Aula_1_Marcelo Crespo_19_10_20_pre_aula

Prévia do material em texto

PÓS-GRADUAÇÃO EM DIREITO DIGITAL E COMPLIANCE 
 
MÓDULO FUNDAMENTOS DO DIREITO DIGITAL 
 
1. Material pré-aula 
 
 a. Tema 
 
Noções Fundamentais sobre o Direito Digital e a Segurança da 
Informação. 
 
b. Noções Gerais 
 
Sabe-se que, atualmente, vivemos uma enorme influência digital em 
todas as esferas da sociedade. As mudanças estão presentes em todo 
o nosso comportamento de vida em sociedade, inclusive nas coisas 
corriqueiras, como pagar um boleto e nos comunicar 
instantaneamente pelo celular. Estes exemplos sequer seriam 
cogitados há 30 anos. 
 
Neste sentido, sobre a vida virtual, Pierre Lévy (1996, p. 157) 
aponta: 
 
Um movimento geral de virtualização afeta hoje não 
apenas a informação e a comunicação. Mas também os 
corpos, o funcionamento econômico, os quadros 
coletivos da sensibilidade ou o exercício da 
inteligência. A virtualização atinge mesmo as 
modalidades do estar junto, a constituição do “nós”: 
comunidades virtuais, empresas virtuais, democracia 
virtual [...] Embora a digitalização das mensagens e a 
extensão do ciberespaço desempenhem um papel 
capital na mutação em curso, trata-se de uma onda de 
fundo que ultrapassa amplamente a informatização. 
 
Pierre Lévy, no texto acima, aborda uma realidade dos anos 90. No 
Brasil, era comum que as instituições financeiras (bancos) fazerem 
uso dos cartões de assinatura em papel, com a finalidade de conferir 
a autenticidade das assinaturas dos clientes; utilizavam os aparelhos 
de fax nas agências, como forma de transmissão de dados 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
(documentos, etc). Naquela época, os aparelhos celulares que 
estavam à disposição apenas realizavam ligações. Pode-se afirmar 
que aquele era o começo de uma sociedade globalizada como a de 
hoje, mas que ainda não experimentava o fator disseminador da 
internet. 
 
Diante de toda a evolução tecnológica e digital, a ciência jurídica 
assumiu seu papel regulamentador, surgindo então o Direito Digital, 
mas não como um novo ramo do Direito, mas como uma releitura do 
Direito tradicionalmente conhecido, sob a ótica dos impactos e 
reflexos tecnológicos, conforme ensinam os Professores Coriolano 
Camargo e Marcelo Crespo. Antes de se tratar sobre o campo 
normativo, faz-se imprescindível ressaltar o caráter 
multidisciplinar, vez que sua análise envolve discussões sociais, 
econômicas e políticas, sobretudo, em todo o ambiente mundial. 
 
Tratando-se de tecnologia, é de suma importância estudar o contexto 
histórico, econômico, legislativo e jurisprudencial desde o seu 
surgimento, comparando-o com a sociedade moderna, a fim de 
identificar qual o objetivo que determinado país pretende atingir. 
Neste sentido, Patrícia Peck Pinheiro (2016) conceitua o Direito 
Digital como: 
 
[...] evolução do próprio Direito, abrangendo todos os 
princípios fundamentais e institutos que estão 
vigentes e são aplicados até hoje, assim como 
introduzindo novos institutos e elementos para o 
pensamento jurídico, em todas as suas áreas. 
 
Assim, percebe-se que o Direito Digital não pode ser considerado um 
ramo autônomo, pois está diretamente ligado aos demais ramos do 
Direito, como: 
 
• Civil: direitos personalíssimos, contratos, obrigações, família, 
etc; 
• Penal: crimes eletrônicos, corrupção, lavagem de dinheiro, 
falsa identidade, pornografia infantil, entre outros; 
• Tributário: nota fiscal eletrônica, tributação de softwares, 
comércio eletrônico, entre outros; 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
Carater multidisciplinar, envolvendo não apenas diversas áreas do direito no ramo digital como também envolve uma análise e discussões sociais, economicas e politicas.
	
 
• Comercial: propriedade intelectual, concorrência desleal, 
governança jurídica, etc.; 
• Dentre outras áreas do Direito. 
 
Diante de uma era moderna, contemporânea, pode-se dizer que 
estamos envolta de contradições alarmantes. A primeira delas se 
encontra na alta conectividade e acesso a tecnologias inimagináveis, 
as quais são tidas como ferramentas essenciais para suprimir 
barreiras sociais, culturais e geográficas, ao mesmo tempo em que se 
vê uma crescente exclusão digital e, consequentemente, social. A 
segunda, no fato de que, apesar desta nova geração ser marcada 
pela alta habilidade técnica sobre os meios eletrônicos, não possui 
mecanismos suficientes para usufruir de toda esta estrutura 
globalizada de forma ética, moral e em prol de um fim social. Esta 
dita estrutura globalizada já é uma realidade há quase duas décadas 
e, neste período, por óbvio, a sociedade vem se adaptando às 
ferramentas que a globalização apresenta. Ao mesmo tempo que é 
plano de fundo para o desenvolvimento e circulação de ideias, 
conhecimentos e informações, rompe, também, as barreiras físicas, 
possibilitando uma maior vazão de informação e em um tempo menor 
– ou seja, otimizando o fluxo das informações. Temos na 
globalização, portanto, o berço da sociedade da informação. 
 
Por sua vez, sociedade da informação, também denominada de 
sociedade do conhecimento, expressão utilizada para identificar o 
período histórico a partir da preponderância da informação sobre os 
meios de produção e a distribuição dos bens na sociedade que se 
estabeleceu a partir da vulgarização das programações de dados 
utiliza dos meios de comunicação existentes e dos dados obtidos 
sobre uma pessoa e/ou objeto, para a realização de atos e negócios 
jurídicos, conforme aponta Roberto Senise Lisboas (2012). 
 
Ainda, quanto à relevância da sociedade da informação e de seu 
entendimento, cumpre destacar algumas de suas principais 
características, evidenciada por Tatiana Malta Vieira (2007): a) 
relevância da informação como o principal ativo; b) importância das 
bases de dados públicas; c) difusão da revolução da tecnologia da 
informação por todo o planeta; d) incremento da liberdade de 
expressão e de comunicação; e) fortalecimento da democracia 
participativa; f) cisão global entre países “ricos em informação” e 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
países “pobres em informação”; g) surgimento das empresas.com; h) 
incremento das atividades de governo eletrônico; i) maior 
vulnerabilidade das infra-estruturas críticas; j) possibilidade da 
guerra informacional; k) crescimento dos cibercrimes; l) 
enfraquecimento das fronteiras físicas traçadas em nível jurídico, 
político e territorial; m) incremento da vigilância eletrônica; n) 
mitigação da privacidade; e, o) fortalecimento dos “mundos virtuais” 
(Second Life, Britannia, Norrath, The Sims On-Line)”. 
 
Das características acima mencionadas, faz-se necessário a 
observação com relação à utilização do termo “cibercrimes”, ou 
“crimes cibernéticos”. Como ensinam Marcelo Crespo e Coriolano 
Camargo (2016), o termo cibernético não é o mais correto a ser 
utilizado: 
 
A expressão "crimes cibernéticos" é utilizada de forma 
equivocada porque a cibernética não é sinônimo de 
tecnologia ou de computadores, mas uma teoria de 
Norbert Weiner, já em desuso. 
 
Cabe salientar que Marcelo Crespo (2015), em seus outros trabalhos 
científicos, aprofunda esta análise: 
 
 
Considerando-se que “virtual” é algo que não existe 
em realidade, sendo algo potencial; que“cibernético” 
refere-se à teoria das mensagens e dos sistemas de 
processamento de mensagens (em um estudo 
comparativo entre o funcionamento do cérebro 
humano e dos computadores) que se encontra em 
desuso há décadas; e, considerando-se, ainda, que os 
crimes não são necessariamente cometidos por 
computadores ou pela Internet, os termos acima não 
parecem corretos ou precisos, à exceção de uma delas. 
Assim, a expressão que adotamos como a mais 
adequada é “crimes digitais” em razão do que se 
pretende referir: os dados que decorrem da eletrônica 
digital. Note-se que “digital” deriva do inglês digit, 
que, por seu turno, deriva do latim, digitus e que 
significa a forma mais primitiva de exprimir os número 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
(com os dedos da mãos). A eletrônica digital é aquela 
em que os dados são convertidos nos números “0” e 
“1”, que formam o sistema binário, base para o 
armazenamento de dados, mais moderna e atualizada 
que a eletrônica analógica”. 
 
