Pular para o conteúdo principal

Artigo: Acesso Wireless para Clientes - responsabilidades e precauções

Autor: João Paulo Spader Back

Se você tem uma empresa como por exemplo um restaurante, supermercado, loja de departamentos ou vestuário, e deseja disponibilizar acesso à Internet para seu clientes que frequentam seu estabelecimento, esse post é para você.

A grande demanda por dispositivos móveis conectados ininterruptamente à Internet está criando uma necessidade latente dos usuários (clientes) de terem esse acesso esteja ele onde estiver. As empresas estão vendo isso como uma forma de diferenciar-se dos demais concorrentes, disponibilizando o acesso wireless para seus clientes de forma que estes vejam isso como um benefício intrínseco à sua presença de consumidor no estabelecimento.

Até aqui, tudo muito bom, tudo muito bem, porém, é preciso levar em conta algumas questões importantes de Segurança da Informação.

Sendo assim, e para que fique fácil a leitura, vou colocar da seguinte forma:
  1. Se você disponibiliza acesso à Internet para terceiros, mesmo que gratuitamente, você passa a ter a classificação de Provedor de Acesso;
  2. Se você passa a ser um Provedor de Acesso, você então está prestando um serviço que, mesmo sendo gratuito precisa estar de acordo com as Legislações vigentes ao seu tempo;
  3. Atualmente (15/08/2013), no Brasil, não temos ainda uma Legislação vigente que determine as diretrizes e condutas que os Provedores de Acesso precisem obedecer, porém, está em tramitação no Congresso Nacional o Projeto de Lei 2126/2011, mais conhecido como Marco Civil da Internet que dispõe sobre a regulamentação do uso de Internet no nosso país.
  4. Entretanto, por se tratar de uma prestação de serviço a um terceiro, nesse caso um consumidor, aplica-se o CDC (Código de Defesa do Consumidor).
  5. Em se aplicando o CDC, algumas premissas são necessárias a fim de prestar um bom serviço e gerir os riscos relacionados a este, sendo:
  • O acesso à rede wireless (conectividade) deve ser livre de senha, mas;
  • Para fazer o acesso é necessário que a pessoa se identifique. Isso pode ser feito através de um cadastro prévio na base de clientes da empresa que está provendo o serviço ou então através do próprio acesso wireless em uma página de cadastramento e ativação. É importante que esse cadastro contenha: Nome completo, RG, CPF e e-mail. Outros dados também podem ser requeridos mas não são mandatórios.
  • Após realizado o cadastro da pessoa, é necessário (obrigatório) que a mesma leia (o que quase nunca acontece) e aceite os termos de uso desse serviço. Isso é deveras importante! O termo de uso do serviço é o “contrato” que prevê e delimita as responsabilidades de ambos os lados.
  • Depois disso, a pessoa terá o acesso que tanto deseja, podendo utilizá-lo da maneira que lhe convier.
Dito isso, surgem algumas dúvidas. Vou explicar algumas em forma de um FAQ.

1- Posso prover o acesso à Internet somente à pessoas da base de clientes?
R: Sim.

2- Posso remover o acesso de determinada pessoa sem avisá-la?
R: Sim, desde que isso esteja previsto no Termo de Uso do Serviço.

3- Posso realizar filtro de conteúdo, como por exemplo, impedir o acesso à sites de conteúdo adulto?
R: Sim, porém, não recomendo tal prática. Filtrar os acessos pode ser entendido como abuso ou falta de isonomia. Além disso, a futura Lei conhecida como Marco Civil da Internet prevê que os provedores de acesso não poderão realizar qualquer tipo de filtro de conteúdo ou priorização de determinado trafego. De outra forma, os acessos somente podem ser filtrados se esta atividade estiver prevista no Termo de Uso do Serviço.

