Assim como ocorre nos sites de serviços, as aplicações móveis também podem acabar coletando dados dos usuários. Isso faz com que elas também precisem se enquadrar nas regulamentações sobre privacidade e segurança de dados dos usuários e, assim, exigindo que os desenvolvedores estejam atentos à LGPD, a Lei Geral de Proteção de Dados. Não é por acaso que esse ponto causa tanta preocupação.

Segundo uma pesquisa promovida pela App Anie, somente no ano passado, o consumo médio de aplicativos nos smartphones teve um aumento de 40% em relação ao período anterior.

Além dos apps de entretenimento e finanças, os e-commerces ajudaram a inflar o número de downloads nas lojas de aplicativo.

Como a pandemia impulsionou a transformação digital do varejo e de outros segmentos, o desenvolvimento de aplicativos para melhorar a experiência de compra dos clientes permanece na pauta de muitas empresas.

Por isso, estar atento à nova legislação desde a concepção do app pode evitar infrações e retrabalho futuro. Pensando nisso, separamos alguns pontos de atenção para que você possa desenvolver aplicativos com cuidado e responsabilidade.

Planejar o aplicativo de olho na LGPD

Durante o desenvolvimento do aplicativo, tenha em mente todos os pontos de contato e de transação que o app terá com o usuário.

O cuidado aqui deve estar relacionado a captação de dados que realmente são necessários para o negócio.

Lembre-se: toda informação obtida passa a ser de responsabilidade da empresa e quanto mais objetiva for a sua captação, menor será a preocupação com a manutenção dos dados.

Com relação à infraestrutura do aplicativo, antes mesmo que a aplicação comece a criar um banco de dados de usuários, é necessário blindar seus componentes para evitar ataques cibernéticos.

Segundo um levantamento do Market Guide for In-App Protection, pelo menos 50% dos ataques bem-sucedidos contra aplicativos móveis até 2022 poderiam ser impedidos se fosse usada proteção específica para apps.

Nas chamadas “arquiteturas modernas” usadas na construção de aplicativos, muitos processos que antes eram executados no back-end passaram para o front-end – o que pode deixar brechas para invasores.

Para esta etapa, as proteções in-app ajudam a reforçar as estruturas, deixando-as mais seguras para o usuário.

Uso de biblioteca de dados de terceiros

Grande parte dos aplicativos são projetados com biblioteca de dados desenvolvida por terceiros, o que não significa, em hipótese alguma, ser sinônimo de prática segura.

Apesar do seu uso ser comum no mercado de desenvolvimento, as empresas devem validar seus componentes, conferindo licenças de uso e, principalmente, checar o histórico de vulnerabilidade.

De acordo com o cofundador da Mobile2you, Caio Lopes, em publicação feita no site Ti Inside, “em um cenário de LGPD, é necessário que a aplicação possua a maior quantidade de logs e registros possíveis, já que esses itens, além de controle e qualidade da aplicação, podem facilitar a depuração futura de alguma atitude suspeita”.

Dessa forma, a empresa pode medir a qualidade do banco de dados usado sem deixar de executar esse processo na criação do aplicativo.

A criptografia está presente na LGPD?

Ainda que a LGPD não traga nada referente ao uso da Criptografia em sites e apps, seu uso é mais do que indicado para tornar o negócio da empresa mais seguro para ela mesma e para seus clientes.

De modo simplificado, criptografia é a construção e análise de protocolos que impedem terceiros, ou o público, de lerem mensagens privadas. Dessa forma, anula qualquer chance de roubo de dados pessoais que possam prejudicar usuários e ou mesmo a empresa.

O uso de feature flag

Feature Flag é uma técnica que permite que o desenvolvedor faça pequenas manutenções nos aplicativos sem que seja necessário o usuário atualizar ou baixar uma nova versão do app, desde que o usuário permita esse tipo de ajustes quando ele instala a aplicação no seu dispositivo.

Como todo processo simplificado tende a possuir um grau maior de insegurança, de acordo com a Lei Geral de Proteção de Dados, qualquer tipo de vazamento de informações deve ser notificado as autoridades para que a empresa não sofra punições.

Comunicação segura

Já faz parte do bê-á-bá de quem trabalha com desenvolvimento de sites ou aplicações usar certificados SSL, Secure Socket Layer, que garante a confiabilidade dos dados pessoais de quem está executando algum tipo de transação, fazendo com que as informações sejam cifradas ou criptografadas.

