Como o Open Authentication beneficia os usuários e se relaciona com a LGPD?

Todos os usuários de internet se conecta a diversas redes sociais e sites durante a navegação e, para isso, utiliza credenciais de acesso (identificação e senha)

Por Helsen Rossi*

Além, claro, de precisar realizar novos cadastros em cada novo app que queira se conectar. Mas existe um mecanismo que simplifica esse processo: Open Authentication ou OAuth.

OAuth é um padrão aberto para autorização, atualmente está na sua versão 2.0, e permite que usuários se conectem em sites de terceiros por meio de suas contas do Google, Facebook, etc.

Helsen Rossi | Arquiteto de Soluções na SEC4YOU

Atualmente, podemos citar algumas das principais bases de usuários que utilizam este padrão, são Facebook, Google, LinkedIn e WeChat e atuam como Authorization Servers (provedores de identidade). Juntas, detém a maior base de usuários do planeta!

Tais redes armazenam as informações do usuário e os conectam em outros sites sem que o usuário precise preencher tudo de novo.

Dessa forma, utiliza-se apenas um login e uma senha para conexões em diferentes aplicativos e o usuário pode escolher quais dados são compartilhados com os aplicativos, podendo cancelar o compartilhamento das informações com estes aplicativos através de um painel de controle oferecido pelos provedores de identidade.

Onde fica a Lei Geral de Proteção de Dados nesse contexto? 

Na Europa, um dos padrões tecnológicos utilizados para atender a GDPR é o OAuth aplicado juntamente com OpenID Connect. Isso é, a decisão de compartilhar ou não os dados ficam com o usuário.

Por exemplo, um aplicativo permite que o usuário se conecte com a conta do Google. Então o Google informa ao usuário que tal aplicativo deseja acessar alguns dados como nome, e-mail e telefone. Se o usuário permitir, poderá acessar o aplicativo e seu aceite fica registrado sendo o “consentimento”.

Onde entra a Governança desse consentimento e a segurança dos dados? 

O passo após o consentimento está no tratamento dos dados, ou seja, qual a garantia de que os aplicativos irão armazenar de forma correta as informações que foram solicitadas no Onboard do usuário e como o DPO (Data Protection Officer) vai controlar isso? Nesse sentido, falamos em governança do consentimento!

Esse procedimento busca responder:

• que processo de negócio continua utilizando os dados do usuário;
• período de vigência do consentimento;
• se deve ou não expirar,  por alguma demanda legal.

As funcionalidades do OAuth mencionadas não se resumem nas linhas acima, mas nos permitem fomentar a respeito da tradicional disciplina de Segurança da Informação e seus desdobramentos atuais como a Lei Geral de Proteção de Dados sendo peça importante na estratégia apoiando a Governança da Privacidade.

*Helsen Rossi, Arquiteto de Soluções na SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos

Segurança em aplicativos de mensagens e redes sociais. Veja o que dizem os especialistas em segurança! – Ouça

Dados bancários de brasileiros foram expostos por erro em nuvem pública