A XP, corretora de valores, informou essa semana que identificou no mês de março um vazamento de dados ocorrido num fornecedor terceiro. Segue um resumo sobre as principais informações:
- Origem do vazamento: A XP informou que o incidente ocorreu em uma base de dados hospedada por um fornecedor externo.
- Dados acessados: Informações como nome, telefone, e-mail, data de nascimento, CEP, estado civil, cargo, nacionalidade, número da conta, saldo e outros dados cadastrais foram expostos.
- Impacto limitado: A XP garantiu que não houve vazamento de senhas, assinaturas eletrônicas, tokens ou credenciais que permitam transações financeiras.
- Medidas tomadas: Assim que o acesso indevido foi identificado, o fornecedor bloqueou o acesso e a XP implementou medidas adicionais de segurança.
- Recomendações aos clientes: A XP orientou os clientes a ficarem atentos a possíveis tentativas de golpes utilizando os dados vazados.
O que podemos aprender sobre esse vazamento de dados em fornecedores terceiros?
- Diligência na escolha de fornecedores: É essencial avaliar rigorosamente a segurança dos sistemas e práticas de proteção de dados de terceiros antes de firmar parcerias. Os fornecedores são extensões da empresa e, como vimos, podem apresentar riscos.
- Monitoramento contínuo: Mesmo após a escolha de um fornecedor, deve haver monitoramento contínuo para garantir que as medidas de segurança sejam mantidas e atualizadas, especialmente diante de novas ameaças.
- Transparência e comunicação: A resposta da XP foi um exemplo positivo de como informar claramente os clientes sobre o incidente e orientar medidas de precaução, algo essencial para preservar a confiança.
- Educação contra golpes: O caso alerta sobre a importância de educar os clientes e colaboradores para identificar tentativas de fraude que podem ocorrer após vazamentos, minimizando potenciais danos.
- Investimento em segurança: Empresas precisam adotar tecnologias avançadas e políticas robustas para proteger os dados, reduzindo a vulnerabilidade tanto internamente quanto em parcerias externas.
Na prática, é possível estar livre de situações assim?
A avaliação de 3ª parte de fornecedores pode conter questionários com perguntas relacionadas aos dados compartilhados, e também sobre a troca de informações. Mas de certa forma está muito voltado à boa fé dos respondentes. Além disso uma avaliação não tem a mesma efetividade que uma auditoria, por exemplo, pois o objetivo dela não é entrar a fundo no ambiente do fornecedor.
Porém, entendo que existem algumas ferramentas no mercado para ajudar a avaliar riscos de ambientes de fornecedores terceiros, e essa avaliação poderia ajudar no processo de avaliação da maturidade e exposição de risco que X fornecedor trás ao seu ambiente. Ferramentas como SecureScoreCard, BitSight são alguns exemplos.
Referências:
- XP Investimentos sofre ataque cibernético e alerta clientes - TecMundo
- XP alerta para vazamento de dados de clientes; veja o que foi exposto e como se proteger – Estadão E-Investidor
- XP informa vazamento de dados de clientes | Economia | G1
