Segurança em aplicativos de eventos: Melhores práticas de acesso e privacidade de dados

Se existe uma frase que faz com que organizadores de eventos percam horas de sono – além de “O palestrante desistiu!” –, é provavelmente “proteção de dados”, especialmente quando nos referimos à segurança do aplicativo de eventos.

Ultimamente, devido à maior preocupação relacionada a violação de dados e privacidade, os organizadores de eventos precisam estar cada vez mais atentos à forma como os seus fornecedores de tecnologia – por exemplo, provedores de aplicativos de eventos como a EventMobi – estão utilizando e armazenando os dados de seus eventos.

Este artigo esclarecerá os principais recursos de segurança utilizados em aplicativos de eventos e as melhores práticas de proteção de dados, bem como questões técnicas importantes que você deve verificar com fornecedores de aplicativos de eventos para estabelecer parcerias apenas com aqueles que garantam maior segurança (permitindo que  você tenha noites de sono mais agradáveis).

Os principais recursos de segurança e acesso para aplicativos de eventos

Indiferentemente de você achar que o seu aplicativo de evento possui informações confidenciais ou não, é importante garantir que os dados pessoais relacionados aos participantes do evento sejam acessados apenas por pessoas autorizadas.

Aqui estão alguns recursos importantes que um fornecedor de aplicativos de eventos deve oferecer para controlar o acesso e a segurança de aplicativos:

• Exigir senhas de acesso para todos os participantes cadastrados. As senhas ajudam os participantes a proteger o acesso a suas contas pessoais e às informações armazenadas em seu perfil. Sem a utilização de senhas, qualquer pessoa que possua o endereço de e-mail de um participante poderia, potencialmente, acessar os dados armazenados no aplicativo de evento, como perfis ou mensagens privadas.
• Fornecer códigos de acesso para eventos privados. Ao exigir que os participantes possuam um código de acesso para realizar o login em um aplicativo de eventos, o organizador pode limitar o acesso apenas àqueles com quem compartilham o código, como, por exemplo, uma lista de inscritos. Os códigos de acesso ajudam a limitar o acesso público às informações no aplicativo do evento, como local, programação ou lista de palestrantes. Eles são um fator de segurança efetivo para evitar o acesso não autorizado de pessoas que porventura tenham encontrado o link para download do aplicativo de evento num site ou numa loja de aplicativos (como Google Play ou Apple Store).
• Acesso restrito por e-mail (o nível mais alto de acesso ao aplicativo de evento). Restringir o acesso ao aplicativo apenas aos participantes registrados (com base em seu endereço de e-mail) garante maior controle sobre os detalhes do evento e as listas de participantes, ao bloquear aqueles que não estão registrados para participar.

Melhores práticas para proteção de dados do aplicativo de eventos

Qualquer pessoa ou organização que colete informações sobre os participantes de um evento é considerada um “Controlador de Dados” e está condicionada à política de privacidade determinada pelo Regulamento Geral sobre a Proteção de Dados (GDPR, sigla em inglês). Os Controladores de Dados têm grande responsabilidade sobre a informação que coletam – incluindo a forma como os dados são coletados, armazenados e utilizados em várias tecnologias/sistemas.

A seguir estão descritas algumas características básicas de proteção de dados, com o objetivo de ajudá-lo a atender algumas práticas recomendadas:

• A capacidade de publicar a sua própria Política de Privacidade. Isso deve ser publicado na tela de login ou de cadastro do aplicativo de eventos, para que os participantes tenham ciência sobre o que acontecerá com os seus dados antes de decidirem concluir o cadastro e/ou se inscrever. A política também deve estar sempre disponível para consulta no aplicativo.
• A capacidade de solicitar a anuência dos participantes com os Termos de Uso do seu aplicativo. Essa funcionalidade deve obrigar os participantes a concordarem com as regras gerais do evento antes de acessarem o aplicativo pela primeira vez. Entretanto, os Termos de Uso também devem explanar sobre a forma como os participantes devem usar ou compartilhar os dados aos quais terão acesso no aplicativo do evento. Os termos também devem estar sempre disponíveis para consulta no aplicativo.
• A capacidade de “ocultar” perfis de determinados participantes e/ou configurar quais dados serão exibidos em seus perfis. Possibilitar ao participante ocultar as informações do seu perfil pode ser um diferencial para o seu aplicativo de evento. Entretanto, ocultar perfis também significa restringir o acesso dos participantes a algumas funcionalidades do aplicativo, como mensagens diretas, gamificação e publicações em fóruns e blogs. Isso ocorre porque essas funções exigem que a identidade do responsável pelo envio seja exibida. É importante salientar que a incapacidade de utilizar funcionalidades importantes do aplicativo pode reduzir suas taxas de participação e engajamento. Sua Política de Privacidade deve comunicar quais dados pessoais serão publicados no aplicativo, para que isso não se torne um problema após a inscrição dos participantes. Ter a capacidade de determinar quais campos do perfil do participante ficarão visíveis para outras pessoas no aplicativo também é crucial, pois reduz a possibilidade de que informações confidenciais sejam compartilhadas indevidamente.

