GDPR e Computação em Nuvem – Desafios e Oportunidades

O novo Regulamento Geral sobre a Proteção de Dados da UE (GDPR) entrará em vigor em 25 de maio de 2018. Como resultado, empresas de todos os tamanhos devem revisar as alterações emitidas pelo GDPR e identificar as implicações organizacionais e técnicas específicas para elas. Com menos de um mês antes do prazo imposto, muitas empresas ainda não são consideradas “prontas para o GDPR”. Muitas delas correm para implementar as políticas corretas de segurança de TI e privacidade. A computação em nuvem e um nível aumentado de proteção de dados devem andar de mãos dadas. Além de alguns receios iniciais, os novos desafios regulatórios poderiam potencialmente abrir novas oportunidades tanto para provedores de nuvem quanto para usuários de nuvem.

TLDR? Pular para os seis critérios principais…

Introdução

A proteção de dados e a segurança de dados estão cada vez mais sob os holofotes no decorrer da digitalização. Elas são consideradas uma qualificação fundamental para seguir com sucesso o caminho da transformação digital.

O histórico e o objetivo do GDPR é a harmonização entre os países membros da UE, para que uma lei de proteção de dados uniforme seja válida para a zona da UE e, ao mesmo tempo, a posição jurídica dos envolvidos seja melhorada. Aqui estão algumas das mudanças mais importantes à luz do GDPR:

• As multas por infrações aumentaram significativamente – até 2 ou 4 por cento da receita anual, dependendo da gravidade da infração.
• Os direitos das pessoas afetadas são significativamente fortalecidos pelos requisitos de transparência e informação.
• Além das obrigações bem conhecidas em relação à proteção de dados, novas obrigações são introduzidas, por exemplo, para a configuração padrão amigável à privacidade de dispositivos eletrônicos.
• O novo regulamento também se aplica a empresas que não estão sediadas na UE, mas coletam dados de cidadãos da UE.

Os Desafios

Os tomadores de decisão corporativos e especialistas em segurança estão agora se perguntando como serão os novos regulamentos do GDPR. E como eles devem se preparar e conduzir a implementação do GDPR. Além disso, a questão da “preparação para o GDPR” ecoa entre os Diretores de Segurança da Informação (CISOs).

Um grande número de tomadores de decisão de negócios pensará que este é “apenas mais um novo regulamento de Bruxelas que ninguém jamais notará”. No entanto, o GDPR tem bons motivos para ser levado em consideração. Em primeiro lugar, as mudanças regulatórias fortalecerão os direitos de todos os envolvidos. Isso pode levar a sanções financeiras significativas quando se tratar de violações de dados no futuro que afetem cidadãos da UE.

Além de um potencial dano material, um potencial dano à reputação corporativa também é de grande importância. Os veículos de comunicação estão prontos para divulgar questões de privacidade. Este é um sinal de alerta para todas as empresas que ainda precisam reunir a experiência necessária para cumprir os novos requisitos. Isso ocorre porque, com a entrada em vigor do GDPR em maio de 2018, as multas serão aumentadas drasticamente. Com multas de até € 20 milhões ou até 4% do faturamento anual, o tema do GDPR recebeu atenção em nível de gestão para empresas de todos os tamanhos.

O GDPR no contexto da computação em nuvem

Os novos regulamentos relativos à proteção de dados” são tanto um desafio quanto uma oportunidade. Um indicador fundamental para a “preparação para o GDPR” é a mentalidade de proteção de dados dentro das empresas e o nível de proteção de dados fornecido, o que significa o que, onde e como as cargas de trabalho críticas para os negócios operam em infraestruturas de nuvem.

Para muitas empresas, o RGPD é um projeto complexo. Os desafios jurídicos, técnicos e organizacionais trazidos pelo RGPD foram, até agora, apenas parcialmente reconciliados. Particularmente no caso de grandes projetos de migração no ambiente de computação em nuvem, no ambiente de IoT ou em cenários de big data, o dia a dia dos negócios deixa pouco tempo para se preocupar com a implementação do RGPD. No entanto, além dos inúmeros desafios de implementação, o RGPD também oferece a oportunidade de se destacar ao redefinir e implementar novas estratégias de proteção de dados e segurança de TI, especialmente no contexto da computação em nuvem.

Como resultado, o tema da computação em nuvem levanta muitas questões no contexto do RGPD. Em termos técnicos, a computação em nuvem é um contrato de tratamento de dados. Portanto, o utilizador da nuvem deve estar totalmente ciente da forma como o provedor processa os seus dados a qualquer momento. Os provedores de nuvem e provedores de recursos apenas suportam as suas funções e dependem dos requisitos legais da autoridade responsável. Em outras palavras, tanto os provedores de nuvem quanto as empresas devem cumprir os requisitos legais mínimos para cada serviço de nuvem sob o RGPD.

Como tirar partido dos potenciais desafios por trás do RGPD? Existem duas questões principais. Por um lado, as empresas precisam de saber em quais provedores de nuvem podem confiar. Por outro lado, as empresas precisam de saber quais medidas técnicas e organizacionais devem tomar para estarem “em conformidade com o RGPD”.

