Privacy Bounty

Apresentamos a seguir o resultado do Privacy Bounty para o Curso Prático de DPO:

  • 1º lugar: 39864 – 100% de desconto no Curso
  • 2º lugar: 02831 – 50% de desconto no Curso
  • 3º lugar: 01821, 07465, 13697, 79172 – 30% de desconto no Curso

Parabéns aos vencedores!

E àqueles que não estiveram nos 3 primeiros lugares, não fiquem chateados. Pelo contrário, vejam isto como um incentivo para melhorar ainda mais a cada dia. E claro, contem comigo nesta trajetória!

Realizaremos uma aula aberta sobre o Privacy Bounty via YouTube em data a ser divulgada nesta página e também em nossa lista de emails. Inscreva-se na lista para ser informado da data!

Caso queira saber o que foi o Privacy Bounty para o Curso Prático de DPO basta continuar a leitura abaixo 🙂

O que é o Privacy Bounty?

O Privacy Bounty é uma iniciativa do Prof. Matheus Passos e da DataUX cujo objetivo é projetar um ambiente de teste para treinar as habilidades do profissional de privacidade e proteção de dados. O Privacy Bounty segue a lógica dos famosos bug bounties, mas é direcionado à descoberta de riscos à privacidade para o titular de dados pessoais.

De acordo com a Wikipedia (adaptado), de maneira sintética um bug bounty é uma recompensa (geralmente em dinheiro) oferecida por empresas em geral para aquelas pessoas que conseguem encontrar erros em seus produtos. Cabe aos envolvidos reportar erros, especialmente aqueles relativos a explorações e vulnerabilidades de segurança, de maneira que a empresa possa resolvê-los antes que o público em geral tenha conhecimento destes erros, prevenindo incidentes de maneira geral.

As diferenças entre black box, grey box e white box

De acordo com a plataforma Hack The Box (adaptado), na área de cibersegurança existem três abordagens diferentes para que uma pessoa possa analisar as medidas de segurança existentes via pentest:

  • White box: o pentester – a pessoa que vai realizar o teste de intrusão – recebe todas as informações necessárias sobre o alvo, preocupando-se exclusivamente em solucionar os erros encontrados.
  • Grey box: o pentester recebe algum tipo de informação mínima sobre o alvo a ser analisado, mas não terá tantos detalhes quanto no tipo white box..
  • Black box: praticamente nenhum conhecimento prévio sobre o alvo é passado ao pentester. Ele/ela deve fazer um reconhecimento profundo para aprender sobre o alvo, identificando os erros e apresentando eventuais soluções.

O formato do Privacy Bounty: black box

O Privacy Bounty seguirá o formato black box. Isto significa dizer que você não terá nenhuma orientação prévia a respeito do que procurar. A proposta é a de que compete a você, como encarregado de proteção de dados, descobrir o máximo possível de riscos à privacidade. Isso é importante porque na sua atuação prática como DPO você precisará monitorar e auditar o programa de privacidade do agente de tratamento, sendo sua responsabilidade identificar os riscos à privacidade existentes e recomendar soluções a tais riscos.

O que deverá ser analisado?

Você deverá realizar uma análise dos riscos à privacidade existentes no site https://vestirsibene.shop.

O relatório com sua análise deverá ser enviado exclusivamente em formato Word e seu relatório deverá ser enviado até as 23h59 do dia 22 de agosto de 2021 (horário de Brasília) para o email contato@dataux.com.br. Relatórios enviados após este dia e horário e/ou em outros formatos serão desconsiderados.

Não há formato específico para o conteúdo do relatório, assim como também não será indicado o que deve ser analisado por você. Isto porque nosso Privacy Bounty segue o modelo black box, como já indicado acima 🙂

Tenha atenção aos seguintes detalhes:

  • O nome do arquivo que contém o relatório deverá ser composto pelos 3 primeiros e pelos 2 últimos dígitos do seu CPF. Por exemplo, se seu CPF for 123.456.789-00, o nome do arquivo deverá ser 12300.docx.
  • No arquivo com seu relatório não deverá haver absolutamente nenhum dado pessoal, tais como nome, email, telefone ou qualquer outra forma de identificar a pessoa que o escreveu. Atenção aos metadados do arquivo!
  • Deverá ser enviado um outro arquivo exclusivamente em formato PDF em que constem seu nome, seu email para contato e os 3 primeiros e os 2 últimos dígitos do seu CPF, para posterior reconhecimento dos vencedores do Privacy Bounty.
  • Os vencedores serão contatados por email até o dia 25 de agosto e seu número identificador também será divulgado nesta página.

Lembre-se: você está na posição de um encarregado de proteção de dados, e é com a visão de um encarregado de proteção de dados que esta análise de riscos à privacidade deve ocorrer.

Até quando vai o Privacy Bounty?

O Privacy Bounty terá início às 8h do dia 15 de agosto e seu relatório deverá ser enviado exclusivamente em formato Word até as 23h59 do dia 22 de agosto (horário de Brasília) para o email contato@dataux.com.br.

Atenção: relatórios recebidos após este dia e horário e/ou em outros formatos serão desconsiderados. Além disso, o Prof. Matheus Passos e da DataUX não é responsável por eventuais falhas no envio e/ou recebimento do relatório.

Quais os critérios avaliativos do Privacy Bounty?

Serão dois os critérios avaliativos dos relatórios enviados no âmbito do Privacy Bounty:

  1. Número de riscos à privacidade identificados. Aqui não há muito a ser dito: quanto mais riscos à privacidade forem indicados, maior a pontuação. Será atribuído um ponto para cada risco à privacidade identificado.
  2. Recomendação para a solução do risco à privacidade. Na sua atuação prática como encarregado você precisará fazer recomendações a respeito dos riscos à privacidade. Estas recomendações se dividem em dois tipos: recomendações ao agente de tratamento a respeito do que não fazer e recomendações a respeito do que fazer em relação às atividades de tratamento. Caberá a você, como encarregado, decidir que recomendações fará no âmbito do Privacy Bounty. A pontuação para cada recomendação será a seguinte: zero ponto – a recomendação não soluciona o risco à privacidade; um ponto – a recomendação soluciona parcialmente o risco à privacidade; dois pontos – a recomendação soluciona o risco à privacidade.

O que você ganha com o Privacy Bounty?

Em primeiro lugar, uma experiência minima a respeito da atuação como encarregado de proteção de dados. Lembre-se de que o encarregado deve ter iniciativa e deve encontrar os riscos à privacidade, apresentando recomendações para que estes riscos sejam minimamente mitigados. Esta obrigação esta no inciso III do § 2º do art. 41 da LGPD: compete ao encarregado “orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais”.

Em segundo lugar, você ganha descontos no Curso Prático de DPO. A pessoa que ficar em primeiro lugar ganhará 100% de desconto no Curso. Quem ficar em segundo lugar ganhará 50% de desconto. E quem ficar em terceiro ganhará 30% de desconto no Curso Prático de DPO.

Atenção: os descontos de 50% e de 30% não são cumulativos com outros descontos eventualmente oferecidos para o Curso Prático de DPO.

Ainda tenho dúvidas. O que fazer?

Em caso de dúvidas entre em contato conosco exclusivamente pelo email duvidas@dataux.ee. Obviamente que serão respondidas dúvidas referentes a aspectos administrativos do Privacy Bounty, não ao conteúdo. Dúvidas enviadas para outros emails do Prof. Matheus Passos e/ou da DataUX não serão respondidos.

Participe e não perca esta chance!