Com a conformidade obrigat\u00f3ria com a Regulamenta\u00e7\u00e3o Geral de Prote\u00e7\u00e3o de Dados da Uni\u00e3o Europeia (European Union General Data Protection Regulation – EU GDPR) cada vez mais pr\u00f3xima, organiza\u00e7\u00f5es que lidam com dados pessoais de cidad\u00e3os europeus est\u00e3o se apressando para adaptar suas opera\u00e7\u00f5es aos novos requisitos para evitar problemas com clientes e autoridades.<\/p>\n
Com rela\u00e7\u00e3o a servi\u00e7os de infraestrutura em nuvem, um esfor\u00e7o em particular pode vir a ajudar provedores e seus clientes. Este artigo dar\u00e1 uma vis\u00e3o geral do C\u00f3digo de Conduta da CISPE, como ele pode ajudar a assegurar que o processamento de dados pessoais seja feito de acordo com a EU GDPR (leia o artigo O que \u00e9 a EU GDPR por que ela \u00e9 aplic\u00e1vel para todo o mundo?<\/a>\u00a0para saber mais sobre a EU GDPR), e como a s\u00e9rie de normas ISO 27001<\/a>\u00a0est\u00e1 relacionada a ele.<\/p>\n A CISPE, sigla para Cloud Infrastructure Service Providers in Europe (Provedores de Servi\u00e7o de Infraestrutura em Nuvem), \u00e9 uma coaliza\u00e7\u00e3o de mais de 20 companhias de tecnologia focadas no provisionamento de servi\u00e7os de infraestrutura de computa\u00e7\u00e3o em nuvem, operando em mais de 15 pa\u00edses europeus. Seu trabalho:<\/p>\n O C\u00f3digo de Conduta da CISPE, atualmente em uma vers\u00e3o preliminar liberada em 26 de setembro de 2016, tem como prop\u00f3sito guiar clientes na avalia\u00e7\u00e3o se Provedores de Servi\u00e7o de Infraestrutura em Nuvem (Cloud Infrastructure Service Providers – CISPs), atuando como processadores de dados<\/strong> (n\u00e3o tomam decis\u00f5es com rela\u00e7\u00e3o aos dados), s\u00e3o adequados para suas necessidades relacionadas ao processamento de dados pessoais, considerando os requisitos da EU GDPR. Ele \u00e9 estruturado em sete se\u00e7\u00f5es e dois anexos (Responsabilidades de Seguran\u00e7a e Modelo de Declara\u00e7\u00e3o de Ader\u00eancia):<\/p>\n Em termos de escopo<\/a>, aspectos relevantes do c\u00f3digo s\u00e3o que ele \u00e9 aplic\u00e1vel de acordo com o servi\u00e7o provido, e o servi\u00e7o deve ser provido inteiramente dentro da \u00c1rea Econ\u00f4mica Europeia (European Economic Area – EEA). Informa\u00e7\u00f5es sobre ader\u00eancia ser\u00e3o apresentadas a seguir neste artigo.<\/p>\n Os requisitos para prote\u00e7\u00e3o de dados cobrem as responsabilidades dos CISP\u2019s atrav\u00e9s da defini\u00e7\u00e3o de requisitos contratuais e legais<\/a>, condi\u00e7\u00f5es operacionais e de seguran\u00e7a, tratativa de solicita\u00e7\u00f5es de dados, e demonstra\u00e7\u00e3o de conformidade.<\/p>\n Requisitos de transpar\u00eancia lidam com os m\u00e9todos que os CISPs deveriam considerar para aprovar aos seus clientes informa\u00e7\u00f5es sobre controles de seguran\u00e7a<\/a> implementados, tais como acordos de servi\u00e7o, objetivos de seguran\u00e7a e normas aplic\u00e1veis, processos de gest\u00e3o de riscos<\/a> e de garantia, entre outros.<\/p>\n Finalmente, requisitos de governan\u00e7a estabelecem as condi\u00e7\u00f5es para o c\u00f3digo ser continuamente atualizado e melhorado, pela defini\u00e7\u00e3o da estrutura de governan\u00e7a da CISPE, condi\u00e7\u00f5es de ader\u00eancia, uso de marcas de conformidade, pr\u00e1ticas de tratativa de reclama\u00e7\u00f5es<\/a>, imposi\u00e7\u00e3o de pr\u00e1ticas e do c\u00f3digo, e o processo de revis\u00e3o das orienta\u00e7\u00f5es.<\/p>\n Em uma Infraestrutura como Servi\u00e7o (Infrastructure as a Service – IaaS), o principal neg\u00f3cio dos CISPs, existem estas situa\u00e7\u00f5es:<\/p>\n As situa\u00e7\u00f5es 3 e 4 claramente representam um risco<\/a> de neg\u00f3cio para os CISPs. Sem saber quais clientes lidam com dados pessoais, um provedor pode incorrer em super dimensionar seus controles de seguran\u00e7a, aumentando seus custos operacionais, ou em sub dimension\u00e1-los, colocando dados dos clientes em risco, e tornando-se respons\u00e1vel em caso de incidente.<\/p>\n Considerando este cen\u00e1rio, o c\u00f3digo de conduta pode ajudar com a defini\u00e7\u00e3o de:<\/p>\n Contudo, \u00e9 importante notar que em nenhum momento este c\u00f3digo deveria ser usado com o substituto para a EU GPDR, contratos, ou outras leis aplic\u00e1veis, apenas como material de apoio a avalia\u00e7\u00e3o.<\/p>\n Estes s\u00e3o os t\u00f3picos que considero interessante quando comparo o C\u00f3digo com a s\u00e9rie de normas ISO 27001:<\/p>\n Assim, se um CISP j\u00e1 implementou um sistema de gest\u00e3o ISO, ou mais especificamente a ISO 27001 e suas normas complementares, ser\u00e1 muito mais f\u00e1cil estar em conformidade com o C\u00f3digo.<\/p>\n Muito embora os provedores de servi\u00e7o de infraestrutura em nuvem tenham de pouco a nenhum contato com os dados de clientes, os requisitos legais que est\u00e3o por vir, como a EU GPDR, ir\u00e3o requerer que eles fa\u00e7am seus melhores esfor\u00e7os para ajudar a evitar o mau uso de dados e vazamentos.<\/p>\n Neste cen\u00e1rio, considero que o C\u00f3digo como uma grande ajuda no entendimento de como proteger IaaS em geral, e dentro do mercado da Uni\u00e3o Europeia em particular. A transpar\u00eancia que ela traz para a rela\u00e7\u00e3o provedor-cliente pode ajudar a criar um ambiente confi\u00e1vel que beneficiar\u00e1 os CISPs, como mais efici\u00eancia operacional e menos perdas devido a incidentes, e os clientes, assegurados por um alto n\u00edvel padr\u00e3o de prote\u00e7\u00e3o de dados.<\/p>\n Com rela\u00e7\u00e3o a implementa\u00e7\u00e3o, opera\u00e7\u00e3o e manuten\u00e7\u00e3o do C\u00f3digo, os CISPs que j\u00e1 implementaram normas de gest\u00e3o ISO, especialmente a s\u00e9rie de normas ISO 27001, achar\u00e3o mais f\u00e1cil atingir a conformidade, e para aqueles que n\u00e3o implementaram estas normas, estas s\u00e3o um grande ponto de partida.<\/p>\nO que \u00e9 a CISPE?<\/h2>\n
\n
O C\u00f3digo de Conduta da CISPE<\/h2>\n
\n
Como o C\u00f3digo de Conduta da CISPE pode ajudar provedores e seus clientes?<\/h2>\n
\n
\n
O alinhamento do C\u00f3digo de Conduta da CISPE com a s\u00e9rie de normas ISO 27001<\/h2>\n
\n
Adotar o C\u00f3digo \u00e9 uma s\u00e1bia decis\u00e3o<\/h2>\n