Segurança de dados no Protheus: Como implementar permissões e conformidade com LGPD
Uma violação de dados pode custar milhões. Mas o que custa ainda mais é a negligência.
Se você não tem controle sobre quem acessa o quê no Protheus, está vulnerável. Não só a vazamentos de dados, mas também a multas pesadas da LGPD (Lei Geral de Proteção de Dados). Empresas em descumprimento podem receber multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração.
A boa notícia? Proteger dados e implementar conformidade com LGPD no Protheus é totalmente possível. E não exige reinventar a roda – o sistema tem ferramentas prontas para isso.
O risco real: Permissões mal configuradas são perigosas
Imagine este cenário: um analista de compras sai da empresa. Três semanas depois, ainda tem acesso ao Protheus. Em uma semana, visualizou dados de fornecedores estratégicos e preços de produtos. Quando descobrem, é tarde.
Isso é comum. Muitas empresas não removem acessos após demissões, promoções ou mudanças de função. Resultado: usuários têm permissões que nunca deveriam ter.
A LGPD exige que você controle quem acessa dados pessoais e sensíveis. Dados como CPF, salário, endereço, informações médicas. Tudo precisa ter acesso restrito. Se um funcionário consegue visualizar salários de todos os colegas, você está violando LGPD. Se um gerente de vendas consegue exportar dados de clientes pessoais, também.
Sem controle de permissões, você não tem conformidade legal. Com conformidade legal, você tem proteção.
O que a LGPD exige no Protheus
A LGPD não é vaga. Ela exige três coisas específicas:
- Consentimento transparente: você precisa ter registro de que pessoas consentiram ter seus dados tratados. No Protheus, isso significa processos claros e documentados.
- Acesso e portabilidade: Titulares de dados têm direito de acessar suas informações e solicitar cópia. O Protheus deve permitir isso facilmente.
- Segurança e controle de acesso: apenas pessoas autorizadas devem conseguir visualizar dados sensíveis. Criptografia, logs de auditoria e restrições de acesso são obrigatórios.
A TOTVS reconheceu isso e, a partir da Release 12.1.27 do Protheus, liberou o módulo de Controle de Dados Protegidos. Esse módulo permite ocultar dados sensíveis de usuários que não devem visualizá-los. Sem permissão específica, o campo simplesmente não aparece ou fica mascarado.
Como implementar: Três camadas de proteção
Camada 1: Acesso ao sistema
Cada usuário precisa de credenciais únicas. Sem compartilhamento de senhas. Sem contas genéricas. O Protheus permite configurar políticas de senha (complexidade, expiração). Ative isso.
Quando alguém sai da empresa, desative a conta no mesmo dia. Não deixe para segunda-feira. Não deixe para próxima semana.
Camada 2: Permissões de funcionalidades
Um usuário tem múltiplas permissões no Protheus. Permissão para acessar o módulo de Compras, permissão para gerar relatório, permissão para alterar preços. Cada uma precisa ser atribuída com propósito.
Use grupos de usuários para agrupar permissões por função. Um grupo “Analista de Compras” tem permissões X. Um grupo “Gerente Financeiro” tem permissões Y. Um usuário novo entra, recebe as permissões do seu grupo correspondente.
A regra é simples: princípio do menor privilégio. Acesso apenas ao necessário. Nada além.
Camada 3: Restrição de dados sensíveis
Mesmo que um usuário tenha acesso ao módulo de RH, pode não ter permissão para visualizar salários. O Protheus oferece três permissões específicas para isso:
- Permissão 3428: visualizar dados pessoais sem confirmação;
- Permissão 3429: visualizar dados pessoais com confirmação (requer clique extra);
- Permissão 3430: visualizar dados sensíveis.
Com essas permissões, você segmenta precisamente quem vê o quê. Um assistente de RH consegue acessar dados gerais de funcionários, mas dados salariais ficam ocultos.
Auditoria e monitoramento
Proteger dados também significa monitorar acessos. O Protheus tem Trilha de Auditoria Integrada – um log que registra quem acessou o quê, quando, e o que mudou.
Para dados sensíveis, essa auditoria é obrigatória por LGPD. Quando alguém acessa um campo protegido, fica registrado. Isso oferece rastreabilidade completa.
Se há suspeita de acesso indevido, você consegue investigar. Se há auditoria externa, você tem comprovante de conformidade.
VISITE O BLOG PARA SABER MAIS SOBRE PROTHEUS
Plano prático
Passo 1: Auditoria rápida
Quantos usuários estão ativos no seu Protheus? Quantos ainda trabalham na empresa? Tem usuários órfãos? Responda essas três perguntas primeiro.
Passo 2: Mapear dados sensíveis
Quais campos contêm dados pessoais ou sensíveis? CPF, salário, endereço, dados de saúde. Liste tudo.
Passo 3: Revisar grupos de usuários
Cada grupo tem as permissões corretas? Um estagiário tem acesso a dados que não deveria? Ajuste.
Passo 4: Ativar dados protegidos
Use o módulo de Controle de Dados Protegidos do Protheus para ocultar dados sensíveis de usuários não autorizados. Configure as três permissões (3428, 3429, 3430) conforme necessário.
Passo 5: Implementar auditoria
Ative trilha de auditoria para tabelas com dados sensíveis. Monitore acessos regularmente.
O ROI de fazer certo
Uma violação de dados custa R$ 7,19 milhões em média no Brasil. Uma multa LGPD custa até R$ 50 milhões. Implementar segurança corretamente custa uma fração disso.
Além do custo financeiro, há o dano reputacional. Uma empresa que vaza dados de clientes perde confiança.
Fazer segurança certo não é custo – é investimento em sobrevivência.
Custo médio de uma violação de dados no Brasil atinge R$ 7,19 milhões
ERPServ pode ajudar
Implementar LGPD no Protheus exige expertise técnica e conhecimento de legislação.
Seu Protheus está realmente seguro e em conformidade com LGPD?
Muitas empresas não sabem. Tem acesso configurado, mas sem estrutura clara ou auditoria.
Multa de LGPD não dá aviso prévio. Agir agora é agir no momento certo.
Compartilhe nosso conteúdo
