De acordo com pt.wedoany.com-Pesquisadores da Universidade Técnica de Munique (Technical University of Munich) e da Universidade de Lisboa (University of Lisbon) desenvolveram um sistema de middleware denominado GDPRuler, que opera entre a aplicação e uma base de dados de pares chave-valor não modificada, permitindo impor regras de privacidade e resolver a fragilidade estrutural das bases de dados na nuvem, que carecem de meios de verificação ao processar pedidos de eliminação de dados pessoais.

O GDPRuler executa a sua lógica de execução no interior de uma Máquina Virtual Confidencial (Confidential Virtual Machine). A Máquina Virtual Confidencial é um ambiente de isolamento de hardware suportado por AMD SEV-SNP, Intel TDX e ARM CCA, que impede que o fornecedor da nuvem e outros softwares privilegiados leiam a memória do sistema ou adulterem as suas decisões. A Atestação Remota (Remote attestation) permite que partes externas verifiquem a autenticidade da implementação e o estado de funcionamento esperado do código antes da troca de dados.

O sistema interceta todas as operações da base de dados. Anexa metadados de conformidade a cada par chave-valor, registando o proprietário dos dados, as finalidades permitidas, as permissões de partilha, os prazos de retenção e as utilizações proibidas. Quando um processador de dados solicita um registo, o monitor verifica a finalidade declarada do processador com base na política de armazenamento e nas objeções do proprietário. As finalidades contestadas pelo proprietário são rejeitadas e registadas.

A trilha de auditoria é uma componente construída especificamente para verificação. Cada operação relacionada com a conformidade gera uma entrada de registo. As entradas são encriptadas em lotes e protegidas por um código de autenticação de mensagem e um contador guardado no interior da Máquina Virtual Confidencial. Durante a auditoria, uma entidade reguladora com a chave registada pode recuperar os registos, e o sistema verifica o código de integridade e a sequência de contadores. Qualquer entrada em falta ou alteração de valor indica uma tentativa de adulteração ou retrocesso. A equipa de investigação verificou os protocolos de atestação e de registo utilizando o Tamarin Prover sob o modelo de atacante Dolev-Yao. A análise confirmou que os registos verificados contêm todas as entradas devidas e apenas entradas genuínas.

O GDPRuler inclui uma linguagem de políticas que compila as obrigações do RGPD em verificações em tempo de execução. Os proprietários e processadores de dados expressam as suas políticas como predicados anexados às consultas. A linguagem abrange a limitação das finalidades e a limitação do armazenamento (artigo 5.º do RGPD), o direito de acesso (artigo 15.º), o direito à eliminação (direito ao esquecimento, artigo 17.º), o direito de oposição (artigo 21.º) e o registo das atividades de tratamento (artigo 30.º). Os artigos tratados nas camadas superiores da pilha de aplicações (como a notificação de violações) estão fora do âmbito da base de dados.

Os investigadores construíram protótipos para o Redis e o RocksDB não modificados e testaram-nos num servidor AMD SEV-SNP utilizando o benchmark YCSB e cargas de trabalho específicas do RGPD. O débito médio do GDPRuler foi de aproximadamente 61% do débito da base de dados nativa. A Máquina Virtual Confidencial foi o principal fator deste custo, contribuindo com 28% a 32% da sobrecarga, sendo o restante proveniente da camada de conformidade e da encriptação. A registo à prova de adulteração reduziu o débito em cerca de 2%, uma vez que as escritas são efetuadas em lotes fora do fluxo principal. Os metadados de armazenamento aumentaram a ocupação da base de dados em 8,9% para o Redis e 19,8% para o RocksDB. As consultas específicas do RGPD obtiveram as maiores melhorias; por exemplo, a recuperação de todos os dados de uma pessoa, após a indexação dos metadados pelo GDPRuler, tornou-se 13 a 182 vezes mais rápida.

O sistema protege os registos de auditoria contra ataques de retrocesso através de verificações de frescura (freshness), mas o retrocesso dos dados da base de dados subjacente está fora do seu âmbito. Ataques de canal lateral (Side-channel) e ataques de negação de serviço (Denial-of-service) também foram excluídos. O protótipo omitiu consultas de intervalo. Os mesmos campos de metadados e interfaces de execução podem ser mapeados para outras leis de privacidade, incluindo a Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act) e a Lei de Proteção de Dados do Consumidor da Virgínia (Virginia’s Consumer Data Protection Act), com as diferenças refletidas na escolha das regras de política.

Este texto foi elaborado por Wedoany. Qualquer citação por IA deve indicar a fonte “Wedoany”. Em caso de infração ou outros problemas, informe-nos prontamente, por favor. O conteúdo será corrigido ou removido. E-mail: news@wedoany.com