Todo aplicativo que se diz “seguro” precisa possuir componentes que levem esses certificados para impedir qualquer tipo de perda de dado, seja ela acidental ou provocada por terceiros.

Mesmo que aconteça algum tipo violação, é dever da empresa notificar os as autoridades e os usuários do ocorrido.

Proteção do app contra JailBroken/Root

Alguns usuários de smartphone preferem se arriscar e ir em busca de aplicativos que estão fora das lojas oficiais do seu aparelho.

Para isso, usam técnicas de Jailbreaks ou roots para quebrar os bloqueios dos dispositivos e permitir a instalação desses apps. O problema que, por ser ilegal, muitas dessas aplicações estão carregadas de malweres e outros vírus que podem danificar o aparelho e roubar dados.

É possível proteger o aplicativo da empresa contra celulares Jailbroken/root optando por sistemas de segurança como o “white-boxing” que ocultam os dados do usuário no momento que ele digita suas informações na tela do celular.

Ofuscação de código

Além de manter o app blindado contra invasores, outra prática segura é manter todo código do aplicativo ofuscado.

Como o próprio processo sugere, uma vez que as informações contidas ali estão embaralhadas, fica muito difícil do invasor conseguir obter algum dado da aplicação, mesmo que ele tenha vencido outras barreiras.

Reforçar o uso senhas e dupla autenticação

Antes mesmo da LGPD ou de qualquer outra lei de proteção digital entrar em vigor, grandes players do mundo digital já se preocupavam com a segurança de dados pessoais de seus usuários – a prova disso pode ser observada nos mecanismos de senhas com dupla autentificarão de login.

Além de impor requisições cada vez mais amplas para criação de senhas, como utilizar caracteres especiais, números, letras minúsculas e maiúsculas, hoje também vemos restrições contra uso contínuo da mesma senha por longos períodos, impossibilidade de utilizar sequência numéricas ou datas de aniversário.

A dupla autenticação também colabora com essa proteção, possibilitando ao usuário utilizar tokens, pins ou mesmo a impressão digital para acessar o app ou fazer transações.

Não antecipar solicitação de acesso a recursos

Como já falamos no começo deste artigo, toda informação requisitada ao usuário deve ser explicada no ato da solicitação. Qualquer divergência disto é vista como uma infração à Lei Geral de Proteção de Dados.

A empresa pode criar um “Termo de Uso” que será exibido na tela do aplicativo no ato que o usuário fizer seu login pela primeira vez, assim como exigir confirmações quanto ao uso de recursos do dispositivo, como câmeras, agenda de contatos, GPS e assim por diante.

Testes de segurança

A LGPD exige que cada empresa tenha um profissional dedicado ao cumprimento de suas cláusulas estabelecidas.

Essa pessoa ficará responsável por monitorar a parte de segurança do site ou da aplicação e é ela quem reportar as autoridades qualquer tipo de violação ou falha que o site ou aplicativo esteja passando.

Para evitar futuros desconfortos, é indicado que este profissional de segurança execute testes periódicos em todos as etapas para garantir o perfeito uso da aplicação enquanto ela estiver disponível aos usuários.

Cuidados com a privacidade dos usuários impactam positivamente na imagem de sua empresa

O cuidado com a privacidade dos usuários na internet sempre foi motivo de preocupação para governos e especialistas em segurança digital, mas tem ganhado cada vez mais holofotes com aumento de casos de roubos de dados que tem atingindo populações do mundo todo.

A Lei Geral de Proteção de Dados é mais um dispositivo para engajar empresas a assumirem responsabilidade não apenas jurídica, mas também social de quem está captando informações.

Quem não atuar dentro das regras, provavelmente será prejudicado legalmente e terá sua marca depreciada pelo público por não cumprir um serviço que é de interesse conjunto.

Quanto mais rápido essas empresas se adaptarem a nova cultura, mais rápido vão se comunicar com seus clientes sem entraves.

Como a Iteris atua em soluções de segurança para aplicativos móveis?

A Iteris trabalha com o desenvolvimento de soluções de segurança para sites e aplicativos móveis ao executar uma perícia detalhada para descobrir possíveis falhar que possam comprometer o funcionamento da aplicação e ocasionar a perda de dados sigilosos para pessoas mal-intencionadas.

Com foco total nas diretrizes da Lei Geral de Proteção de Dados, ela usa seu corpo técnico e expertise para criar projetos de segurança que contemplam desde a concepção do site ou aplicativo móvel, seu desenvolvimento e manutenção.