Prévia do material em texto
niciado em quinta, 10 ago 2023, 09:46 Estado Finalizada Concluída em quinta, 10 ago 2023, 09:58 Tempo empregado 11 minutos 54 segundos Notas 30,00/30,00 Avaliar 100,00 de um máximo de 100,00 Questão 1 Correto Atingiu 1,00 de 1,00 Questão 2 Correto Atingiu 1,00 de 1,00 A LGPD se aplica a qual das hipóteses a seguir? Escolha uma opção: a. Dados relativos a investigação policial, segurança pública, defesa nacional e segurança do Estado. b. Dados da agenda de seu telefone pessoal, para contato com clientes e potenciais clientes. c. Dados pessoais tratados em atividade jornalística e dados biográficos de uma alta celebridade. d. Dados provenientes de uma empresa francesa e tratados aqui sem compartilhamento ou transferência. A alternativa que se aplica à LGPD é a afirmativa “b”, ou seja, “Dados da agenda de seu telefone pessoal, para contato com clientes e potenciais clientes”. Questão 3 Correto Atingiu 1,00 de 1,00 Questão 4 Correto Atingiu 1,00 de 1,00 Você é o Encarregado de uma Rede de Farmácias e recebe e-mail de um cliente: (1) indagando quais dados pessoais são tratados, (2) comunicando a revogação de seu consentimento e (3) exigindo a deleção de todos os dados. Na função de Encarregado, a melhor ação e resposta deve ser: Escolha uma opção: a. Prezado cliente, seus dados em nosso cadastro são x, y e z. Conforme solicitado, foram devidamente eliminados. b. Prezado cliente, seus dados em nosso cadastro são x, y e z, mas não serão eliminados porque temos legítimo interesse no tratamento. c. Prezado cliente, o tratamento faz parte de nosso contrato e nós o estamos executando da forma ajustada. d. Prezado cliente, tratamos seu nome e CPF e acatamos a revogação do consentimento, mas vamos retê-los ainda por 3 anos que é o prazo de prescrição. Na função de encarregado, a melhor ação e resposta deve ser “Prezado cliente, seus dados em nosso cadastro são x, y e z. Conforme solicitado, foram devidamente eliminados”. Qual das opções a seguir contém três hipóteses de tratamento de dados? Escolha uma opção: a. Consentimento, execução de contrato e revogação. Questão 6 Correto Atingiu 1,00 de 1,00 Questão 7 Correto Atingiu 3,00 de 3,00 Qual das práticas descritas a seguir NÃO tem relação com "privacy by design"? Escolha uma opção: a. Os desenvolvedores atuam, desde a definição de arquitetura, avaliando os riscos à segurança do sistema e à privacidade. b. Os processos de negócio contêm checagem preliminar de conformidade com as Leis de Privacidade, de Proteção do Consumidor e com o Marco Civil da Internet. c. As equipes de tratamento de incidentes renovam frequentemente sua infraestrutura de segurança. d. Os processos de aquisição já preveem, em editais e contratos, cláusulas de alinhamento com a LGPD. A alternativa “c” descrita NÃO tem relação com "privacy by design", ou seja: “As equipes de tratamento de incidentes renovam frequentemente sua infraestrutura de segurança.” Na primeira semana de janeiro de 2021, as empresas LATFLY (Chile) e BRAirwais (Brasil) comunicam ao mercado sua fusão, que ocorrerá em junho daquele ano. Um dos objetivos da fusão é gerar rentabilidade, com a unificação e modernização dos atuais sistemas de TI e Rede. Outro objetivo é o fortalecimento do plano de fidelização e sua ampliação. Os serviços de pessoal e a área comercial serão fundidos e (re)localizados na antiga sede brasileira. Para mitigar os riscos de possíveis violações de dados de seus clientes, o Conselho de Administração resultante da fusão designou o Data Center da empresa chilena como responsável pelo tratamento de todas as operações a partir de junho. O Data Center chileno fará o tratamento dos dados corporativos e pessoais de todos os clientes das empresas fundidas e continuará sendo terceirizado para a empresa AlpesData, que já atendia a LATFLY. O processamento dos dados controlados no Brasil continuará sendo feito, por enquanto, pela própria BRAirways. Considerando que você é o Encarregado das duas empresas em processo de fusão, assinale a alternativa ERRADA: Questão 9 Correto Atingiu 3,00 de 3,00 Questão 10 Correto Atingiu 3,00 de 3,00 A ONG InfosecSwift recebeu uma denúncia anônima. Nela, o hacker denunciante informa que descobriu uma vulnerabilidade na gestão do Plano de Previdência do Banco Produção Rural: o BPRPrevidência, que conta com mais de 150 mil contribuintes. A