Entendendo o princípio de acesso a dados baseado na necessidade de conhecimento
Entendendo o princípio de acesso a dados "Necessidade de Saber"
O princípio de acesso a dados "Necessidade de Saber" é um conceito fundamental de segurança concebido para limitar o acesso a informações sensíveis. Segundo este princípio, indivíduos ou entidades têm acesso apenas aos dados necessários para o desempenho de suas tarefas ou funções específicas. Esta abordagem minimiza o risco de exposição não autorizada ou uso indevido de dados, garantindo que apenas aqueles com uma necessidade legítima e específica possam acessá-los.
Aspectos-chave do princípio da "necessidade de saber"
Acesso Restrito : O acesso à informação é restrito àqueles que precisam dela para desempenhar suas funções, impedindo que os dados estejam livremente disponíveis para todos os funcionários ou usuários. Isso reduz o risco de violações de dados. Por exemplo, com MyDocSafe, você pode controlar o acesso ao CRM e limitar o acesso às informações de AML/KYC conforme necessário.
Controle de Acesso Baseado em Funções (RBAC) : As permissões são atribuídas com base nas funções dentro de uma organização. Cada função pode ter responsabilidades e direitos de acesso definidos. O MyDocSafe implementa o RBAC por meio da seção "funções da empresa", garantindo que os responsáveis pela conformidade tenham acesso aos contatos e às informações de verificação de identidade, mas não possam acionar fluxos de trabalho de vendas ou de registro.
Classificação de Dados : Os dados são categorizados por sensibilidade e criticidade. Somente aqueles com o nível de autorização apropriado podem acessar níveis de classificação mais altos. MyDocSafe distingue seis classificações de dados, incluindo dados internos da empresa, informações de contato do cliente, registros AML/KYC, contratos assinados e dados de projetos.
Princípio do Privilégio Mínimo : Este princípio garante que os usuários recebam o nível mínimo de acesso necessário para realizar seu trabalho, limitando os danos potenciais caso suas credenciais sejam comprometidas.
Auditoria e Monitoramento : Auditorias e monitoramento regulares dos registros de acesso garantem a conformidade com o princípio da "necessidade de saber" e detectam tentativas de acesso não autorizado.
Autorização e Treinamento : Funcionários e usuários devem possuir a autorização e o treinamento necessários antes de acessar informações confidenciais, garantindo que compreendam a importância da segurança de dados e os riscos associados.
O princípio da "necessidade de saber" é crucial para manter a confidencialidade e a integridade de dados sensíveis, especialmente em ambientes críticos para a segurança, como os setores militar, governamental, de saúde e financeiro. A MyDocSafe facilita a implementação desse princípio por meio de seu Painel de AML/KYC.
Exemplo 1: O painel de controle AML/KYC
Como responsável pela conformidade ou proprietário de uma empresa que atua como tal, é essencial conhecer seus clientes. MyDocSafe simplifica a incorporação de etapas de verificação de identidade nos fluxos de trabalho de registro ou integração de clientes, com diversos vídeos instrutivos disponíveis aqui .
Anteriormente, rastrear testes de identidade e saber quando atualizá-los era um desafio, pois os clientes tinham acesso a vários portais. Os clientes podiam ser diretores de diversas empresas ou partes envolvidas em diferentes negócios ou projetos, cada um com seu próprio fluxo de trabalho de verificação de identidade. Exigir que o mesmo diretor se submetesse a vários testes de verificação de identidade para diferentes portais seria ineficiente e trabalhoso.
O Painel de Contatos MyDocSafe, que funciona como um CRM e um Painel de Conformidade, resolve esse problema. Ele oferece uma visão abrangente de todos os testes de verificação de identidade iniciados pela plataforma, garantindo que uma pessoa não precise se submeter a vários testes, a menos que seja necessário. Por exemplo, um segundo teste de identidade pode ser exigido se o primeiro verificar apenas a identidade e o segundo exigir comprovante de endereço e um teste de Pessoa Politicamente Exposta (PEP).
O painel exibe o status atual de todos os testes de verificação de identidade, associando os dados de cada teste aos dados da ficha de contato. O status de cada teste é "em dia" ou "expirado", sendo que o indicador "expirado" pode ser definido manualmente ou automaticamente por meio de um temporizador (de 0 a 24 meses). A tabela pode ser classificada e paginada, permitindo que os responsáveis pela conformidade identifiquem rapidamente os contatos que precisam de atenção.
Fundamentalmente, os dados de verificação de identidade podem ser ocultados dos membros da equipe que não precisam de acesso, garantindo que todos tenham acesso ao mesmo CRM, mas apenas funcionários específicos vejam informações detalhadas do cliente, conforme exigido por um sistema de proteção de dados do cliente bem implementado, baseado no princípio da "necessidade de saber".
Exemplo nº 2: Aplicando o princípio da "necessidade de saber" aos dados de RH
Outra aplicação crucial do princípio "Necessidade de Saber" está na gestão de dados de Recursos Humanos (RH). Os dados de RH, que incluem informações sensíveis como dados pessoais de funcionários, avaliações de desempenho e informações salariais, devem ser estritamente segregados dos dados de clientes para garantir a privacidade e a conformidade com as normas de proteção de dados. Com o MyDocSafe, as organizações podem criar contas isoladas que segregam os dados de RH dos dados de clientes. Essa configuração permite que diferentes grupos de usuários acessem tipos específicos de dados com base em suas funções e responsabilidades, garantindo que apenas pessoal autorizado possa visualizar ou gerenciar informações relacionadas a RH. O proprietário da conta ou os diretores, no entanto, podem manter a supervisão e o acesso tanto aos dados de RH quanto aos dados de clientes, permitindo uma gestão eficiente e, ao mesmo tempo, mantendo controles rigorosos de acesso aos dados. Essa separação é crucial para manter a integridade dos dados e evitar o acesso não autorizado, incorporando a essência do princípio "Necessidade de Saber".
Para criar um departamento de RH em MyDocSafe, use o botão '+' na página inicial:
Resumo: Gerenciamento versátil de acesso a dados com MyDocSafe
A MyDocSafe oferece uma plataforma robusta para gerenciamento seguro de acesso a dados, adequada para diversos departamentos dentro de uma organização. Ao aderir ao princípio de "Necessidade de Saber" (Need to Know), a MyDocSafe garante que informações sensíveis sejam acessíveis apenas a pessoal autorizado. Por exemplo, facilita o controle de acesso baseado em funções e a classificação de dados, cruciais para departamentos como Compliance e RH. Os responsáveis pela área de Compliance podem gerenciar processos de AML/KYC e verificação de clientes de forma integrada. As equipes de Vendas e Operações podem se concentrar em gerar negócios e entregar resultados, respectivamente. Enquanto isso, os departamentos de RH podem lidar com segurança com os dados dos funcionários, dentro de contas isoladas que mantêm uma separação rigorosa dos tipos de dados. O design flexível e centrado no usuário da MyDocSafe permite que diferentes departamentos gerenciem com eficiência suas necessidades específicas de acesso a dados, mantendo os mais altos padrões de proteção e confidencialidade de dados.