Retornado as características da sociedade da informação, Silvano 
Ghisi e Maria Cristina Pezzela (2008) ressaltam-se que cinco das 
características que permitem a identificação da daquela, como 
entidade independente e autônoma são: 
 
1) Tem a informação como sua matéria-prima, como o 
próprio nome já diz, e as tecnologias que vêm se 
agregar a este sistema visam garantir a apropriação e 
o uso da informação pelo seu consumidor; 
 
2) Grande capacidade de penetração em todos os 
estratos da 
sociedade; 
 
3) Flexibilidade que facilita sua constante 
reorganização, redefinição e, por vezes, 
ressignificação; 
 
4) Interação de tecnologias e diversas áreas do 
conhecimento; 
 
5) O funcionamento em rede, a “lógica de rede”, 
aparato que permite a produção, compartilhamento e 
disseminação da informação e, ao mesmo tempo, no 
despertar de tecnologia para o trato e uso da 
informação. E esta característica é reconhecida na 
Diretiva 2002/58 da Comunidade Europeia: [...] O 
desenvolvimento da sociedade da informação 
caracteriza-se pela introdução de novos serviços de 
comunicações eletronicas. O acesso a redes móveis 
digitais está disponível a custos razoáveis para um 
vasto público. Essas redes digitais têm grandes 
capacidades e possibilidades de tratamento de dados 
pessoais. 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
 
A sociedade da informação, por não estar adstrita a limites territoriais 
ou temporais, ultrapassando barreiras de língua, dando publicidade a 
fatos e atos antes totalmente desconhecidos da maioria da 
população, confere a si mesma caráter universal. 
 
E é então que encontramos sua interface mais presente: a 
segurança 
da informação, ou seja, a proteção existente sobre as informações 
de 
uma determinada pessoa ou empresa (tanto informações pessoais 
quanto corporativas). 
 
A Norma ISO/IEC 27002 define segurança da informação como: 
“proteção da informação de vários tipos de ameaças para 
garantir a continuidade do negócio, minimizar o risco ao 
negócio, maximizar o retorno sobre os investimentos e as 
oportunidades de negócio”. 
 
Entende-se por informação todo e qualquer conteúdo ou dado que 
tenha valor para alguma organização ou pessoa. Ela pode estar 
guardada para uso restrito ou exposta ao público para consulta ou 
aquisição. A segurança da informação não diz respeito apenas a 
sistemas, mas a todo e qualquer tipo de informação. 
 
Inclusive, Patrícia Peck Pinheiro (2013, p.102) aponta que a 
segurança da informação tem como objetivo: 
 
a) Confidencialidade: a informação só deve ser acessada 
por quem de direito; 
b) Integridade: evitar que os dados sejam apagados ou 
alterados sem a devida autorização do proprietário; 
c) Disponibilidade: as informações devem sempre estar 
disponíveis para acesso; 
d) Autenticidade: capacidade de identificar e reconhecer 
formalmente a identidade dos elementos de uma 
comunicação eletrônica ou comércio; e 
e) Não-repúdio (ou legalidade): características das 
informações que possuem valor legal dentro de um processo 
de comunicação. 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
 
De acordo com o canal Westcon (2017), as funções destas 
características são: 
 
Todos esses métodos são importantes para garantir a 
segurança das informações corporativas das possíveis 
ameaças, que podem ter origens tanto externas quanto 
internas. Elas podem ser uma pessoa, um evento ou uma ideia 
capaz de causar danos ao sistema. As ameaças externas são 
tentativas de ataque ou desvio de informações vindas de fora 
da empresa, normalmente originadas por pessoas com a 
intenção de prejudicar a corporação. As internas podem ser 
causadas por colaboradores de forma intencional. Essas 
ameaças podem causar pequenos incidentes e até prejuízos 
graves, por isso também devem ser levados em conta na hora 
do planejamento dos processos de segurança da empresa. 
 
Vale dizer que, recentemente, não havia legislação específica que 
tratasse a respeito da segurança da informação. Mas, atualmente, 
como se sabe, o Brasil conta com a Lei nº 13.709/2018, chamada de 
Lei Geral de Proteção de Dados. 
 