falha, segundo o denunciante, permite que qualquer pessoa tenha acesso a dados pessoais dos participantes e, além disso, permite que o invasor possa editar e cadastrar beneficiários como se fosse o próprio titular da conta. A partir de um link de qualquer conta do BPRPrevidência, o atacante só precisa usar a mesma URL e substituir aleatoriamente o número sequencial do participante, que aparece no fim do endereço. Com isso, o atacante pode chegar aos seguintes dados do cadastrado: nome, endereço físico completo, CPF, data de nascimento, e-mail, telefone, nome da entidade para a qual o participante pretenda fazer uma portabilidade, o tipo de plano e o CNPJ da empresa patrocinadora, identificação do valor bruto disponível na conta e até transfência desse valor para beneficiários cadastrados. Esse acesso permite, ainda, a exclusão de beneficiários já existentes e a inclusão de um novo beneficiário, com a transferência do saldo da conta para este novo beneficiário. O relato envolvendo a BPRPrevidência descreve: Escolha uma opção: a. Uma simples falha de segurança. b. Uma falha de segurança em perspectiva e uma vulnerabilidade do sistema. c. Um incidente de segurança da informação e a violação de dados. Sim, um incidente de segurança consumado se deu com o "teste de invasão" relatado pelo hacker, com exposição de dados pessoais: portanto houve uma violação com quebra de confidencialidade. d. Uma violação de dado sensível. O relato envolvendo a BPRPrevidência descreve um incidente de segurança da informação e a violação de dados. Questão 12 Correto Atingiu 3,00 de 3,00 Questão 13 Correto Atingiu 3,00 de 3,00 Se, a partir do incidente, o BPRPrevidência decidir eliminar a coleta de alguns dados considerados desnecessários, para reduzir o risco de violação, isso atenderia a qual princípio? Escolha uma opção: a. Prevenção da futilidade b. Autodeterminação informativa c. Transparência d. Necessidade O princípio da necessidade responde à boa prática de coletar e tratar apenas os dados necessários à realização de suas finalidades. O princípio atendido seria o da necessidade, portanto, alternativa “d”. Agora, imagine-se na condição de Encarregado da BPRPrevidência: você recebeu o ofício da ONG InfosecSwift fazendo a denúncia inicial e exigindo providências. Em matéria de notificações, avisos e comunicação, marque qual a conduta mais razoável do Encarregado - DPO: Escolha uma opção: a. Publicaria o relato do ocorrido no Diário Oficial e em um periódico de grande circulação, avisaria imediatamente os 150.000 titulares e demandaria uma forense computacional. b. Avisaria, em primeiro lugar, os titulares, em vista do alto risco a que estão expostos seus dados sensíveis. c. Informaria a Diretoria da Empresa, alertaria a equipe de comunicação para estar a postos e determinaria uma forense para avaliar as Questão 14 Correto Atingiu 3,00 de 3,00 Qual alternativa apresenta os 2 elementos de maior importância para o momento de enfrentar um incidente como esse, envolvendo a BPRPrevidência? Escolha uma opção: a. Contrato de consultoria e aquisição de criptografia. b. Análise de impacto e equipe de classificação de dados. c. Plano de Comunicação e Plano de Continuidade. d. Programa de Segurança e Política de Privacidade. Ter um adequado Plano de Comunicação para a hipótese de incidentes de segurança e de violação de privacidade é de suma importância para evitar que falhas de comunicação aumentem a dimensão do problema. Também é essencial para demonstrar que a Empresa está - mesmo em crise - no controle da situação, tranquilizando os envolvidos, além de demonstrar à Autoridade Supervisorao nível de maturidade no tratamento do incidente. Por outro lado, um adequado Plano de Continuidade - que em si já pode trazer integrado um Plano de Comunicação - é fundamental para garantir que mesmo na falha de segurança ou na deficiência de adoção das melhores práticas, a organização conte com agilidade na recuperação e mitigação do incidente e com rápido retorno à regularidade, minimizando os danos aos titulares e garantindo que o histórico e a experiência sejam utilizados na prevenção de ocorrências futuras. Ciclo de melhoria contínua - PDCA. Esses itens são importantes para a segurança da informação ou para a privacidade, mas não têm a relevância necessária para o momento de enfrentar uma crise como a relatada na atividade.