Site Meter WGA e Privacidade - Segurança na Microsoft - Site Home - TechNet Blogs

Segurança na Microsoft

Comentários e Análises sobre Segurança da Informação, por Fernando Cima

WGA e Privacidade

WGA e Privacidade

  • Comments 7
  • Likes

Personally Identifiable Information (ou PII) é definido como sendo qualquer informação que potencialmente possa ser usada para identificar unicamente, contactar ou localizar uma pessoa. A Microsoft segue regras estritas em relação ao uso de PII, e por exemplo no recurso de validação da autenticidade do Windows feito pelo componente Windows Genuine Advantage nenhuma PII é enviada para a Microsoft.

O professor Pedro Rezende da UnB e da FSF discorda - para ele:

...ao usuário só é solicitado permissão durante a instalação da segunda ferramenta (de Notificação), depois que a primeira (de Validação) já foi instalada, sendo a primeira a que envia, segundo declaração da própria Microsoft, informações individuais do usuário (número de série do HD e endereço IP).

[de http://www.cic.unb.br/docentes/pedro/trabs/wga.html]

Com todo respeito ao trabalho do prof. Pedro, não dá para levar a sério esta afirmação. O número de série na verdade é do volume do HD, que é gerado aleatoriamente durante a formatação do partição. Se você reformata a partição, um novo número é gerado. Quem conseguiria possível identificar uma pessoa por este número? Somente alguém com poder de divinação, e certamente não a Microsoft. O mesmo vale para endereço IP, a que você é atribuído um a cada conexão feita ao seu provedor ou é simplesmente mascarado pelo proxy da sua empresa. O interessante é que se endereço IP fosse PII, a página do professor Pedro e da FSFLA teriam acabado de coletar minha informação pessoal sem me pedir (e a sua, desavisado leitor, se por acaso clicou nos links acima).

 

Comments
  • Desculpe Cima, mas faltou completar uma informação.

    Segundo o mesmo site que você citou (a definição do que é PII, na Wikipédia), um endereço IP pode sim ser considerado um PII em alguns casos. Um exemplo simples é o do usuário de banda larga, com um único computador e com IP fixo (O speedy antigo por exemplo... não sei se existe ainda outro plano de banda larga ainda que usa IP fixo).

    Ainda assim, da forma como o professor escreveu, não fica muito claro...

    []s,

    --

    Vinicius Canto <scripterbr_at_gmail_dot_com>

    MVP Visual Developer - Scripting

    MCP Windows 2000 Server, Windows XP e SQL Server 2000

    Blog sobre Scripting: http://viniciuscanto.blogspot.com

  • Ainda que usando apenas IP dinâmico basta registrar data e hora do acesso e cruzar estas informações com logs de acesso do provedor da comunicação para identificar com precisão a máquina do usuário e sem muito esforço também obter a localização do equipamento.

  • Caros Vinicius e ASF,

    Vamos primeiro voltar a definição. PII se refere a informação que, isoladamente ou em conjunto com outras informações *de conhecimento do custodiante*, permitem idenfificar, localizar ou contactar unicamente uma pessoa.

    Me parece bastante claro que uma empresa tem somente o endereço IP e nenhuma outra informação que permita identificar a pessoa, ela não está recolhendo PII. Por exemplo, vocês dois tem blogs, e provavelmente têm acesso aos endereços IPs dos visitantes. Vocês conseguem identificar ou contactar quem são os seus visitantes? É claro que não.

    Em alguns casos o endereço IP pode ser considerado um PII. Segundo a TRUSTe, isso acontece quando ele é coletado ou pode ser associado a PII:

    "The IP address or other unique identifier becomes PII only if it becomes “associated with” personally identifiable information."

    [www.truste.org/docs/TRUSTe_Amicus_Brief_in_Klimas_v_Comcast.doc]

    Claramente não é o caso do WGA, que coleta informações do computador como ID do volume de disco e endereço MAC, que somente com uso de poderes mágicos poderiam identificar uma pessoa.

    Vocês apontam a existência do log do provedor. Se estes logs fossem públicos ou de acesso da Microsoft, o endereço IP se tornaria PII para a Microsoft. Como não são, isso claramente não se aplica.

    (Logs estes que provavelmente nem existem por sinal - os ISPs não são obrigados a fazer este log ou mantê-los por qualquer período de tempo. Como o fim da bilhetagem por hora, a maioria simplesmente não tem qualquer registro de acesso.)

  • Com todo o respeito ao Professor Pedro Rezende, vivemos no país que absolve os mensaleiros (Ele inclusive vive na Disneylandia brasileira) e ele quer crer que com o IP e 'numero de serie do HD' é possível rastrear o usuário?

    Ele poderia usar seus dons de CSI pra ajudar o pessoal de Brasilia a descobrir sim, de onde veio o dinheiro do dossie famoso ou ainda quem (e por que) matou o PC Farias.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment