O que é conformidade regulatória e como isso afeta a segurança do WordPress?

Para fazer negócios, seu site e negócios WordPress precisam aderir a regras e regulamentos. Essas regras e regulamentos podem assumir a forma de leis (como GDPR ou HIPAA). Eles também podem ser requisitos de conformidade, como PCI DSS ou ISO 27001, e podem variar de um país para outro.

O que é conformidade?

Conformidade regulatória, ou simplesmente, conformidade descreve o estado de um negócio em conformidade com as regras e diretrizes estabelecidas especificadas por um órgão regulador.

A conformidade é um componente vital em qualquer organização que valoriza a transparência, a segurança e a responsabilidade. As empresas podem aproveitar a conformidade para conduzir os negócios de acordo com os requisitos, leis e regulamentos com as atitudes corretas. E, claro, melhorar a segurança de suas operações comerciais e do site WordPress.

Cada negócio é diferente. Portanto, não há um modelo padrão a ser seguido quando se trata de conformidade. Também depende de onde no mundo sua empresa opera, com quem você faz negócios e quais dados seu site WordPress coleta dos usuários finais.

Embora seja impossível listar todos os regulamentos de conformidade, a seguir estão alguns dos mais comuns a serem observados como proprietário de um site WordPress:

• O Regulamento Geral de Proteção de Dados (GDPR) é uma legislação de proteção de dados e privacidade da União Europeia (UE). Ajuda a reforçar a proteção do processamento de dados pessoais dos cidadãos da UE.
• O PCI DSS (Payment Card Industry Data Security Standard) é um padrão de segurança da informação para organizações que lidam com dados de cartão de crédito, como lojas de comércio eletrônico. O escopo do PCI DSS é aumentar os controles sobre o manuseio e gerenciamento de dados do titular do cartão, para reduzir a fraude de cartão de crédito. Se você tem uma solução de comércio eletrônico ou vende qualquer coisa online, leia nosso guia PCI DSS para proprietários de sites WordPress.
• A ISO 27001 é uma especificação que descreve uma estrutura de políticas e procedimentos que inclui controles legais, físicos e técnicos envolvidos nos processos de gerenciamento de riscos de uma organização.
• O Health Insurance Portability & Accountability Act (HIPAA) é uma legislação dos Estados Unidos. Ele aborda a privacidade dos dados e a segurança dos prontuários dos pacientes.

Por que a conformidade regulatória existe?

Existem diferentes requisitos de conformidade regulatória por diferentes razões. Em geral, os requisitos de conformidade existem para ajudar as empresas a atingir um certo nível de segurança. Dependendo do requisito ou regulamento de conformidade, alguns podem exigir que uma organização esteja sujeita a auditorias regulares. Normalmente, as empresas enfrentam penalidades por não conformidade na forma de multas ou perda de credenciamento.

A conformidade desempenha um papel enorme quando se trata de segurança. Muitos requisitos de conformidade descrevem (em vários graus de detalhes) controles e processos de segurança que devem estar em vigor para atender aos critérios específicos do referido regulamento de conformidade.

Naturalmente, a regulação normalmente ocorre para trazer ordem ao caos. Um exemplo disso é o PCI DSS. Ele entrou em jogo porque os processadores de cartão de crédito on-line não estavam tomando as precauções de segurança necessárias para manter os dados do titular do cartão seguros. Mais recentemente, o GDPR entrou em ação para reformar e harmonizar as leis de privacidade de dados da UE e melhorar a privacidade dos cidadãos da UE. O GDPR permite que os legisladores imponham penalidades severas a organizações que não estejam em conformidade com as leis de privacidade de dados na UE.

Por que a regulamentação e a conformidade são boas?

Conformidade e regulamentação estão associadas a leis, restrições, auditorias e penalidades. Então, muitas vezes eles têm uma má reputação. No entanto, é necessário ajudar as organizações a entender a importância de observar as leis e operar de forma ética.

No entanto, a conformidade também é um mal necessário. Isso aumenta a complexidade dos negócios, as despesas e consome muito tempo que seria gasto no crescimento dos negócios.

Dito isto, os prós de fazer um esforço consciente para cumprir as regras superam significativamente os contras. As organizações têm a oportunidade de reforçar a transparência; estabelecer a confiança do cliente e expandir para novos mercados regulamentados para atrair clientes maiores.

A conformidade é suficiente para garantir a segurança?

Infelizmente, a conformidade é comumente confundida com segurança. Uma organização pode estar em conformidade, mas não adequadamente segura. Por outro lado, é raro encontrar organizações seguras, mas não em conformidade.

A conformidade é uma avaliação pontual e de tamanho único que indica que uma organização atende a um requisito mínimo de segurança. Padrões regulatórios, como PCI DSS e HIPAA, por exemplo, possuem uma lista de verificação desses requisitos de segurança.

As defesas de segurança, por outro lado, fornecem medidas técnicas para proteger contra coisas ruins, como vazamento de informações confidenciais do cliente. Em outras palavras, embora uma política da empresa possa ser suficiente para um controle de conformidade, isso não significa que não seja tecnicamente possível. Um exemplo simples disso seria a NSA. Embora certamente proíba a cópia e distribuição de documentos confidenciais, nada na verdade impediu Edward Snowden de fazê-lo.

Por onde você começa com a conformidade com o WordPress?

A conformidade pode ser intimidante e parece uma tarefa impossível de alcançar. No entanto, não é. Felizmente, muita documentação e ajuda estão disponíveis para proprietários de sites WordPress, como nosso guia PCI DSS para proprietários de sites WordPress. Você pode começar seguindo a lista de dicas que preparamos para você:

1. Descubra a quais requisitos de conformidade você está sujeito — as leis e regulamentações variam significativamente de um país para outro. Dependendo do tamanho, tipo e complexidade do seu negócio online e loja de comércio eletrônico, você pode querer verificar com as autoridades locais. Você também pode procurar ajuda profissional nesta área, quando necessário.
2. Aprimore sua segurança — as boas práticas de segurança não são apenas centrais e exigidas pelos regulamentos, mas também tornam sua vida significativamente mais fácil. Por exemplo, você pode começar fazendo o seguinte:
   • manter um registro das alterações do site em um log de atividades do WordPress,
   • aplicar políticas de senhas fortes do WordPress,
   • escaneie seu site WordPress para alterações de arquivo,
   • configurar uma solução de backup sólida,
   • use um firewall online como o Sucuri ou instale uma solução de segurança local do WordPress.
3. Abrace a segurança e a conformidade – pode parecer uma pílula amarga de engolir no início. No entanto, quanto mais cedo você adotar a segurança e a conformidade como uma função comercial essencial, menos atrito isso causará a longo prazo e menos problemas de segurança do WordPress você terá.