Contudo, cabe mencionar, antes da LGPD, podia-se contar com a 
Medida Provisória nº 2.200-2/2001, que instituiu a Infraestrutura de 
Chaves Públicas Brasileira (ICP-Brasil), a fim de garantir a 
autenticidade, a integridade e a validade jurídica dos documentos 
eletrônicos, nos termos do artigo 1º da referida norma. 
 
As declarações de princípios de governança, estabelecidas pelo 
NETmundial e pela Cúpula Mundial sobre a Sociedade da Informação, 
em Genebra/2003 e Túnis/2005, e as normas internacionais editadas 
pela International Organization for Standardization e pela 
International Electrotechnical Comission, como por exemplo: ISO/IEC 
27001:2013, indicam padrões de boas práticas para a gestão de 
segurança da informação. 
 
A propósito, cabe aqui realçar o papel da norma ISO 27001, que vem 
a ser “o padrão e a referência Internacional para a gestão da 
Segurança da informação”. 
 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
A norma ISO 27001 tem vindo, de forma continuada, a ser 
melhorada ao longo dos anos e deriva de um conjunto anterior de 
normas, nomeadamente a ISO 27001 e a BS7799 (British 
Standards). Sua origem remota na realidade a um documento 
publicado em 1992 por um departamento do governo Britânico que 
estabelecia um código de práticas relativas à gestão da Segurança da 
Informação. 
 
De acordo com a Integrity Consulting & Advisoring (2018): a adoção 
da norma ISO 27001 serve para que as organizações adotem um 
modelo adequado de estabelecimento, implementação, operação,monitorização, revisão e gestão de um Sistema de Gestão de 
Segurança da Informação. No âmbito dos órgãos e às outras normas 
e regulamentos que também auxiliam no controle e na Segurança da 
Informação, tem-se: 
 
PCI-DSS (Payment Card Industry Data Security Standard): 
Visa, Mastercard, JCB International, Discovery Financial Services, 
American Express se reuniram e instituíram um fórum global para 
disseminação de padrões de segurança na proteção de dados de 
pagamento. A este fórum foi dado o nome de Payment Card Industry 
Security Standards Council (PCI-SSC). Este fórum, por sua vez, 
estabeleceu recomendações mínimas de segurança obrigatórias para 
todas as empresas que participam da rede de captura de pagamento 
com cartões, o comércio, e prestadores de serviços que processam, 
armazenam e/ou transmitem eletronicamente dados do portador do 
cartão de crédito. 
 
São 12 essas recomendações, chamadas de requerimentos: 
 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
 
 
Fonte: Rede Segura. Disponível em: 
[https://www.redesegura.com.br/gerenciamento-de-
vulnerabilidades/recomendacoes-do-pci-dss/]. Acesso em: 07 out. 
2019 
 
CVM (Comissões de Valores Mobiliários): O Comitê de Segurança 
da Informação e das Comunicações (CSIC) foi criado pela Portaria 
CVM/PTE/ Nº 162/2015, com função consultiva e executiva da Política 
de Segurança da Informação e Comunicações (POSIC) da CVM. 
 
SEC (Securities and Exchange Commission): A “CVM americana” 
possui o EDGAR (Electronic Data Gathering, Analysis and Retrieval), 
sistema que lista dados financeiros públicos e privados das 
companhias listadas em bolsa. A identificação de acessos irregulares 
a este sistema tem auxiliado equipes de Segurança da Informação a 
responderem de forma mais eficaz este tipo de ocorrência. 
 
SOx (Lei Sarbanes-Oxley): visa garantir a criação de mecanismos 
de auditoria e segurança confiáveis nas empresas, incluindo ainda 
regras para a criação de comitês encarregados de supervisionar suas 
atividades e operações, de modo a mitigar riscos aos negócios, evitar 
a ocorrência de fraudes ou assegurar que haja meios de identificá-las 
quando ocorrem, garantindo a transparência na gestão das 
empresas. 
 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
Basiléia II: na prática, os acordos de Basiléia foram criados para 
proteger os bancos e seus clientes da quebra. São uma série de 
recomendações para regulamentações no setor bancário. 
Especificamente com relação ao Basileia II, o objetivo foi trazer maior 
transparência de informações sobre os bancos e trouxe maior 
liberdade de gestão de riscos das instituições. E também fortalecer a 
supervisão da atividade bancária. 
 
