Todo usuário de internet se conecta a diversas redes sociais e sites durante a navegação e, para isso, utiliza credenciais de acesso (identificação e senha). Além, claro, de precisar realizar novos cadastros em cada novo app que queira se conectar. Mas existe um mecanismo que simplifica esse processo: Open Authentication ou OAuth.
OAuth é um padrão aberto para autorização, atualmente está na sua versão 2.0, e permite que usuários se conectem em sites de terceiros por meio de suas contas do Google, Facebook, etc. Atualmente, podemos citar algumas das principais bases de usuários que utilizam este padrão, são Facebook, Google, LinkedIn e WeChat e atuam como Authorization Servers (provedores de identidade). Juntas, detém a maior base de usuários do planeta!
Tais redes armazenam as informações do usuário e os conectam em outros sites sem que o usuário precise preencher tudo de novo. Dessa forma, utiliza-se apenas um login e uma senha para conexões em diferentes aplicativos e o usuário pode escolher quais dados são compartilhados com os aplicativos, podendo cancelar o compartilhamento das informações com estes aplicativos através de um painel de controle oferecido pelos provedores de identidade.
Onde fica a Lei Geral de Proteção de Dados nesse contexto?
Na Europa, um dos padrões tecnológicos utilizados para atender a GDPR é o OAuth aplicado juntamente com OpenID Connect. Isso é, a decisão de compartilhar ou não os dados ficam com o usuário.
Por exemplo, um aplicativo permite que o usuário se conecte com a conta do Google. Então o Google informa ao usuário que tal aplicativo deseja acessar alguns dados como nome, e-mail e telefone. Se o usuário permitir, poderá acessar o aplicativo e seu aceite fica registrado sendo o “consentimento”.
Onde entra a Governança desse consentimento e a segurança dos dados?
O passo após o consentimento está no tratamento dos dados, ou seja, qual a garantia de que os aplicativos irão armazenar de forma correta as informações que foram solicitadas no Onboard do usuário e como o DPO (Data Protection Officer) vai controlar isso? Nesse sentido, falamos em governança do consentimento!
Esse procedimento busca responder:
- que processo de negócio continua utilizando os dados do usuário;
- período de vigência do consentimento;
- se deve ou não expirar, por alguma demanda legal.
As funcionalidades do OAuth mencionadas não se resumem nas linhas acima, mas nos permitem fomentar a respeito da tradicional disciplina de Segurança da Informação e seus desdobramentos atuais como a Lei Geral de Proteção de Dados sendo peça importante na estratégia apoiando a Governança da Privacidade.
*Helsen Rossi, Arquiteto de Soluções na SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos
