Há alguns anos atrás, a privacidade e segurança das informações pessoais era um tema que quase não recebia qualquer atenção. A conformidade das organizações relativamente à gestão dos dados pessoais dos seus clientes tornou-se mais importante do que nunca, particularmente devido à presença cada vez maior da tecnologia e das suas propriedades, o que contribuiu para o aumento da monitorização e auditoria que se realiza hoje em dia em todo o mundo empresarial.
Como é que a segurança da informação pessoal se tornou tão relevante?
Qualquer organização, independentemente de ser uma empresa com fins lucrativos, um departamento governamental ou uma organização sem fins lucrativos, detém a necessidade de armazenar dados pessoais dos seus clientes ou público alvo, para melhor compreender e satisfazer as suas exigências e necessidades. Informação Pessoal Identificável (PII) e Informação Pessoal de Saúde (PHI) são considerados os dois principais tipos de informação pessoal crítica, e praticamente qualquer pessoa que tenha acesso a estes pode facilmente identificar o indivíduo a quem se relaciona, expondo assim conhecimentos sensíveis e aumentando o seu risco de ser partilhada com outro conjunto de partes, o que poderia colocar alguém em risco.
Antigamente, informações pessoais como o nome completo de um indivíduo, número de segurança social, informações de contacto e outros tipos de dados sensíveis eram arquivadas em papel, e a implementação de políticas de privacidade e protecção de dados não era tão necessária porque o acesso à informação só era possível dentro da sua proximidade espacial. Contudo, os tempos mudaram, e com a digitalização das empresas, tornou-se possível o acesso a dados de qualquer parte do mundo, tornando as localizações geográficas irrelevantes na sua maior parte. Embora isto possa revelar-se bastante útil, e ainda mais como resultado da COVID-19, exige que as organizações estejam mais atentas a regulamentos como PIBR e PCI DSS.
As consequências do não cumprimento dos requisitos legais
As leis e regulamentos de conformidade estão agora na vanguarda da gestão de dados sensíveis e, por esta razão, é crucial que as empresas se mantenham em conformidade e conscientes das obrigações que devem cumprir. Em caso de infracção, uma organização pode estar sujeita ao pagamento de multas que estão a ficar mais caras e recorrentes ao minuto.
Por exemplo, em PIBR lei, as autoridades de protecção de dados da UE podem infligir multas até 20 milhões de euros, ou 4% do volume de negócios anual global para o ano (o que for mais elevado)a qualquer empresa ou organismo que não tenha cumprido. Às taxas de câmbio actuais, 20 milhões de euros são cerca de $20,67 milhões.
Outro exemplo de um regulamento de conformidade é PCI DSS. Foi criado em 2006 pelas principais marcas de cartões bancários, como Visa e Mastercard, para prevenir o roubo de identidade e outros riscos. Qualquer entidade que deseje aceitar cartões de crédito e de débito deve cumprir. Esta certificação garante a segurança dos dados dos cartões de crédito através de um conjunto de princípios estabelecidos pelo Payment Card Industry Security Standards Council (CSS PCI), tais como a utilização de software anti-vírus, encriptação das transmissões de dados, e a instalação de firewalls para filtrar as informações que entram e saem dos sistemas da organização.
Multas por violação de PCI DSS pode variar de $5,000 a $100,000/mês, até que a conformidade seja cumprida, e embora isto possa ser gerível para um grande banco, pode facilmente colocar uma pequena empresa em falência.
Mas voltemos ao GDPR. Os dados indicam que a partir de Julho de 2021 o valor acumulado das multas do GDPR aumentou exponencialmente, quase atingindo a marca de 1,7 mil milhões de euros. Este crescimento resulta da múltipla violação das políticas do GDPR, que, como mencionado, flutuam no seu valor. Até à data, a infracção mais cara do GDPR foi avaliada em 746 milhões de euros.
Isto é claramente mostrado no gráfico seguinte que apresenta as Multas Cumulativas do GDPR ao longo do tempo (de Janeiro de 2017 a Agosto de 2022).
O que podem as empresas fazer para evitar multas por não cumprimento?
A violação dos regulamentos, mesmo acidentalmente, nunca trará nada de bom ao seu negócio. A melhor maneira de evitar percorrer estes caminhos escuros é garantir que os sistemas que opera estão alinhados com todos os regulamentos, incluindo todo o seu software.
Um caso em que isto pode ser especialmente difícil é quando não é possível definir as mesmas permissões em todas as suas aplicações de software. Vejamos um exemplo muito específico.
Ter um Software de Gestão de Relações com Clientes (CRM) para gerir e navegar facilmente pelas contas dos clientes é bastante comum. Contudo, além destes, as empresas terão documentos e outros tipos de ficheiros que precisam de ser armazenados e ligados às contas, para que possam ser localizados e revistos eficientemente em qualquer altura. Quando o CRM utilizado é o Microsoft Dynamics 365, o SharePoint é uma escolha comum para as necessidades de Gestão Documental.