COSO (Committee of Sponsoring Organizations of the 
Treadway Commission): trata-se de uma organização Norte 
Americana privada, fundada em 1985, que se dedica a desenvolver e 
estudar assuntos gerenciais e de governança empresarial com o 
intuito de fornecer linhas guia ou diretrizes para os executivos. As 
áreas de principal interesse do COSO são Governança Corporativa, 
Ética de Negócios, Controles Internos, Gestão de Riscos Corporativos, 
Fraudes e Relatórios Financeiros. 
 
COBIT (Control Objectives For Information end Relatet 
Technology): é um conjunto de diretrizes, indicadores, processos e 
melhores praticas para a gestão e governança dos sistemas 
informáticos. O COBIT é útil para gestores de TI (Tecnologia da 
Informação – Information Technology), usuários e auditores, ao 
longo dos anos se consolidou como o padrão internacional para 
estruturas de governança e controle de TI. 
 
ITIL (Information Technology Infrastructure Library): em 
tradução livre, Biblioteca de Informações de Infraestrutura de 
Tecnologia. É um conjunto de melhores práticas para gestão de 
serviços de serviços em Tecnologia da Informação. Estas práticas 
estão contidas em sete livros (explicando, portanto, o uso do termo 
“biblioteca”), de onde se destacam os dois primeiros: Service Support 
(Suporte a Serviços) e Service Delivery (Entrega de Serviços). 
 
Apresentadas as formas de gestão da segurança da informação, 
passamos a estudar um dos principais conceitos em segurança da 
informação, que é a codificação das mensagens. Neste sentido, 
aduz Fernando Palma (2013): 
 
 
 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
Num mundo cada vez mais digital, são também crescentes os 
crimes informáticos com o intuito de roubar informações 
pessoais e financeiras. Como tal, a codificação de uma 
mensagem, de modo que apenas o destinatário e o emissor 
possam aceder a ela, é essencial para a segurança da 
informação. À codificação das mensagens, nomeadamente as 
técnicas utilizadas, dá-se o nome de criptografia. 
 
Nesta oportunidade, importante indicar o uso da criptografia como 
forma de supostamente garantir a segurança das informações, 
protegendo dados confidenciais/sigilosos, backups e comunicações 
realizadas pela Internet. 
 
E, então, chegamos a outro tema relevante e fonte de controvérsias 
na Segurança da Informação: a Teoria da Segurança por Obscuridade 
(Security trhough Obscurity). 
 
Nas palavras de Jonathan Tessarolo (2016): 
 
A teoria da Segurança por Obscuridade defende que o 
principal método para garantir segurança a um sistema deve 
ser a dependência na confidencialidade do segredo de 
desenvolvimento, engenharia, arquitetura ou implementação 
do mesmo. Em outras palavras, o sistema em si pode ter 
diversas vulnerabilidades, mas enquanto elas não forem 
conhecidas, ele estará seguro. 
 
Fábio Jânio (2012) sobre a segurança através da obscuridade aponta: 
“a falta de informação serviria como artifício para prover segurança”. 
Por sua vez, Jonathan Tessarolo (2016): 
 
Em meados do século 19, um Criptógrafo holandês chamado 
Auguste Kerckhoff sugeriu que um sistema criptográfico 
deveria continuar seguro mesmo que tudo sobre o sistema se 
tornasse de conhecimento público, com exceção da chave. 
Mais tarde, isso ficou conhecido como a Lei de Kerckhoff. 
 
Jesper Johansson (2009) afirma que para Kerckhoff, a segurança 
deve ser estabelecida na chave e não no código ou desenho do 
sistema. A segurança deve conseguir se manter apenas com a 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
Princípio de Kerckhoffs
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
qualidade da chave”. Logo, Jonathan Terrarolo (2016), aponta que a 
base do Princípio de Kerckhoff é de que “segredos não permanecem 
assim por muito tempo”. Ainda, afirma a respeito da contraposição 
destes dois princípios: 
 
O primeiro afirma que o sistema deixa de ser seguro a partir 
do momento em que os segredos de desenvolvimento são 
descobertos. O segundo afirma que mesmo que toda a 
arquitetura do sistema venha a ser descoberta, com exceção 
da chave, o mesmo continuará seguro. 
 
