O mundo dos negócios online está em aceleramento contínuo, e nele os data rooms vêm se tornando uma das principais tecnologias para resguardar a privacidade e segurança dos dados online, tanto em transações de grande porte, como fusões e aquisições (M&A), quanto no tratamento dos dados pessoais de usuários e consumidores.
E não é pra menos, porque o crime digital alcançou proporções assombrosas: de acordo com um estudo recente da Mastercard, 64% das empresas brasileiras são alvos de ataques cibernéticos. No mundo todo, previsões indicam que o custo do cibercrime alcançará US$ 15 trilhões até 2029. A cifra é impressionante, e reflete uma realidade inegável: no mundo dos negócios online, uma proteção completa não é opção — é necessidade.
Ao oferecer esta proteção, os data rooms virtuais (ou VDRs, na sigla em inglês) também ajudam as empresas a se manter em dia com a necessidade do compliance — ou seja, o cumprimento com normas que regulam como podem agir as instituições e resguardam os direitos do consumidor, ajudando a resguardar seu direito à privacidade.
Por que os data rooms são importantes para compliance
O termo “compliance” é recente e vem do verbo inglês to comply — “estar em conformidade com”. Mas a realidade que ele descreve é simples: é a necessidade que uma organização tem de atender às leis, regulamentos e códigos de ética e de conduta estabelecidos para a indústria.
O objetivo do compliance é simples: eliminar os riscos e as más práticas em qualquer indústria, fomentando um ambiente mais seguro e produtivo para empresários, funcionários e consumidores.
No Brasil, existem várias legislações que abordam diferentes aspectos de compliance. Um exemplo é a Lei Anticorrupção. Outro é a famosa Lei Geral de Proteção de Dados, ou LGPD, que busca proteger a liberdade e privacidade do cidadão no espaço público.
Uma forma de atender a necessidade de resguardar a privacidade dos dados do usuário é através do uso de data rooms.
Principais regulamentos e padrões de proteção de dados
Além da LGPD, existe uma série de normas e padrões que regulam o tratamento dos dados de caráter pessoal, tanto no mundo físico quanto no digital. Algumas destas normas, embora façam parte de legislações dos Estados Unidos ou da Europa, estão sendo integradas cada vez mais como um padrão de comportamento também no Brasil, razão pela qual é importante estar ciente delas.
Confira na tabela abaixo algumas das principais certificações e as esferas a que se aplicam.
| Certificação/Regulamento | Descrição | Área de foco | Indústria/Aplicação |
| ISO/IEC 27001 | Padrão reconhecido globalmente para gerenciamento de sistemas de gestão de segurança da informação (ISMS). | Segurança da informação, gestão de riscos | Aplicável em diversos setores para proteger dados e prevenir violações. |
| SOC 1 | Tem foco nos controles internos sobre relatórios financeiros (ICFR). | Relatórios financeiros | Relevante para organizações que gerenciam dados financeiros de clientes. |
| SOC 2 | Garante que os sistemas atendam aos princípios de confiança: segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. | Segurança de dados e confiança | Comum em empresas de tecnologia, SaaS e serviços de nuvem que manipulam dados sensíveis. |
| GDPR | Regulamento da União Europeia para proteção de dados e privacidade de indivíduos. | Proteção de dados pessoais, direitos de privacidade | Aplicável a empresas que manipulam dados de cidadãos da UE, independentemente da localização. |
| HIPAA | Lei dos EUA que garante a confidencialidade e segurança das informações de saúde protegidas (PHI). | Segurança e privacidade de dados de saúde | Relevante para prestadores de serviços de saúde, seguradoras e seus associados. |
| FISMA | Lei dos EUA que exige que agências federais desenvolvam, documentem e implementem programas de segurança da informação. | Segurança de dados governamentais | Obrigatório para agências federais e contratados que gerenciam dados do governo dos EUA. |
| LGPD (Lei Geral de Proteção de Dados) | Regulamento brasileiro que estabelece diretrizes para o tratamento de dados pessoais e garante direitos de privacidade. | Proteção de dados pessoais, privacidade | Aplicável a empresas que processam dados pessoais de indivíduos no Brasil. |
Aspectos de compliance dos data rooms virtuais
Como exatamente é que os data rooms ajudam uma organização a respeitar os princípios de compliance? Para responder a esta pergunta, precisamos entender que os dados do usuário de uma loja online, por exemplo, são propriedade da pessoa física em questão e, como tal, devem ser protegidos.
Os data rooms ajudam a garantir que estes dados fiquem em segurança através de várias funcionalidades de segurança.
- Criptografia. Um bom data room encripta os dados nele hospedados, incluindo tanto os dados “em repouso” quanto “em trânsito” — ou seja, dados que estão simplesmente salvos na plataforma e dados que são enviados em mensagens ou comentários. Uma vez encriptados, é impossível acessar os dados sem acesso à plataforma em questão.
