sexta-feira, 31 de janeiro de 2014

Artigo: Acesso Wireless para Clientes - responsabilidades e precauções

Autor: João Paulo Spader Back

Se você tem uma empresa como por exemplo um restaurante, supermercado, loja de departamentos ou vestuário, e deseja disponibilizar acesso à Internet para seu clientes que frequentam seu estabelecimento, esse post é para você.

A grande demanda por dispositivos móveis conectados ininterruptamente à Internet está criando uma necessidade latente dos usuários (clientes) de terem esse acesso esteja ele onde estiver. As empresas estão vendo isso como uma forma de diferenciar-se dos demais concorrentes, disponibilizando o acesso wireless para seus clientes de forma que estes vejam isso como um benefício intrínseco à sua presença de consumidor no estabelecimento.

Até aqui, tudo muito bom, tudo muito bem, porém, é preciso levar em conta algumas questões importantes de Segurança da Informação.

Sendo assim, e para que fique fácil a leitura, vou colocar da seguinte forma:
  1. Se você disponibiliza acesso à Internet para terceiros, mesmo que gratuitamente, você passa a ter a classificação de Provedor de Acesso;
  2. Se você passa a ser um Provedor de Acesso, você então está prestando um serviço que, mesmo sendo gratuito precisa estar de acordo com as Legislações vigentes ao seu tempo;
  3. Atualmente (15/08/2013), no Brasil, não temos ainda uma Legislação vigente que determine as diretrizes e condutas que os Provedores de Acesso precisem obedecer, porém, está em tramitação no Congresso Nacional o Projeto de Lei 2126/2011, mais conhecido como Marco Civil da Internet que dispõe sobre a regulamentação do uso de Internet no nosso país.
  4. Entretanto, por se tratar de uma prestação de serviço a um terceiro, nesse caso um consumidor, aplica-se o CDC (Código de Defesa do Consumidor).
  5. Em se aplicando o CDC, algumas premissas são necessárias a fim de prestar um bom serviço e gerir os riscos relacionados a este, sendo:
  • O acesso à rede wireless (conectividade) deve ser livre de senha, mas;
  • Para fazer o acesso é necessário que a pessoa se identifique. Isso pode ser feito através de um cadastro prévio na base de clientes da empresa que está provendo o serviço ou então através do próprio acesso wireless em uma página de cadastramento e ativação. É importante que esse cadastro contenha: Nome completo, RG, CPF e e-mail. Outros dados também podem ser requeridos mas não são mandatórios.
  • Após realizado o cadastro da pessoa, é necessário (obrigatório) que a mesma leia (o que quase nunca acontece) e aceite os termos de uso desse serviço. Isso é deveras importante! O termo de uso do serviço é o “contrato” que prevê e delimita as responsabilidades de ambos os lados.
  • Depois disso, a pessoa terá o acesso que tanto deseja, podendo utilizá-lo da maneira que lhe convier.
Dito isso, surgem algumas dúvidas. Vou explicar algumas em forma de um FAQ.

1- Posso prover o acesso à Internet somente à pessoas da base de clientes?
R: Sim.

2- Posso remover o acesso de determinada pessoa sem avisá-la?
R: Sim, desde que isso esteja previsto no Termo de Uso do Serviço.

3- Posso realizar filtro de conteúdo, como por exemplo, impedir o acesso à sites de conteúdo adulto?
R: Sim, porém, não recomendo tal prática. Filtrar os acessos pode ser entendido como abuso ou falta de isonomia. Além disso, a futura Lei conhecida como Marco Civil da Internet prevê que os provedores de acesso não poderão realizar qualquer tipo de filtro de conteúdo ou priorização de determinado trafego. De outra forma, os acessos somente podem ser filtrados se esta atividade estiver prevista no Termo de Uso do Serviço.

4- Preciso fazer guarda dos logs de acessos?
R: Sim. Mesmo não havendo legislação atual que exija a guarda dos logs de acesso, órgãos como o CGI.br recomendam que estes sejam armazenados por no mínimo 3 anos e o Projeto de Lei do Marco Civil da Internet prevê a guarda por no mínimo 1 ano. Entretanto, recomendação não é Lei. Dito isso, é importante ressaltar que, de acordo com o CDC, em seu artigo 39 inciso VIII, fica vedado ao fornecedor de serviços, colocar no mercado de consumo qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas (ABNT). Nesse ensejo, vemos a norma ISO 27002 que dispõe no item 10.10.3 (Proteção das informações dos registros “Log”) que os registros de auditoria podem ser guardados como parte da política de retenção de registros ou devido aos requisitos para a coleta e retenção de evidências. A política de coleta e retenção de evidências tem espaço no item 13.2.3 da norma citada, e dispõe que “nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição (ões) pertinente(s)”. Arremata ainda o item, “quando um evento de segurança da informação é detectado, pode não ser óbvio que ele resultará num possível processo jurídico. Entretanto, existe o perigo de que a evidência seja destruída intencional ou acidentalmente antes que seja percebida a seriedade do incidente. É conveniente envolver um advogado ou a polícia tão logo seja constatada a possibilidade de processo jurídico e obter consultoria sobre as evidências necessárias”.

Esse é um assunto que ainda será regulamentado por Lei, mas até lá, teremos que nos embasar em boas práticas e em prevenção. Por favor, deixe seus comentários para que possamos discutir sobre o tema e assim aprimorá-lo.