Por sua vez, Thiago Sandova e Claudio Penasio Jr. (2018) apontam 
que os especialista não temconsenso sobre o tema: 
 
A segurança baseada na obscuridade pode dificultar a 
exploração de uma falha, mas não é uma medida de segurança 
confiável e científica. [...] A impossibilidade de se quantificar 
a segurança fornecida pela obscuridade torna a mesma 
imprópria para alicerçar a segurança de qualquer sistema. De 
forma antagônica a este princípio, a exposição de um sistema 
por si só não garante sua segurança. Porém, quanto mais 
exposta um sistema é, mais fácil fica modelar e analisar sua 
segurança de forma metódica e científica. 
 
O consenso existe num ponto: que se trata de uma questão de 
gerenciamento de risco optar por uma ou outra forma de medida de 
segurança da informação. Há vantagens e desvantagens, prós e 
contras, em qualquer esquema, a a abordagem apropriada para uma 
organização não necessariamente se adequa a uma outra. Neste 
sentido, Jesper Johansson (2009) afirma: 
 
No final das contas, esse acaba sendo um problema de 
gerenciamento de risco. Os riscos superam os custos da 
implementação da solução? Toda decisão tomada por você 
quanto à proteção dos ativos de informações deve ser uma 
decisão de gerenciamento de risco bem informada, e 
raramente as opções são preto e branco. 
 
Além da criptografia, existem outras formas de garantir a segurança 
da informação, uma delas é o certificado digital: sendo uma 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
espécie de cartão de identidade digital que comprova a identidade de 
um determinado site. Este certificado é um arquivo no qual se 
encontram informações sobre uma pessoa, instituição, site ou 
equipamento, garantindo a sua identidade. De acordo com a definição 
do Instituto Nacional de Tecnologia da Informação: 
 
Na prática, o certificado digital ICP-Brasil funciona como uma 
identidade virtual que permite a identificação segura e 
inequívoca do autor de uma mensagem ou transação feita em 
meios eletrônicos, como a web. Esse documento eletrônico é 
gerado e assinado por uma terceira parte confiável, ou seja, 
uma Autoridade Certificadora - AC que, seguindo regras 
estabelecidas pelo Comitê Gestor da ICP-Brasil, associa uma 
entidade (pessoa, processo, servidor) a um par de chaves 
criptográficas. 
 
Se ao entrar num site e não encontrar seu certificado digital, o 
melhor a fazer é interromper a navegação naquela página. Isso é 
segurança da sua informação. 
 
Há também a Assinatura Digital, que é diferente do certificado. O 
certificado, como vimos, é um arquivo eletrônico que contém um 
conjunto de informações capazes e identificar uma determinada 
pessoa. Por sua vez, a assinatura digital representa todos os meios 
utilizados para assinar um documento eletrônico: De acordo com o 
ITI (2018): 
 
Como a assinatura realizada em papel, trata-se de um 
mecanismo que identifica o remetente de determinada 
mensagem eletrônica. No âmbito da ICP-Brasil, a assinatura 
digital possui autenticidade, integridade, confiabilidade e o 
não-repúdio, seu autor não poderá, por forças tecnológicas e 
legais, negar que seja o responsável por seu conteúdo. A 
assinatura digital fica de tal modo vinculada ao documento 
eletrônico que, caso seja feita qualquer alteração no 
documento, a assinatura se torna inválida. A técnica permite 
não só verificar a autoria do documento, como estabelece 
também uma “imutabilidade lógica” de seu conteúdo, pois 
qualquer alteração do documento, como por exemplo a 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
inserção de mais um espaço entre duas palavras, invalida a 
assinatura. 
 
