de borda: certifique-se que todos seus servidores de aplicação e banco de dados estão em uma rede protegida contra ameaças externas e INTERNAS
  • Firewall de ponta: não assuma que seus servidores de aplicação estejam em um ambiente seguro, e, implemente firewalls em cada servidor
  • Usuários demais: não permita acesso indiscriminado aos servidores de aplicação e banco de dados, menos é mais
  • Excesso de privilégio: Root? Quem? Pára com esse negócio de dar acesso root e/ou ficar acessando como root os servidores de aplicação e/ou banco de dados
  • Força da Senha: Melissa2008! Fala sério!! Exija senhas complexas. Afinal, se alguém tem acesso privilegiado ao servidor de aplicação/banco, ou, ao próprio banco, este usuário, deve ter um bom assistente de senhas
  • Acesso por Chaves e dupla autenticação: Senha + Chaves + Dupla Autenticação. Se não tem ainda, implemente ontem, urgentemente
  • Tablespace criptografada: mesmo os arquivos .IBD (dados do innodb) podem ser, facilmente, copiados de uma lado para outro. Ou seja, tabelas inteiras pode ser roubadas (e lidas em qualquer outro servidor MySQL).  A partir do MySQL 5.6 é possível criptografar os dados em disco, com pouquíssima perda de perfomance
  • Backups: Aí o cabra faz tudo isso, e, faz aquele “dumpão” lógico como backup. Utilize o xtrabackup para fazer backups criptografadas. Até é plausível utilizar o dump para backups de pequenas bases, mas, criptografe as saídas em disco
  • Evite nomes de objetos tão óbvios como “Tab_Clientes_Dados_Sigilosos”, ou, “Col_Senha_Descriptografada”. Utilize modelagem lógica e física, tem, bons softwares para ajudar a gerenciar seus modelos
  • Nunca, em hipótese alguma, guarde dados completos de cartão de crédito, informações bancárias, etc
  • Não manipule dados sem prévia autorização de seus clientes
  • Não comercialize dados de seus clientes. Parece absurdo? Empresas de softwares gratuitos adoram fazer isso. É uma indústria e tanto, em termos de faturamento

Estas são algumas das dicas para uma caminho feliz rumo a GDPR. Mas, voce está preocupado só com a GDPR? Nunca ouviu falar em Marco Civil da Internet (Lei 12.965/14)? HIPAA? PCI? Sarbanes Oxley?

A GDPR irá a médio e longo prazo afetar como os dados são coletados/capturados, armazenados, manipulados e descartados, porém, existem outras regulamentações que a precedem e que podem ter impactos mais imediatos.

Use seu MySQL sem moderação em tempos de GDPR!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *