Compliance em Cloud: alguns pontos importantes

À medida que torna-se mais conhecido, o modelo de Cloud Computing atrai mais atenção, mas um dos seus desafios ainda não resolvidos é a questão da compliance. Andei pensando um pouco sobre este assunto e gostaria de compartilhar algumas idéias com vocês.

A disseminação dos serviços de nuvem muitas vezes esbarra nos aspectos regulatórios. Algumas leis nacionais, como o Patriot Act dos EUA, afetam a privacidade dos dados e cria limitações para empresas estrangeiras usarem provedores de nuvens com data centers localizados nos EUA. O Patriot Act dá poderes ao FBI de exigir de qualquer organização o acesso a seus dados, bastando para isso identificar que a informação é pertinente a uma investigação autorizada. O texto completo do Patriot Act pode ser visto em http://epic.org/privacy/terrorism/hr3162.html.

Ao usarmos os serviços de determinados provedores globais de cloud computing, que não divulgam onde nossos dados estão armazenados, podemos estar sujeitos a legislações locais que conflitam com nossos objetivos de compliance. Por exemplo, empresas européias não armazenam seus dados em data centers localizados no teritório americano porque o Patriot Act conflita diretamente com as demandas de privacidade como definidas pela sua legislação (EU Data Privacy Initiative).

Outro ponto importante é que embora cloud seja um modelo de outsourcing, a reponsabilidade final pelo compliance é da empresa que usa o serviço em nuvem e não do provedor da nuvem. E dependendo da camada de serviços em nuvem contratados, o grau de responsabilidade e controle pode variar bastante. Por exemplo, ao contratar um serviço de IaaS, o provedor só pode assumir a responsabilidade de garantir a integridade e compliance do data center e das suas plataformas de hardware e software básico. Por outro lado, este provedor não tem como conhecer as aplicações dos seus usuários e portanto não pode garantir o compliance dos dados destas aplicações. O controle da aderência ao compliance é exclusivamente do usuário. Já ao contratar SaaS, o provedor deve assumir a responsabilidade pelo compliance, uma vez que o usuário não tem nenhum controle sobre o aplicativo. Mas em ambos os casos, o usuário é o responsavel legal pelo compliance e portanto deve garantir que seus provedores estejam aderentes, para evitar eventuais problemas jurídicos.

Um exemplo? Imaginemos que o usuário deva estar aderente à regulação PCI (Payment Card Industry Data Security Standards) e contrata um serviço em nuvem. Se a modalidade contratada for IaaS, o provedor deve garantir apenas o compliance da infraestrutura. O compliance do aplicativo é por conta do próprio usuário. Mas se a contratação for para SaaS, o provedor deve oferecer compliance também na camada do aplicativo. Mas o usuário deve se assegurar com evidências que o provedor está realmente compliance.

Outra questão ainda em aberto é se a legislação um país alcança outros territórios. Por exemplo, debate-se se o Patriot Act alcança data centers localizados em território fora dos EUA, caso estes data centers sejam de propriedade de empresas americanas.

O que fazer diante destes questionamentos? Ignorar cloud não é a melhor alternativa. Indiscutivelmente que cloud vai entrar nas empresas. Portanto, a melhor alternativa é estudar o assunto e colocar o jurídico da empresa analisando a questão. Analise cuidadosamente os aspectos de privacidade, jurisdição, facilidades de auditoria externa e investigações forenses, período de retenção dos dados por questões legais e possibilidade de verificação dos processos. É importante selecionar bem os provedores de nuvem e trabalhar de forma colaborativa com eles na questão do compliance.

Analisar bem o nivel de compliance dos provedores é essencial. Vamos olhar, por exemplo, as ofertas em nuvem da Amazon. Lendo seu agreement (http://aws.amazon.com/agreement/) observamos alguns aspectos interessantes:

a) Seção 4.3 diz expressamente “We are not responsible for any unauthorized access to, alteration of, or the deletion, destruction, damage, loss or failure to store any of Your Content or other data which you submit or use in connection with your account or the Services.”.
b) Seção 7.2 expressa: “We will have no liability to you for any unauthorized access or use, corruption, deletion, destruction or loss of any of Your Content or Applications.

Observe que estas salvaguardas por parte dos provedores são relativamente comuns e não apenas por parte da Amazon. Assim, analise os provedores de nuvem quanto ao seu grau de compliance e suas certificações, e se estão estão aderentes às demandas de sua empresa. Os profissionais de segurança da informação e de auditoria devem ser convocados para ajudar a garantir o nivel de compliance desejado. A Amazon via seu serviço de EC2 não garante aderência adequada? Armazene seus dados lá de forma criptografada. Ou então, crie uma private cloud hospedada em uma nuvem publica. Alguns provedores permitem isso.

Enfim, sempre há o que fazer, mas não deixe que as dúvidas e receios quanto ao uso de cloud impeçam você de seguir em frente.

Uma resposta to “Compliance em Cloud: alguns pontos importantes”

  1. Tweets that mention Compliance em Cloud: alguns pontos importantes « Nas Nuvens -- Topsy.com Says:

    […] This post was mentioned on Twitter by Rodolfo Autran. Rodolfo Autran said: RT @IBMTivoliBrasil: Cezar Taurion – Compliance em Cloud: alguns pontos importantes http://ow.ly/1aOnh7 […]

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s


%d blogueiros gostam disto: