IPNews – O Portal da Conectividade

Falta de padronização no mascaramento de dados coloca em risco informações sensíveis

Jairo Pereira palestra sobre o mascaramento de dados no Mind The Sec.

O mascaramento de dados é uma técnica para proteger informações sensíveis de pessoas e empresas. O consumidor em geral passa por um dado mascarado quando faz um Pix e vê os dígitos do CPF do destinatário protegidos por asteriscos. O mercado financeiro estabeleceu que o mascaramento dos três primeiros e os dois últimos número é o padrão, mas em geral, não há uma regra sobre como mascarar dados – nem no Brasil e nem no mundo.

CONTEÚDO RELACIONADO: Microsoft alerta para riscos de agentes autônomos de IA e fraude financeira no Mind The Sec

Esse é o principal alerta de Jairo Pereira, estrategista-chefe na OmniSec Intelligence & Security. Em palestra realizada hoje (17/9) no Mind The Sec, evento sobre cibersegurança que ocorre em São Paulo, ele ressaltou que regulamentações, certificações e órgãos reguladores não estabelecem qualquer tipo de padrão sobre como mascarar os dados sensíveis.

Isso permite situações em que empresas adotem diferentes métodos de mascaramento que, na possibilidade de vazamento em ambas companhias, os dados acabem se complementando. “Um cibercriminoso tem paciência para salvar parte de um dado e esperar até outra parte seja tornada pública. Há aqueles que são especializados nesse processo”, afirma Pereira.

Neste exemplo, a falta de padronização do mascaramento não impede que se saiba o número do CPF (imagem: reprodução/OmniSec).

A importância do mascaramento

O mascaramento funciona de forma diferente da criptografia, que protege os dados na origem de seu acesso a partir de uma chave. Já o mascaramento de dados protege a informação em qualquer momento do acesso, permitindo que um atendente de call center, por exemplo, consiga ler apenas parte dos dados do cliente a depender do contexto da demanda do chamado.

A defesa de Pereira é que seja criado um padrão para que torne o mascaramento realmente seguro. Ele ressalta que nem a Agência Nacional de Proteção de Dados (ANPD) tem uma padronização deste processo, algo que não se encontra nem em órgãos internacionais. “Na verdade, o que se tem são recomendações pedindo para se fazer o mascaramento, mas não instruções sobre como fazê-lo”, afirma.

Há poucas exceções no mercado. Uma delas é o NIST – “que ninguém combinou de torná-lo padrão”, como lembra o especialista – e o RIPA, que é usado apenas no setor da saúde. “Mas não adianta um setor ser padronizado e o resto não”, ressalva Pereira.

Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e X (Twitter).

Sair da versão mobile