Pular para o conteúdo principal

Artigo: Acesso Wireless para Clientes - responsabilidades e precauções

Autor: João Paulo Spader Back

Se você tem uma empresa como por exemplo um restaurante, supermercado, loja de departamentos ou vestuário, e deseja disponibilizar acesso à Internet para seu clientes que frequentam seu estabelecimento, esse post é para você.

A grande demanda por dispositivos móveis conectados ininterruptamente à Internet está criando uma necessidade latente dos usuários (clientes) de terem esse acesso esteja ele onde estiver. As empresas estão vendo isso como uma forma de diferenciar-se dos demais concorrentes, disponibilizando o acesso wireless para seus clientes de forma que estes vejam isso como um benefício intrínseco à sua presença de consumidor no estabelecimento.

Até aqui, tudo muito bom, tudo muito bem, porém, é preciso levar em conta algumas questões importantes de Segurança da Informação.

Sendo assim, e para que fique fácil a leitura, vou colocar da seguinte forma:
  1. Se você disponibiliza acesso à Internet para terceiros, mesmo que gratuitamente, você passa a ter a classificação de Provedor de Acesso;
  2. Se você passa a ser um Provedor de Acesso, você então está prestando um serviço que, mesmo sendo gratuito precisa estar de acordo com as Legislações vigentes ao seu tempo;
  3. Atualmente (15/08/2013), no Brasil, não temos ainda uma Legislação vigente que determine as diretrizes e condutas que os Provedores de Acesso precisem obedecer, porém, está em tramitação no Congresso Nacional o Projeto de Lei 2126/2011, mais conhecido como Marco Civil da Internet que dispõe sobre a regulamentação do uso de Internet no nosso país.
  4. Entretanto, por se tratar de uma prestação de serviço a um terceiro, nesse caso um consumidor, aplica-se o CDC (Código de Defesa do Consumidor).
  5. Em se aplicando o CDC, algumas premissas são necessárias a fim de prestar um bom serviço e gerir os riscos relacionados a este, sendo:
  • O acesso à rede wireless (conectividade) deve ser livre de senha, mas;
  • Para fazer o acesso é necessário que a pessoa se identifique. Isso pode ser feito através de um cadastro prévio na base de clientes da empresa que está provendo o serviço ou então através do próprio acesso wireless em uma página de cadastramento e ativação. É importante que esse cadastro contenha: Nome completo, RG, CPF e e-mail. Outros dados também podem ser requeridos mas não são mandatórios.
  • Após realizado o cadastro da pessoa, é necessário (obrigatório) que a mesma leia (o que quase nunca acontece) e aceite os termos de uso desse serviço. Isso é deveras importante! O termo de uso do serviço é o “contrato” que prevê e delimita as responsabilidades de ambos os lados.
  • Depois disso, a pessoa terá o acesso que tanto deseja, podendo utilizá-lo da maneira que lhe convier.
Dito isso, surgem algumas dúvidas. Vou explicar algumas em forma de um FAQ.

1- Posso prover o acesso à Internet somente à pessoas da base de clientes?
R: Sim.

2- Posso remover o acesso de determinada pessoa sem avisá-la?
R: Sim, desde que isso esteja previsto no Termo de Uso do Serviço.

3- Posso realizar filtro de conteúdo, como por exemplo, impedir o acesso à sites de conteúdo adulto?
R: Sim, porém, não recomendo tal prática. Filtrar os acessos pode ser entendido como abuso ou falta de isonomia. Além disso, a futura Lei conhecida como Marco Civil da Internet prevê que os provedores de acesso não poderão realizar qualquer tipo de filtro de conteúdo ou priorização de determinado trafego. De outra forma, os acessos somente podem ser filtrados se esta atividade estiver prevista no Termo de Uso do Serviço.

