Compliance Digital
O objetivo desse post não é discutir o protocolo IPv4 e nem a sua implantação nos roteadores e outros dispositivos de rede, nem tampouco explanar como acionar judicialmente o autor de um fato ilícito cometido por meio de uma rede privada, mas demonstrar quais cuidados as corporações devem ter para fornecer acesso à Interne de forma segura.
Digamos que uma empresa ofereça acesso à Internet (via Wi-FI ou via cabo) aos visitantes, funcionários e terceiros durante o tempo em que nela se encontrem. Uma pessoa (funcionário, visitante ou terceiro), utilizando a rede corporativa, comete um crime contra a honra ou um crime racial a outrem e este aciona a justiça para a identificação do autor.
A identificação do autor, sempre pedida pela justiça, objetiva identificar quem (endereço IP, NAT, data e hora) utilizou o acesso Internet para cometer o ato que está sendo questionado. Quem identifica o fato, no primeiro momento é o provedor de conteúdo que acionado identifica o provedor de acesso e este identifica o usuário.
A Lei 12.965 (MCI) define o que é um provedor de acesso e um provedor de conteúdo bem como os cuidados que estes provedores devem ter no armazenamento e divulgação destes dados de acesso. No exemplo dado, indicamos uma empresa privada. Uma empresa privada que não seja fornecedora de acesso internet não será caracterizada como provedor de acesso, pois, não é considerada um sistema autônomo, nos termos do Marco Civil da Internet.
Art. 5º Para os efeitos desta Lei, considera-se:
IV - administrador de sistema autônomo: a pessoa física ou jurídica que administra blocos de endereço IP específicos e o respectivo sistema autônomo de roteamento, devidamente cadastrada no ente nacional responsável pelo registro e distribuição de endereços IP geograficamente referentes ao País;
Por outro lado, e principalmente por isto, a empresa deve se proteger para se for acionada identificar o autor do fato a ser apurado.
Deste modo, vale ressaltar que estas são redes privadas, cujo controle de acesso deve ser diretamente estabelecido por quem provê a rede, no caso, a empresa. Então, há possibilidade de se estabelecer mecanismos de controle de acesso, o que é sempre recomendável. Armazene o registro de cada acesso com data e hora de início e término de cada conexão à internet e o endereço IP interno incluindo o endereço NAT[1], se for o caso e sua relação com o endereço externo válido porque, com estes dados se possibilita a identificação do autor do fato.
Usualmente, por economia de endereços IPv4 válidos, a rede interna possui um endereço IP e a rede externa (depois do roteador) possui um outro endereço, este válido para o acesso à INTERNET, daí a necessidade de registro dos dois endereços (o interno com o NAT e o externo com NAT válido na INTERNET).
Por que é necessária a identificação do autor? Se houve um pedido judicial de identificação com certeza o caso é de maior complexidade. A pessoa ofendida pode inclusive estar buscando reparação por danos morais e, se a empresa não identificar o autor poderá ser acionada judicialmente como sendo a coautora do fato.
Descubra como você pode garantir os acessos à Internet e ter a sua empresa apta a fornecer as informações quando necessário (isto faz parte da Política de Informática ou um capítulo do Código de Ética e Conduta):
1. Tenha uma Política de Segurança que defina as regras de acesso, senhas fortes, com trocas periódicas, não repetitivas, identificando de maneira única o funcionário, terceiro ou visitante;
2. Obrigue a um cadastro prévio de visitantes e terceiros que com dados como nome, empresa, CPF e que estes dados sejam validados fisicamente (o velho “cara-crachá”);
3. Tenha os dados de acesso (endereço IP da máquina, nome da máquina, usuário, data e hora de início e fim do acesso) pelo período de 12 meses, de forma sigilosa e em ambiente seguro para todos os acessos através de sua rede;
4. Garanta o backup desse Log dentro do período necessário para atender a um possível pedido judicial. A legislação indica um período de informação de até 12 meses de cada acesso. Como vimos, a empresa não tem a obrigação legal de manter este período, mas, considere fazê-lo;
5. Se tem políticas restritivas de acesso à sites, utilize um FIREWALL[2] para impedir o acesso;
6. Se for necessário que terceiros utilizem sua rede interna, considere incluir cláusulas específicas sobre isto no seu contrato de compra com a identificação física do terceiro, prazo e horários de acesso, sites a serem acessados para liberar no seu FIREWALL, necessidade de VPN. Considere ainda disponibilizar equipamento de sua propriedade, com seus softwares e segurança dentre outros aspectos.
Antes de liberar os acessos a visitantes e/ou terceiros da sua organização, considere se o risco e o custo desse acesso realmente trarão vantagens ao negócio. Com certeza existem atividades em que esse serviço já é considerado até como obrigatório como em hotéis, escolas e outros. Mas, para o seu negócio isso é realmente indispensável?
Victor Machado Advocacia
Av. Rudolf Dafferner, 400, Sorocaba, Cep 18085-005
Fone (15)9.9833-0765
ww.victormachadoadv.com www.compliancesorocaba.com.br
[1] Endereço NAT ocorre quando o provedor de acesso, por economia de endereços externos utiliza um roteador que tem a capacidade de gerar endereços IP no formato xxx.xxx.xxx.xxx:NNNN onde os blocos xxx são no formato IP (internet Protocol v4) e o bloco NNNN a derivação do IP. Exemplo 200.1.74.171:0801 e no mesmo IP 200.1.74.171:0765 permitindo, deste modo, que um único IP válido na INTERNET seja acessado por mais de um endereço externo.
[2] Um firewall (em português: parede de fogo) é um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. A complexidade de instalação depende do tamanho da rede, da política de segurança, da quantidade de regras que controlam o fluxo de entrada e saída de informações e do grau de segurança desejado. Disponível em < https://pt.wikipedia.org/wiki/Firewall > acessado em 14/07/2018