Diante do dilema entre a segurança pela obscuridade ou pela 
exposição, a utilização de um certificado digital, a governança de T.I. 
e compliance digital exercem seu papel na companhia, tomando as 
melhores decisões, estabelecendo as diretrizes, mapeando os riscos 
e, junto à equipe de Segurança da Informação/T.I, tenta blindar a 
empresa e o negócio. 
 
c. Legislações 
 
• Lei nº 7.232/1984 - Dispõe sobre a Política Nacional de 
Informática, e dá outras providências; 
 
• Lei nº 9.983/2000 - Art. 313 - A trata da inserção de dados 
falsos em sistema de informações e o 313-B trata da modificação 
ou alteração não autorizada de sistema de informações; 
 
• Lei nº 10.683/2003 - Prevê a competência do GSIPR de 
coordenar a atividade de segurança da informação; 
 
• Lei nº 12.527/2011 – Lei de Acesso à Informação: dispõe 
sobre os procedimentos a serem observados pela União, Estados, 
Distrito Federal e Municípios, com o fim de garantir o acesso a 
informações. A Lei regula o acesso a informações previsto no 
inciso XXXIII do art. 5o, no inciso II do § 3o do art. 37 e no § 2o 
do art. 216 da Constituição Federal, entre outras providências; 
 
• Lei nº 12.737/2012 - Dispõe sobre a tipificação criminal de 
delitos informáticos; 
 
• Lei nº 12.965/2014 - Marco Civil da Internet; 
 
• Decreto nº 3.505/2000 - institui a Política de Segurança da 
Informação nos órgãos e entidades da Administração Pública 
Federal; 
 
• Decreto nº 4.801/2003 - Atribuição da Câmara de Relações 
Exteriores e Defesa Nacional, do Conselho de Governo, de 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
formular políticas públicas e diretrizes, aprovar, promover a 
articulação e acompanhar a implementação dos programas e 
ações estabelecidos no âmbito da segurança da informação; 
 
• Decreto nº 4.829/2003 - Dispõe sobre a criação do Comitê 
Gestor da Internet no Brasil – CGIbr, sobre o modelo de 
governança da Internet no Brasil, e dá outras providências. 
 
• Medida Provisória nº 2.200-2/2001 - Institui a Infraestrutura 
de Chaves Públicas Brasileira - ICP-Brasil; 
 
• Projeto de Lei nº 5.276/2016 - Dispõe sobre o tratamento de 
dados pessoais para a garantia do livre desenvolvimento da 
personalidade e da dignidade da pessoa natural; 
 
• Lei nº 13.709/2018 – Dispõe sobre a proteção de dados 
pessoais e altera a Lei nº 12.965/2014 (Marco Civil da Internet). 
 
d. Normas regulatórias relacionadas à mitigação de riscos e boas 
práticas em segurança da informação (ISO) 
 
ISO/IEC TR 13335-3: Esta norma fornece técnicas para a gestão 
de segurança na área de tecnologia da informação. Baseada na 
norma ISO/IEC 13335-1 e TR ISO/IEC 13335-2. As orientações são 
projetadas para auxiliar o incremento da segurança na TI. ISO IEC 
17799: Esta norma é equivalente à ISO/IEC 17799:2005. Consiste 
em um guia prático que estabelece diretrizes e princípios gerais para 
iniciar, implementar, manter e melhorar a gestão de segurança da 
informação em uma organização. Os objetivos de controle e os 
controles definidos nesta norma têm como finalidade atender aos 
requisitos identificados na análise/avaliação de riscos. 
 
ISO/IEC 27001: Esta Norma especifica os requisitos para 
estabelecer, implementar, manter e melhorar continuamente um 
sistema de gestão da segurança da informação dentro do contexto da 
organização. Esta Norma também inclui requisitos para a avaliação e 
tratamento de riscos de segurança da informação voltados para as 
necessidades daorganização. 
 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
LGPD - Lei Geral de Proteção de Dados
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
ISO/IEC 27002: Esta Norma fornece diretrizes para práticas de 
gestão de segurança da informação e normas de segurança da 
informação para as organizações, incluindo a seleção, a 
implementação e o gerenciamento de controles, levando em 
consideração os ambientes de risco da segurança da informação da 
organização. 
 
ISO/IEC 27005: Esta Norma fornece diretrizes para o processo de 
gestão de riscos de segurança da informação. 
 
e. Referência e Leituras Sugeridas 
 
ANGELUCI, Regiane Alonso; SANTOS, Coriolano Almeida Camargo. 
Sociedade da Informac ̧ão: O mundo virtual Second Life e os 
Crimes Cibernéticos. In: Migalhas. Publicado em: 04.10.2007. 
Disponível em: <www.migalhas.com.br/dePeso/16,MI46552,101048- 
Sociedade+da+informacao+O+mundo+virtual+Second+Life+e+os+c 
rimes>. 
 