4- Preciso fazer guarda dos logs de acessos?
R: Sim. Mesmo não havendo legislação atual que exija a guarda dos logs de acesso, órgãos como o CGI.br recomendam que estes sejam armazenados por no mínimo 3 anos e o Projeto de Lei do Marco Civil da Internet prevê a guarda por no mínimo 1 ano. Entretanto, recomendação não é Lei. Dito isso, é importante ressaltar que, de acordo com o CDC, em seu artigo 39 inciso VIII, fica vedado ao fornecedor de serviços, colocar no mercado de consumo qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas (ABNT). Nesse ensejo, vemos a norma ISO 27002 que dispõe no item 10.10.3 (Proteção das informações dos registros “Log”) que os registros de auditoria podem ser guardados como parte da política de retenção de registros ou devido aos requisitos para a coleta e retenção de evidências. A política de coleta e retenção de evidências tem espaço no item 13.2.3 da norma citada, e dispõe que “nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição (ões) pertinente(s)”. Arremata ainda o item, “quando um evento de segurança da informação é detectado, pode não ser óbvio que ele resultará num possível processo jurídico. Entretanto, existe o perigo de que a evidência seja destruída intencional ou acidentalmente antes que seja percebida a seriedade do incidente. É conveniente envolver um advogado ou a polícia tão logo seja constatada a possibilidade de processo jurídico e obter consultoria sobre as evidências necessárias”.

Esse é um assunto que ainda será regulamentado por Lei, mas até lá, teremos que nos embasar em boas práticas e em prevenção. Por favor, deixe seus comentários para que possamos discutir sobre o tema e assim aprimorá-lo.

Comentários

Postagens mais visitadas deste blog

Facebook: endereço de envio de intimações e/ou ordens judiciais

Achei interessante atualizar (fev/2018) esse post de outubro de 2011, visando deixar a informação mais correta e atualizada em relação aos procedimentos no Facebook:
Várias pessoas me perguntam(vam) sobre o endereço do Facebook, que anunciou, em 2011, abrir um escritório no Brasil.
Todo o procedimento de tratamento está explicado no nosso livro, escrito com o Dr. Higor Jorge: Crimes Cibernéticos - Ameaças e Procedimentos de Investigação. Veja como adquirir o livro: Como adquirir os livros? O resultado da pesquisa do registro do domínio nos remete a um escritório de registro de propriedade intelectual, porém, o escritório para envio de ordens judiciais e/ou intimações, além de requerimentos, é o seguinte: FACEBOOK SERVICOS ONLINE DO BRASIL LTDARua Leopoldo Couto de Magalhães Júnior, 700, 5º Andar, Bairro Itaim Bibi, São Paulo-SP, CEP 04542-000
- Fonte: Jucesp Online Não sabíamos como seria o tratamento das informações e respostas às solicitações das chamadas forças da lei (law enforcemen…

Estamos entre os melhores Delegados de Polícia, segundo Censos de 2017, 2018 e 2019

No ano de 2017 já havíamos sido agraciados com a distinção e citação dentre os melhores Delegados de Polícia na Categoria Jurídica. 


Em 2018 e 2019, segundo o Portal Nacional dos Delegados, fomos novamente escolhidos, dentre os Melhores Delegados de Polícia do Brasil, na Categoria Gestão.


Assim, ficamos muito lisonjeados pelo reconhecimento nacional em termos de gestão, especialmente pelo trabalho frente ao Conselho Nacional de Chefes de Polícia Civil, o CONCPC, e, também, da atividade de inteligência. Vejam a lista completa dos agraciados de 2019, clicando aqui.

Seguimos em frente. Deixamos a Chefia da Polícia Civil do RS, deixamos a área de inteligência, porém na vamos continuar nos dedicando à atividade de Segurança Pública.

Recomendações a pais, professores e escolas quanto às ameaças de atentado

Pós fato Suzano/SP, o alvoroço nas mídias sociais foi muito grande. Em alguns Estados mais do que outros. Muita trollagen para gerar pânico. Sendo assim, é importante algumas precauções por parte dos colégios/escolas:

Existência de meios físicos de contenção e controle:

- catraca/controle eletrônico de acesso
- controle de entrada e saída de visitantes, com registros de dados
- videomonitoramento, com gravação por pelo menos 10 dias. Ideal é 30 dias

Mecanismos preventivos:

- formatar equipe (interna ou mista interna/externa) de avaliação de ameaças;
- definir comportamentos por ordem de risco e necessidade de contingenciamento;
- definir condutas que demandam intervenção imediata (por exemplo, porte de arma, postagem em redes sociais);
- criar e gerir um sistema anônimo que permita reportar informações com condutas de risco (e-mail, telefone etc.);
- promover ambiente alicerçado em uma cultura de segurança, respeito, confiança e apoio emocional;
- incentivar alunos a compartilhar suas …