- Controles de acesso. Mesmo para usuários que têm acesso ao data room, podem ser implementadas restrições à forma como eles interagem com os arquivos e documentos ali hospedados. Por exemplo, data rooms como a Ideals oferecem diferentes níveis de acesso, incluindo somente visualização, download, comentário, edição, etc.
Além disso, certos documentos podem ser colocados em visualização restrita, onde apenas certas páginas ou trechos delas podem ser visualizados por outros usuários, o que também ajuda a resguardar a privacidade e prevenir vazamentos.
- Trilha de auditoria. A trilha de auditoria é essencialmente um histórico das ações tomadas por usuários na plataforma, permitindo uma auditoria completa do uso da plataforma. Ações registradas podem incluir, dependendo do data room, o horário e IP de acesso de determinados documentos, um registro de edições ou visualizações, tempo gasto no acesso dos documentos e downloads feitos.
- Autenticação em duas etapas. Todo data room que se preza garante esta verificação de identidade: ao acessar sua conta em um novo dispositivo ou após um período prolongado, o usuário deve confirmar sua identidade mediante um código no celular, e-mail ou em um aplicativo de autenticação. Este nível de segurança é fundamental e evita que o vazamento de uma senha permita que intrusos acessem a plataforma.
- Marcas d’água. As marcas d’água dinâmicas adicionam as informações do usuário ao documento que ele visualiza — por exemplo, IP, nome do usuário, horário de acesso. Isto evita que qualquer documento seja compartilhado através de capturas de tela, uma vez que isto revelaria o autor do vazamento.
- Backups e recuperação de dados. Com hospedagem de dados na nuvem, a maioria dos data rooms deixa fácil de recuperar dados perdidos, resguardando a integridade deles e ajudando a prevenir os ataques de ransomware cada vez mais comuns hoje em dia.
Teste as oportunidades únicas fornecidas pelas data rooms gratuitamente durante 30 dias.
Práticas recomendadas para garantir compliance com data rooms virtuais
Um data room para compliance é como qualquer outra ferramenta. Não basta só usá-la — é preciso saber usá-la bem. No caso do data room, podemos recomendar várias práticas que ajudam a garantir que seu data room seja um espaço seguro para a hospedagem e compartilhamento de dados, assim como a colaboração entre várias as pessoas envolvidas. Dentre elas, as principais são:
- Atualizações/revisões regulares das permissões de acesso. Uma omissão muito frequente é convidar um usuário para a plataforma e pronto, depois se esquecer dele para sempre. Esta atitude pode acarretar sérios riscos, incluindo o de vazamentos de dados da parte de usuários que já não trabalham para a empresa, mas retêm acesso ao data room. Por isso, é importante revisar e, se necessário, remover permissões com certa regularidade — nossa recomendação é uma vez por trimestre ou, no máximo, a cada seis meses.
- Auditorias de compliance e avaliações de risco. Quer sejam efetuadas por auditores externos ou por membros da sua própria equipe, é importante realizar vistorias periódicas que possam revelar potenciais falhas de segurança no estruturamento das permissões de acesso do data room, prevenindo vazamentos ou ataques antes que aconteçam.
- Treinamento de funcionários. É fundamental garantir que todos os funcionários com acesso ao data room tenham uma boa compreensão das responsabilidades que acarreta o compliance e saibam usar o VDR de forma segura e responsável. Para isso, uma prática recomendada é que cada novo funcionário passe por um treinamento padronizado onde seja exposto às normas de segurança e proteção de dados, bem como às práticas que ele/ela deve seguir a fim de não comprometer o ambiente do data room.
- Políticas estritas de retenção/eliminação de dados. Outro aspecto importantíssimo — sua empresa deve garantir que as informações dos usuários não sejam mantidas por períodos superiores aos permitidos na lei, e que, ao serem excluídos, sejam excluídos de forma definitiva e segura.
- Colaboração com provedores de VDIs. Muitos data rooms dão apoio ao seus clientes e estão sempre prontos a oferecer assistência a fim de garantir que os padrões de compliance estejam sendo respeitados no tratamento dos dados.
Em resumo
Hoje em dia, o compliance é um aspecto fundamental do mundo digital, e requer a atenção de todos os tipos de organizações. Como resposta aos desafios do mundo online, as organizações usam data rooms, os quais oferecem uma forma de resguardar a privacidade das informações de usuários e consumidores.
Contudo, simplesmente usar um data room não é suficiente. Antes de mais nada, é preciso estar ciente dos padrões de compliance que vimos acima, entre os quais SOC 2, LGPD, HIPAA e outros mais. Além disso, é importante seguir as práticas de compliance recomendadas aqui e usar um data room confiável e certificado.
Está precisando de recomendações de data rooms para compliance? Confira aqui as soluções que a Ideals oferece para garantir um compliance efetivo para a sua empresa.