Cybersecurity-Docs

Guia de Leis Essenciais de Cibersegurança nos EUA

Introdução

O cenário legislativo de cibersegurança nos Estados Unidos é complexo e, diferentemente de regulamentações abrangentes como a GDPR na Europa, adota uma abordagem setorial. Isso significa que diversas leis federais foram criadas para proteger tipos específicos de dados em indústrias específicas. Para qualquer profissional de Cibersegurança, compreender as principais leis é fundamental para garantir a conformidade e gerenciar riscos de forma eficaz.

---

1. Computer Fraud and Abuse Act (CFAA) - Lei de Fraude e Abuso de Computadores

• Foco Principal: Acesso não autorizado a sistemas computacionais.
• Principais Abrangências:
  • É a principal lei federal anti-hacking dos EUA.
  • Criminaliza o acesso a um computador sem autorização ou excedendo a autorização concedida.
  • Protege especificamente “computadores protegidos”, que incluem sistemas do governo federal, instituições financeiras e qualquer computador envolvido em comércio ou comunicação interestadual.

2. Federal Information Security Management Act (FISMA) - Lei Federal de Gestão da Segurança da Informação

• Foco Principal: Segurança de sistemas de informação do governo federal.
• Principais Abrangências:
  • Exige que todas as agências federais desenvolvam, documentem e implementem um programa de segurança da informação.
  • Promove o desenvolvimento e a manutenção de padrões mínimos de segurança, muitos dos quais são definidos pelo NIST (National Institute of Standards and Technology).
  • Requer avaliações de risco periódicas e testes de controles de segurança.

3. Health Insurance Portability and Accountability Act (HIPAA) - Lei de Portabilidade e Responsabilidade de Seguros de Saúde

• Foco Principal: Proteção de informações de saúde pessoal (PHI - Protected Health Information).
• Principais Abrangências:
  • Regra de Segurança (Security Rule): Exige a implementação de salvaguardas técnicas, físicas e administrativas para proteger as PHI eletrônicas (e-PHI).
  • Regra de Privacidade (Privacy Rule): Define padrões sobre como as PHI podem ser usadas e divulgadas.
  • Regra de Notificação de Violação (Breach Notification Rule): Obriga a notificação de indivíduos e autoridades em caso de violação de dados de saúde.

4. Gramm-Leach-Bliley Act (GLBA) - Lei Gramm-Leach-Bliley

• Foco Principal: Proteção de informações financeiras pessoais e não públicas de consumidores.
• Principais Abrangências:
  • Aplica-se a “instituições financeiras” (bancos, corretoras, seguradoras, etc.).
  • Regra de Salvaguardas (Safeguards Rule): Exige que as empresas desenvolvam um programa de segurança da informação por escrito para proteger os dados dos clientes.
  • Regra de Privacidade (Privacy Rule): Governa a coleta e o compartilhamento de informações financeiras de clientes.

5. Sarbanes-Oxley Act (SOX) - Lei Sarbanes-Oxley

• Foco Principal: Governança corporativa, responsabilidade e precisão de relatórios financeiros.
• Principais Abrangências:
  • Não é uma lei de cibersegurança per se, mas tem implicações diretas.
  • As Seções 302 e 404 exigem que a alta administração certifique a precisão dos relatórios financeiros e a eficácia dos controles internos, o que inclui os controles de TI e cibersegurança que protegem os dados financeiros.

6. Children’s Online Privacy Protection Act (COPPA) - Lei de Proteção à Privacidade Online das Crianças

• Foco Principal: Proteção de informações pessoais de crianças menores de 13 anos online.
• Principais Abrangências:
  • Impõe requisitos a operadores de websites ou serviços online direcionados a crianças.
  • Exige o consentimento verificável dos pais antes de coletar, usar ou divulgar informações pessoais de crianças.

7. Family Educational Rights and Privacy Act (FERPA) - Lei dos Direitos Educacionais e da Privacidade da Família

• Foco Principal: Proteção da privacidade dos registros educacionais dos alunos.
• Principais Abrangências:
  • Aplica-se a todas as escolas que recebem fundos do Departamento de Educação dos EUA.
  • Concede aos pais (ou aos alunos elegíveis) o direito de acessar, solicitar correções e controlar a divulgação de seus registros educacionais.

8. California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA)

• Foco Principal: Direitos de privacidade para consumidores da Califórnia (embora não seja federal, sua influência é nacional).
• Principais Abrangências:
  • Concede aos consumidores o direito de saber quais dados são coletados sobre eles, o direito de solicitar a exclusão desses dados e o direito de optar por não vender suas informações.
  • O CPRA expandiu o CCPA, adicionando mais direitos e criando uma agência dedicada à fiscalização da privacidade.

Conclusão

A conformidade com a legislação de cibersegurança nos EUA exige um entendimento claro do tipo de dado que está sendo processado e do setor em que a organização atua. Frameworks como o NIST Cybersecurity Framework (CSF) são frequentemente utilizados como uma base prática para implementar os controles técnicos e processuais necessários para atender aos requisitos dessas diversas leis.

This site is open source. Improve this page.