Criptografia e Proteção de Dados: o que diz a ISO 27002 e a LGPD
- Mainsafe
- 30 de out.
- 3 min de leitura
Entenda como aplicar criptografia de forma eficaz para proteger informações pessoais e corporativas
A criptografia é um dos pilares técnicos da segurança da informação — e também um requisito legal da Lei Geral de Proteção de Dados (LGPD).Ela garante que, mesmo que um dado seja interceptado, não possa ser lido ou utilizado por pessoas não autorizadas.
Nas normas ISO/IEC 27001 e ISO/IEC 27002, o tema é tratado como controle essencial de segurança técnica — especialmente nos controles 8.24 a 8.28, que abordam a proteção de dados em repouso, em uso e em trânsito.
O que é criptografia e por que é tão importante
Criptografia é o processo de codificar informações de modo que apenas pessoas com a chave certa possam decifrá-las.
É uma das formas mais eficazes de proteger dados contra:
Vazamentos acidentais ou intencionais;
Acesso indevido por terceiros;
Ataques cibernéticos e interceptações de rede.
Em resumo: sem criptografia, qualquer dado em trânsito ou armazenado pode ser lido.
O que a LGPD exige sobre criptografia
A LGPD, em seu art. 46, determina que os agentes de tratamento adotem medidas de segurança técnicas e administrativas capazes de proteger os dados pessoais de acessos não autorizados.
Embora a lei não mencione explicitamente a palavra “criptografia”, a ANPD já reforçou em guias e decisões que ela é uma das principais medidas esperadas para proteger dados pessoais, especialmente sensíveis.
💡 Em outras palavras: dados criptografados reduzem o risco jurídico e a gravidade de incidentes.
O que a ISO 27002 orienta sobre criptografia
A ISO/IEC 27002 detalha no controle 8.2.4 os diretos sobre criptografia e gestão de chaves:
Controle - 8.2.4 -Uso de criptografia - Regras para o uso efetivo da criptografia, incluindo o gerenciamento de chaves criptográfica devem ser definidas e implementadas.
Onde aplicar criptografia na sua empresa
A criptografia deve ser usada em três momentos críticos do ciclo de vida da informação:
Em repouso
Protege dados armazenados em servidores, notebooks, celulares, pen drives e backups.
Em trânsito
Protege dados que trafegam entre usuários, redes e sistemas.
Em uso
Protege dados processados em sistemas (por exemplo, ambientes em nuvem com criptografia de memória).
Gestão de chaves criptográficas
Um dos erros mais comuns é usar criptografia sem gerenciar corretamente as chaves.
Segundo a ISO 27002, a empresa deve:
Definir quem cria, armazena e substitui chaves;
Utilizar repositórios seguros;
Registrar todo o ciclo de vida da chave;
Garantir backup e segregação de funções para evitar abuso de acesso.
Criptografia e LGPD: como elas se conectam
Requisito da LGPD | Ação recomendada pela ISO 27002 |
Art. 46 – Segurança | Aplicar criptografia robusta em dados pessoais e sensíveis. |
Art. 48 – Comunicação de incidentes | Manter evidência de criptografia ativa para reduzir obrigações legais. |
Art. 50 – Boas práticas | Implementar políticas de criptografia e gestão de chaves. |
Na prática, criptografar dados pessoais é uma das maneiras mais diretas de demonstrar conformidade com a LGPD.
Como o DPONOTE e a MainSafe podem ajudar
DPONOTE – Governança e segurança integrada
Registro de medidas técnicas (criptografia, backups, VPNs, controles ISO);
Associação das medidas a processos, riscos e ativos no RoPA;
Evidências automáticas para auditorias ISO e ANPD;
Planos de ação e histórico de conformidade.
MainSafe – Consultoria e auditoria técnica
Implementação dos controles ISO 27002;
Diagnóstico e política de criptografia personalizada;
Avaliação de maturidade de segurança e LGPD;
Capacitação de equipes em segurança e privacidade.
Comentários