4- Preciso fazer guarda dos logs de acessos?
R: Sim. Mesmo não havendo legislação atual que exija a guarda dos logs de acesso, órgãos como o CGI.br recomendam que estes sejam armazenados por no mínimo 3 anos e o Projeto de Lei do Marco Civil da Internet prevê a guarda por no mínimo 1 ano. Entretanto, recomendação não é Lei. Dito isso, é importante ressaltar que, de acordo com o CDC, em seu artigo 39 inciso VIII, fica vedado ao fornecedor de serviços, colocar no mercado de consumo qualquer produto ou serviço em desacordo com as normas expedidas pelos órgãos oficiais competentes ou, se normas específicas não existirem, pela Associação Brasileira de Normas Técnicas (ABNT). Nesse ensejo, vemos a norma ISO 27002 que dispõe no item 10.10.3 (Proteção das informações dos registros “Log”) que os registros de auditoria podem ser guardados como parte da política de retenção de registros ou devido aos requisitos para a coleta e retenção de evidências. A política de coleta e retenção de evidências tem espaço no item 13.2.3 da norma citada, e dispõe que “nos casos em que uma ação de acompanhamento contra uma pessoa ou organização, após um incidente de segurança da informação, envolver uma ação legal (civil ou criminal), convém que evidências sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidências da jurisdição (ões) pertinente(s)”. Arremata ainda o item, “quando um evento de segurança da informação é detectado, pode não ser óbvio que ele resultará num possível processo jurídico. Entretanto, existe o perigo de que a evidência seja destruída intencional ou acidentalmente antes que seja percebida a seriedade do incidente. É conveniente envolver um advogado ou a polícia tão logo seja constatada a possibilidade de processo jurídico e obter consultoria sobre as evidências necessárias”.

Esse é um assunto que ainda será regulamentado por Lei, mas até lá, teremos que nos embasar em boas práticas e em prevenção. Por favor, deixe seus comentários para que possamos discutir sobre o tema e assim aprimorá-lo.
Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Facebook: endereço de envio de intimações e/ou ordens judiciais

Achei interessante atualizar (fev/2018) esse post de outubro de 2011, visando deixar a informação mais correta e atualizada em relação aos procedimentos no Facebook: Várias pessoas me perguntam(vam) sobre o endereço do Facebook, que anunciou, em 2011, abrir um escritório no Brasil. Todo o procedimento de tratamento está explicado no nosso livro, escrito com o Dr. Higor Jorge: Crimes Cibernéticos - Ameaças e Procedimentos de Investigação. Veja como adquirir o livro: Como adquirir os livros? O resultado da pesquisa do registro do domínio nos remete a um escritório de registro de propriedade intelectual, porém, o escritório para envio de ordens judiciais e/ou intimações, além de requerimentos, é o seguinte: FACEBOOK SERVICOS ONLINE DO BRASIL LTDA Rua Leopoldo Couto de Magalhães Júnior, 700, 5º Andar, Bairro Itaim Bibi, São Paulo-SP, CEP 04542-000 - Fonte:  Jucesp Online Não sabíamos como seria o tratamento das informações e respostas às solicitações das chamadas
Postar um comentário
Leia mais ...

Como ter acessso aos livros de Emerson Wendt?

Resolvi fazer esta postagem em virtude dos questionamentos em como adquirir os livros que escrevi/organizei/participei com colegas e amigos do RS e outros Estados, além de autores fora do Brasil. Assim, lá vai, inclusive os que estão para download: Livro, em recurso eletrônico (eBook), publicado em 2011 em parceria com a Editora Delpos. Avalia os aspectos sobre a (in)segurança virtual no Brasil, desde o contexto da guerra cibernética, o cibercrime e os incidentes na Internet e como eles são/deveriam ser avaliados sob a ótica da atividade de inteligência. Link para download: Academia.edu . 2ª Edição do livro Crimes Cibernéticos - Ameaças e Procedimentos de Investigação (escrito em parceria com o Dr. Higor Jorge) : - Esgotado!! - eBook: a editora Brasport disponibilizou a aquisição do livro em formato eBook, o que pode ser feito neste link  (1ª Edição) ou neste link (2ª Edição). O preço é mais atraente, pois fica pela metade do valor do livro impresso. 1ª Edição do liv
Postar um comentário
Leia mais ...

Lista dos Estados que possuem Delegacias de Polícia de combate aos Crimes Cibernéticos

Esta ideia começou com o post sobre os órgãos especializados no enfrentamento aos crimes virtuais , que estava desatualizado. Estou fazendo essa atualização com vistas a uma melhor orientação às pessoas. Muitos já copiaram e replicaram este post, sem atualizar os dados e sem referenciar a fonte, mas o que importa é a difusão da informação. O primeiro aspecto de um registro de ocorrência de um crime virtual é saber o que levar ao conhecimento da Polícia Judiciária. Por isso, sugiro a leitura do post sobre como proceder em casos de crimes virtuais, deste blog. Crimes virtuais: com proceder? Então, vamos à lista dos Estados brasileiros onde você pode encontrar atendimento especializado, não esquecendo que se você não se encontra na cidade ou Estado em que há um órgão policial específico você pode e deve registrar a ocorrência na Delegacia de Polícia mais próxima . O que não pode é deixar o fato sem o conhecimento de uma Autoridade Policial. -  Rio Grande do Sul :
Postar um comentário
Leia mais ...