Depois da aprovação da LEI Nº 12.735, DE 30 DE NOVEMBRO DE 2012 e da LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012 eu, e acredito que outros profissionais da área de T.I. poderão passar a exigir explicitamente que um cliente comprove que realmente é dono ou gerente do dispositivo, como um site ou um servidor, bem como autoriza que o profissional realize o serviço. Se antes desta lei, não ficava muito claro e tipificado como crime até mesmo algumas rotinas de manutenção, hoje em algumas situações plausíveis para alguém que dê suporte técnico pode frente a um juiz se tornar motivo para ser punido criminalmente.

Por que profissionais de TI deveria ficar receosos?

Em primeiro lugar, com estas leis o real problema está em quem invade um sistema com intenção de causar mal, em especial se tiver interesse em obter vantagem financeira ou deixar algum tipo de cavalo de tróia. Agora, se o profissional não tiver como provar que quem solicitou um serviço realmente poderia solicitar isso, poderá ter problemas. Cito exemplos de suportes já dei e que poderiam se tornar um problema de acordo a redação das novas leis:

  • Fazer ou permanecer com backup em um local diferente do que o cliente possui (ex. computador local ou servidor externo do profissional de T.I.)
  • Desativar temporariamente uma aplicação (ex. motivado por site invadido por terceiro e com pichação)
  • Recuperar acesso ou trocar senha de uma aplicação via uma algum erro na aplicação, mesmo se for um erro conhecido
  • Qualquer serviço que seja em aplicação ligada a administração pública direta ou indireta de qualquer dos Poderes da União, Estados, Distrito Federal ou Municípios ou contra empresas concessionárias de serviços públicos

O que qualquer profissional de TI poderá exigir de clientes

Realmente, fica a critério de cada profissional o que exigir de qual cliente e para qual tipo de serviço, porém é razoável ter garantias. Mesmo que um profissional de TI cometa um crime induzido por um cliente, se ficar claro que o profissional foi enganado e se prontificar a dar dados do solicitante estará livre de problemas.

Caso o suporte seja feito pessoalmente, ou haja condições de conversar com o solicitante

  • O solicitante deverá comprovar que é ele mesmo, preferencialmente em modo que possa ser retido por impresso
  • As ações solicitadas deverão ser solicitadas por escrito com assinatura ou digitalmente com e-mail que possa ser garantido como do solicitante

Caso o suporte seja solicitado on-line, sem contato pessoal com cliente

  • O profissional poderá exigir dados irrefutáveis que pareçam ser seus, como foto sem edição de documentos, enviado por e-mail
  • O E-mail de contato deve ser da instituição que gerencia a aplicação, quando aplicável. Ex. fulano@site.gov.br e o serviço é em site.gov.br.
  • O profissional poderá deixar para executar a ação se, e somente se, puder ligar para um telefone fixo que seja da entidade.
  • Todas as ações ou resumo de ações devem ser (re-)confirmadas via e-mail, não via telefone ou video-conferência

Afinal, o profissional é obrigado a aceitar uma solicitação suspeita?

Diferente do que ocorre com taxistas que em certas situações levam multa por decidirem qual cliente atender e qual não atender, um profissional de T.I. pode se recusar a aceitar um serviço, quer o cliente forneça todos os dados solicitados ou não. Vale a pena usar bom senso nessas horas.

comments powered by Disqus