Todo usuário de internet se conecta a diversas redes sociais e sites durante a navegação e, para isso, utiliza credenciais de acesso (identificação e senha). Além, claro, de precisar realizar novos cadastros em cada novo app que queira se conectar. Mas existe um mecanismo que simplifica esse processo: open authentication ou OAuth.
OAuth é um padrão aberto para autorização, atualmente está na sua versão 2.0, e permite que usuários se conectem em sites de terceiros por meio de suas contas do Google, Facebook, etc. Atualmente, podemos citar algumas das principais bases de usuários que utilizam este padrão, são Facebook, Google, LinkedIn e WeChat e atuam como authorization servers (provedores de identidade). Juntas, detém a maior base de usuários do planeta!
Tais redes armazenam as informações do usuário e os conectam em outros sites sem que o usuário precise preencher tudo de novo. Dessa forma, utiliza-se apenas um login e uma senha para conexões em diferentes aplicativos e o usuário pode escolher quais dados são compartilhados com os aplicativos, podendo cancelar o compartilhamento das informações com estes aplicativos através de um painel de controle oferecido pelos provedores de identidade.
Na Europa, um dos padrões tecnológicos utilizados para atender a GDPR é o OAuth aplicado juntamente com OpenID Connect. Isso é, a decisão de compartilhar ou não os dados ficam com o usuário.
Por exemplo, um aplicativo permite que o usuário se conecte com a conta do Google. Então o Google informa ao usuário que tal aplicativo deseja acessar alguns dados como nome, e-mail e telefone. Se o usuário permitir, poderá acessar o aplicativo e seu aceite fica registrado sendo o “consentimento”.
O passo após o consentimento está no tratamento dos dados, ou seja, qual a garantia de que os aplicativos irão armazenar de forma correta as informações que foram solicitadas no Onboard do usuário e como o DPO (Data Protection Officer) vai controlar isso? Nesse sentido, falamos em governança do consentimento!
Esse procedimento busca responder:
As funcionalidades do OAuth mencionadas não se resumem nas linhas acima, mas nos permitem fomentar a respeito da tradicional disciplina de Segurança da Informação e seus desdobramentos atuais como a Lei Geral de Proteção de Dados sendo peça importante na estratégia apoiando a governança da privacidade.
*Por Helsen Rossi, arquiteto de soluções na SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de gestão de identidades, application security / DevSecOps, LGPD e cybersecurity atendendo segurança em transformação digital para os mais diferentes segmentos.
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…