Outras solicitações relacionadas a proteção de dados e privacidade que devem ser feitas aos fornecedores de aplicativos de eventos incluem:

• Um aditivo contratual conhecido como “Adendo de Processamento de Dados” (DPA, sigla em inglês) que determina tanto as suas obrigações quanto às do seu fornecedor com relação à proteção dos dados (obs.: isso será necessário somente caso essa informação não tenha sido contemplada de forma explícita em um contrato anterior).
• Uma lista de serviços ou processos oriundos de terceiros que o fornecedor possivelmente utilize para coletar e armazenar informações.
• Informações sobre como “solicitações de acesso a dados” (data access requests – DAR) ou solicitações de exclusão/anonimização de dados serão realizadas. O fornecedor deverá informar onde e por quanto tempo serão armazenados os dados, bem como quem terá acesso a eles caso você precise responder a uma solicitação de um de seus participantes.
• Uma amostra dos Termos de Uso e/ou da Política de Privacidade da plataforma desenvolvida por eles, descrevendo o típico padrão de uso da plataforma. Com esta amostra em mãos, você poderá solicitar alterações específicas para atender às necessidades dos seus eventos. Esses documentos precisarão ser adaptados para refletir onde você armazena e utiliza os dados dos participantes. Por exemplo, se você compartilha com seus patrocinadores os e-mails coletados, isso precisará ser descrito, uma vez que o seu fornecedor não será responsável por esse procedimento.

Internamente, também é importante esclarecer quem na sua empresa ou equipe terá acesso aos dados, de forma a tê-los devidamente capacitados para cuidar dos dados dos participantes de seus eventos.

Outras considerações relacionadas à segurança de aplicativos de eventos

Embora você possa precisar de um profissional de segurança de informação ou de TI para guiá-lo por todos os requisitos técnicos de segurança dos sistemas utilizados para controle do seu evento,  aqui estão algumas áreas de alto nível que os organizadores de eventos devem conhecer para compreender quais são os fatores importantes que devem ser considerados na seleção de fornecedores de soluções informatizadas para eventos.

• Quais formas de criptografia de dados o fornecedor utiliza (para envio, transmissão e recepção de dados)? Por exemplo, a criptografia HTTPS é utilizada?
• Onde está hospedado o banco de dados do fornecedor? (Caso o fornecedor utilize um serviço na nuvem com outro provedor, por exemplo, esse serviço é seguro e respeitável?)
• As políticas de segurança do fornecedor são baseadas em padrões aceitos no setor?
• Quais são os processos de comunicação de violações de segurança aos clientes?
• Todos os requisitos de segurança estão incluídos no preço básico? Ou um valor adicional é cobrado para um nível maior de segurança?

Considerações internas e externas para a segurança de aplicativos de eventos

Além de certificar-se de que o fornecedor do seu aplicativo de eventos garante os fatores segurança, é importante considerar a implementação de um processo de redução de riscos em relação à forma como outros fornecedores e/ou funcionários acessam ou utilizam os dados do participante do evento. Por exemplo:

• Que tipo de segurança da rede wi-fi é fornecida no seu local?
• Quem em sua empresa tem acesso aos dados do seu evento? Você está concedendo a todos acesso administrativo ao sistema de gestão do seu fornecedor? Os colaboradores com acesso possuem a capacitação necessária para manipular e armazenar os dados dos participantes?
• Você possui uma Política Corporativa a respeito do uso de dispositivos móveis (celulares, tablets etc.) para garantir que o acesso ao seu aplicativo de evento seja limitado, mesmo no caso de uma pessoa não autorizada acessar o dispositivo móvel de seus funcionários?
• Caso você esteja utilizando campos personalizados para integrar o seu aplicativo de eventos a uma fonte de dados externas (ex.: sistemas ERP, RH ou CRM), você se certificou de que apenas as informações necessárias são sincronizadas (e não mais do que o necessário)?
• Caso você esteja compartilhando informações dos participantes com seus palestrantes e/ou patrocinadores, você obteve o consentimento de seus participantes durante o processo de cadastro?