Web Broker, legalmente seguro?
O uso de corretoras online, especialmente para investimento em ações, tem crescido nos últimos anos, com cada vez mais pessoas físicas entrando nesse mercado por meio da internet. Uma das pioneiras foi a Ágora, com seu serviço "Vip trade". Além dela, há diversas outras no mercado, inclusive corretoras de bancos.
Por esse motivo, desde 1º de julho de 2006 a BM&F (Bolsa Mercantil & de Futuros) deu continuidade ao projeto de fortalecimento desse setor, em duas fases. A primeira visava alcançar o vigor econômico-financeiro das corretoras associadas, a modernização tecnológica de suas bases operacionais, a qualificação profissional de suas mesas de operações e back-office e a introdução de procedimentos e requisitos de compliance.
Já a segunda, denominada Programa de Qualificação Operacional (PQO), é constituída pelo aprimoramento de controles internos, identificação de focos de atividade e preparação para futura certificação dos posicionamentos estratégicos escolhidos.
Foram criados dois roteiros pela BM&F: um básico e compulsório, e outro específico, que se divide em selos. As certificações de posicionamento de negócios (selos) são: Agro Broker; Carrying Broker; Execution Broker; Retail Broker e Web Broker. Este artigo trata da questão de segurança da informação e seus aspectos legais na proteção do investidor online, no segmento de Web Broker.
Os requisitosde segurança estão presentes no roteiro básico da BM&F, portanto são obrigatórios. Apesar de bem intencionados, os pontos abordados no roteirosão muito genéricos e simplistas em face às normas internacionais (ISO/IEC e BS) e auto-regulamentação de mercado (Payment Card Industry - PCI). Logo, do ponto de vista jurídico, se houver algum problema de segurança da informação em uma operação de Web Broker o prestador do serviço poderá ser responsabilizado, principalmente, porque, na grande maioria das empresas analisadas em nossa pesquisa, não há aplicação das boas práticas mínimas de gestão de risco eletrônico.
As recomendações constantes como melhores práticas deveriam ser consideradas mandatórias, até mesmo como forma de se ter uma exclusão da responsabilidade civil. Ou seja, quando o fornecedor protege seu ambiente adequadamente, cabe ao usuário do serviço proteger seu lado. Assim reza o artigo 14 do Código de Defesa do Consumidor, aonde um prestador de serviço só não será responsabilizado se puder provar culpa exclusiva do consumidor ou de terceiro.
Não foi observado no roteiro básico nenhuma determinação no sentido de uma auditoria com certa regularidade em segurança da informação, conforme consta no PCI, e ainda no próprio esquema de gestão em segurança da informação (PDCA) -afinal, segurança é um processo de melhoria contínua.
Outro ponto importante que não é abordado tanto pelo roteiro básico como pelo específico, são requisitos mínimos para os clientes utilizarem esse tipo de serviço, isto é, deixar claro, de modo objetivo e transparente, quais ferramentas e tecnologias o cliente deve fazer uso para proteção do seu lado, como exemplo, antivírus, firewall, anti-spyware e informações para conscientizarsobre as fraudes existentes.A conscientização também deve ser realizada dentro da própria corretora para evitar possíveis ataques de engenharia social.
O disposto no item 21 do Roteiro Básico diz: "A Corretora deve utilizar elevados padrões tecnológicos de segurança de rede, para evitar fraudes internas e invasões e garantir o sigilo de toda informação e comunicação via internet."
Apesar da implementação de tecnologias, é sabido por todos que o maior problema de segurança não é apenas a tecnologia e, sim, a falta de normas e procedimento de seguranças devidamente implementados e divulgados dentro da organização e junto a seus colaboradores e clientes. Ira Winkler, um dos maiores especialistas em segurança da informação no mundo, diz em sua obra "Spies Among Us", de forma bastante clara: "Technology is not usually the problem". E continua, afirmando que o grande problema envolvendo segurança da informação é o que ele chama de "vulnerabilidades operacionais".
O item 27, que trata da implementação de uma central de atendimento para incidentes, que é um requisito não obrigatório (mas deveria ser), poderia levar em consideração a existência de norma internacional sobre o tema, a ISO/TR 18044, gestão de incidentes de segurança da informação.
Outra questão que deve ser abordada é quanto ao desenvolvimento seguro das ferramentas utilizadas principalmente para Web Broker, uma vez que podem conter vulnerabilidades e por conseqüência serem exploradas por indivíduo mal intencionado.
Devido a isso, realizamos uma pesquisa com as principais Web Brokers atuantes no mercado brasileiro, no período de 1º a 13 de junho de 2007, no tocante a Segurança da Informação e Boas Práticas de Direito Digital, por meio da interface cliente (usuário).
• Das corretoras analisadas,constantes na lista da Bovespa (http://www.bovespa.com.br/home/redirect.asp?end=/Mercado/RendaVariavel/Homebroker/HomeBroker.asp), averiguamos que algumas não utilizam comunicação segura, ou seja, não há criptografia quando o cliente realiza o acesso. Assim, qualquer dado fornecido pelo cliente é possível de ser capturado abertamente na Internet. Nesse sentido, já há ações judiciais que deram ganho de causa a clientes de lojas virtuais que tiveram seus dados expostos na web devido justamente a falta de uso de padrões de criptografia e proteção.
• Também constamos uma infração ao Código de Defesa do Consumidor (art. 31) de algumas corretoras no que tange à prestação de informações sobre os produtos oferecidos aos clientes, pois ou estas informações não são claras ou são inexistentes.
• Vimos que alguns sites não foram desenvolvidos de forma segura. Por meio apenas da análise do site, foi verificado que haveria a possibilidade de execução ataques de cross site script e de SQL injection[1], deixando claro que as atividades de teste não foram feitas, mas apenas foi vista a presença de vulnerabilidade que permite que o mesmo ocorra. Se isso ocorre com uma Web Broker, pode ser possível até alterar dados de operações realizadas via internet, dentro de um perfil de cliente.
• Além disso, a maioria não possui Política de Privacidade ou Termo de Uso de Serviços, nem tampouco Política de Segurança da Informação, que são documentos jurídicos essenciais para garantir aproteção tanto da Web Broker como do cliente, e que também atendem a boa prática de governança corporativa e transparência.
A iniciativa da BM&F é válida e bem intencionada, mas pode ser aprimorada para aumentar a blindagem legal das operações das corretoras na internet, especialmente no que tange a segurança da informação e limites de responsabilidade civil. É recomendável a criação de um roteiro básico, obrigatório, mais completo alusivo à segurança da informação e a aplicação de boas práticas legais especialmente no tocante a documentação e informação, para que dessa forma não só torne as corretoras mais fortes como também mais bem protegidas, assim como em relação a seus clientes.
Dra. Patricia Peck e Dr. Diego Camargo são advogados especialistas em Direito Digital do escritório Patricia Peck Pinheiro Advogados.
________________________________________
[1] manipulação de uma instrução SQL usando as variáveis quem compõem os parâmetros recebidos por um script
Info Corporate (14/08/2007 10:38)
Link: http://info.abril.com.br/corporate/noticias/noticia_246885.shtml
Direitos Autorais Reservados
Publicado: Patricia Peck e Diego Camargo
Nenhum comentário:
Postar um comentário