Embora estas duas aplicações funcionem maravilhosamente em conjunto, existe um problema resultante do armazenamento de documentos Dynamics 365 no SharePoint - as permissões estabelecidas no CRM não são replicadas no SharePoint. Isto aumenta o risco de violação das políticas de conformidade, uma vez que qualquer pessoa que tenha acesso ao SharePoint terá acesso a toda esta informação, que pode conter dados sensíveis e confidenciais.
Felizmente, temos tudo o que precisa! CB Dynamics 365 to SharePoint Permissions Replicator é a nossa solução pronta a usar que reflecte as permissões estabelecidas no Dynamics 365 a SharePoint. E, a propósito, é também compatível com o WCAG 2.1, mas isso é outra história!
Para além do lado da segurança e acessibilidade, a nossa solução apresenta-se como uma solução:
- Fácil instalação;
- Cartografia clara dos utilizadores;
- Actualizações de versões e apoio técnico incluído;
- Sincronização ao vivo das permissões;
- Grátis Ensaio SaaS de 15 dias.
Não terá de se preocupar em alterar manualmente as suas permissões no SharePoint depois de as ter definido no Dynamics 365, o CB Replicator faz isto instantaneamente! Assim, relativamente a quem tem acesso a que documentos Dynamics no SharePoint, GDPR e PCI DSS serão automaticamente tratados, deixando-o livre de se preocupar em ter de pagar multas por incumprimento.
Será que estas soluções fazem sentido em termos de ROI?
O retorno do investimento (ROI) é a melhor forma de avaliar a rentabilidade do seu investimento num produto ou serviço. O valor das multas por infracção aos regulamentos de conformidade varia com base nas infracções ocorridas, pelo que, para demonstrar o quanto é benéfico investir em conformidade, vejamos o cenário hipotético de um Violação da GDPR pela exposição de informações sensíveis dos clientes no SharePoint, a outros departamentos não relevantes de uma empresa, o que resultou numa multa de $1 Milhões. Lembre-se, as multas podem ir até 20 milhões de euros ou 4% de volume de negócios. Para este exemplo, o ROI dependeria do tamanho da empresa:
- Empresas de pequena dimensão
50 empregados trabalham para a empresa A. Neste caso, uma multa de $1 milhões levaria muito provavelmente a empresa à falência, mas admitindo que tal não aconteceria, o custo de CB Dynamics 365 to SharePoint Permissions Replicator, numa instalação SaaS para 50 utilizadores, durante 2 anos é de $4,200. Considerando estes $4,200 como um investimento para evitar o pagamento de uma multa de $1 Milhões, o ROI de conformidade da empresa A por um período de 2 anos seria um espantoso 99,58%!
- Empresas de média dimensão
A empresa B tem 300 empregados. Para eles, o custo de CB Replicator, durante 2 anos, seria de $25,200. Ao comparar este valor com o $1 Milhões de multa, o seu retorno do investimento seria 97,48%! É evidente que o investimento é bem meritório ter a paz de espírito de não ter de mendigar um empréstimo para pagar uma multa por incumprimento.
- Empresas de grande dimensão
A empresa C tem 2000 empregados. Talvez uma empresa desta dimensão não ficasse tão alarmada como outras empresas mais pequenas, contudo, se considerarmos que CB Dynamics 365 to SharePoint Permissions Replicator, na mesma configuração dos exemplos anteriores, lhes custaria $160.000, ainda estão a obter um ROI de 83,2%!
Essencialmente, a lição a tirar é que vale a pena investir no cumprimento a longo prazoindependentemente da dimensão do seu negócio.
Conclusões
Como afirmaram por si próprios website "As pesadas multas da GDPR destinam-se a garantir que as melhores práticas de segurança de dados são demasiado dispendiosas para não serem adoptadas". ~ por outras palavras, o próprio objectivo destas multas por incumprimento é forçar as empresas a tornarem-se conformes se quiserem evitar a falência, pelo que o seu valor estará sempre a aproximar-se do limite superior na escala.
Além disso, embora os exemplos acima sejam especificamente sobre a GDPR, as multas do PCI DSS têm o montante mínimo de $5,000 por mês até que a conformidade seja alcançada. Mesmo que sejam tomadas medidas imediatamente, ainda pode ser necessário algum tempo para resolver o problema. Digamos que uma empresa leva 3 meses para alterar completamente os seus processos empresariais internos, por essa altura, se tiver a sorte de ser multada no valor mínimo, deverá $15.000! Não será certamente algo a ser tomado de ânimo leve? E a multa em si não é a única preocupação, uma vez que uma violação da GDPR leva ao prejuízo da reputação de uma marca, perda de confiança dos clientes, custos de investigação, interrupção das operações, e assim por diante.
Como com tudo na vida, a opção mais segura é pensar adiante e evitar que acontecimentos infelizes aconteçam no futuro. Com o CB Dynamics 365 to SharePoint Permissions Replicator, pode ter a certeza de que nunca terá de passar por este pesadelo em relação às suas permissões do SharePoint, além disso, ele corre em segundo plano, para que nem sequer saiba que está lá!
Não hesite em contacte-nos e peça um teste gratuito ou uma demonstração! Estamos mais do que felizes em deixá-lo entrar na diversão 😉