ASCENSÃO, José de Oliveira. Direito da Internet e da Sociedade 
da Informação. Rio de Janeiro: Editora Forense, 2002. 
 
CAPELLARI, Eduardo. Tecnologias de informação e possibilidades do 
século XXI: por uma nova relação do estado com a cidadania. 
In: ROVER, Aires José (org.). Direito, Sociedade e Informática: 
limites e perspectivas da vida digital. Florianópolis: Fundação 
Boiteux, 2000. 
 
CGI - Comitê Gestor da Internet. Documentos da Cúpula Mundial 
sobre a Sociedade da Informação – Genebra 2003 e Túnis 2005. 
Disponível em: 
<www.cgi.br/media/docs/publicacoes/1/CadernosCGIbr_Docu 
mentosCMSI.pdf >. 
 
CRESPO, Marcelo. O que Star Wars pode nos ensinar sobre 
Segurança da Informação? In: AB2L. Publicado em: 09.06.2018. 
Disponível em: <www.ab2l.org.br/o-que-star-wars-podenos-ensinar-
sobre-seguranca-da-informacao/>. 
 
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
PH Monteiro (peppa)
Realce
	
 
_____. O papel da educação digital e da segurança da 
informação no direito. In: Âmbito Jurídico. Disponível em: < 
www.ambitojuridico.com.br/site/index.php?n_link=revista_artigos_lei
tura&artigo_id=7975 >. 
 
CRESPO, Marcelo; CAMARGO, Coriolano. Inteligência Artificial, 
Tecnologia e Direito: o debate não pode esperar! Publicado em: 
30.11.2016. Disponível em: 
<www.migalhas.com.br/DireitoDigital/105,MI249734,41046- 
Inteligencia+artificial+tecnologia+e+o+Direito+o+debate+nao+pode
>. 
 
______. Segurança da Informação, escritórios de advocacia e 
compliance: por que a atenção precisa ser redobrada? In: 
Migalhas. Publicado em: 04.08.2017. Disponível em: 
<https://www.migalhas.com.br/DireitoDigital/105,MI263165,21048- 
Seguranca+da+informacao+escritorios+de+advocacia+e+complianc 
e+por+que >. 
 
DEMO, Pedro. Ambivalências da Sociedade da Informação. In Ci. 
Inf., Brasília, v. 29, n. 2, p.37-42, mai/ago.2000. Disponível em: 
<http://www.scielo.br/pdf/ci/v29n2/a05v29n2.pdf>. 
 
GUERRA, Sidney. A Internet e os Desafios para o Direito 
Internacional. Disponível em: 
<http://www.egov.ufsc.br/portal/sites/default/files/anexos/32792- 
40572-1-PB.pdf>. 
 
LÉVY, Pierre. A inteligência coletiva – por uma antropologia do 
ciberespaço. Edições Loyola, 1998. 
 
_______. O que é o virtual? Tradução Paulo Neves. São Paulo: 
Editora 34, 1997. 
 
MENDEL, Toby. Liberdade de informação: um estudo de direito 
comparado. 2 ed. Brasília: UNESCO, 2009. Disponível em: 
<http://unesdoc.unesco.org/images/0015/001584/158450por.pdf>. 
 
	
 
PAESANI, Liliana Minardi. Direito de Informática – 
Comercialização e Desenvolvimento Internacional do 
Software. 10 ed. São Paulo: Atlas, 2015. 
 
PINHEIRO, Patrícia Peck. Direito Digital. 5 Ed. rev., atual. e ampl. 
De acordo com as Leis n. 12.735 e 12.737, de 2012 – São Paulo: 
Saraiva, 2013. 
 
SHAVER, Lea. Access to Knowledge in Brazil – New Research on 
Intellectual Property, Innovation and Development. 
Information Society Project, 2008. Disponível em: 
<https://works.bepress.com/shaver/3/>. 
 
SUBRAMANIAN, Ramesh; KATZ, Eddan. The Global Flow of 
Information: Legal, Social, and Cultural Perspectives. NYU 
Press, 2011 – Ex Machina: Law, Technology, and Society series.