Oportunidades e obrigações para os CISOs – o parceiro de nuvem certo

O parceiro de nuvem certo pode ser um parceiro de discussão valioso à luz do RGPD. Uma vez que, com a sua experiência em conformidade e segurança, pode ajudar a sua empresa a tornar-se “preparada para o RGPD”.

Se aplicar uma estratégia de multi-nuvem, precisa de avaliar as políticas de proteção de dados de cada provedor de nuvem. As abordagens híbridas e de multi-nuvem são muito mais complexas de coordenar e, portanto, podem apresentar um risco maior de proteção de dados. A multidão de diferentes provedores de nuvem, especialmente no ambiente de nuvem pública, torna difícil para os CISOs garantir a conformidade com o RGPD. A conformidade com o RGPD é tão forte quanto o elo mais fraco. Por exemplo, uma violação ou não conformidade por parte de um único provedor de nuvem dentro de uma implementação multi-nuvem pode minar todos os esforços para uma conformidade bem-sucedida com o RGPD.

Seis Critérios Principais

Abaixo, listamos um conjunto rápido de critérios que pode utilizar para avaliar os seus potenciais parceiros de nuvem (em termos de conformidade com o RGPD):

Segurança e Privacidade

O primeiro passo é avaliar até que ponto o provedor é capaz de cumprir os seus requisitos de segurança de TI. Uma forma fácil de os provedores de nuvem demonstrarem a conformidade com a segurança e o “Privacy by Design” é possuindo a certificação ISO 27001 ou ISO 27018. Caso contrário, podem demonstrá-lo através de uma avaliação de impacto sobre a proteção de dados (DPIA) realizada e/ou de uma avaliação de segurança.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformidade da CloudSigma

A CloudSigma é certificada na norma ISO 27001, garantindo que todos os aspetos da nossa infraestrutura e serviços utilizados para fornecer e gerir a sua nuvem estão em conformidade com o mais elevado padrão de certificação ISO em relação à segurança e privacidade de dados.
[/vc_column] [/vc_row]

Gestão de Riscos

As empresas que trabalham com uma vasta gama de dados críticos devem fornecer garantias suficientes (de acordo com o Artigo 28.º do Regulamento RGPD). Estas garantias devem provar que o responsável pelo tratamento de dados utiliza:

“Apenas subcontratantes que apresentem garantias suficientes de execução de medidas técnicas e organizativas adequadas. E de tal modo que o tratamento satisfaça os requisitos do presente Regulamento e assegure a defesa dos direitos do titular dos dados.”

Assim, deve certificar-se de que o seu fornecedor de nuvem realiza auditorias regulares para revisão. Além disso, a classificação e avaliação das medidas técnicas e organizativas para garantir a segurança do tratamento. Adicionalmente, deve certificar-se de que o parceiro de nuvem concede o direito de auditoria aos seus clientes.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformidade CloudSigma

Como cliente de qualquer plataforma de nuvem CloudSigma, você está oficialmente autorizado a realizar auditorias de segurança, operações e processos em relação aos serviços que lhe prestamos.
[/vc_column] [/vc_row]

Localização dos Dados

Deve sempre saber qual é a localização geral dos seus dados. No entanto, nem todos os parceiros de nuvem lhe oferecem a transparência necessária relativamente às localizações na nuvem. Note que a sede do fornecedor de nuvem pode não ser necessariamente o local de alojamento dos seus dados. Além disso, algumas empresas podem mover os seus dados entre diferentes localizações na nuvem em segundo plano, sem o seu conhecimento. Isto pode fazer parte dos Termos de Serviço do parceiro de nuvem. Por último, mas não menos importante, os fornecedores de serviços de nuvem podem armazenar dados em múltiplas localizações. E algumas destas podem situar-se fora do EEE. Como Controlador de Dados, precisa de definir uma estratégia de nuvem multipaíses para cumprir os requisitos de adequação, bem como as leis de localização de dados.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformidade CloudSigma

Como parte dos nossos Termos de Serviço, a CloudSigma está estruturada para separar legalmente as localizações de nuvem por país. Como resultado, cada localização está sujeita apenas ao enquadramento jurídico local. Tudo isto ao mesmo tempo que oferece uma solução de nuvem 100% local para os clientes finais.
As localizações também não estão tecnicamente interligadas e a CloudSigma garante a máxima transparência relativamente à localização exata dos dados, que nunca serão transferidos entre localizações de nuvem.
[/vc_column] [/vc_row]

Funcionalidades de Segurança

O RGPD exige uma série de salvaguardas de proteção de dados, desde a encriptação em repouso e em trânsito até controlos de acesso, pseudonimização e anonimização de dados. Para o conseguir, escolha um parceiro de nuvem que disponha de funcionalidades de segurança suficientes por onde escolher. Por exemplo – cópia de segurança, encriptação, políticas de controlo de acesso e outros. Se o seu parceiro de nuvem não tiver essa política, terá de tratar das funcionalidades de segurança por si próprio.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformidade CloudSigma

A CloudSigma esforça-se por oferecer um elevado nível de segurança e privacidade aos clientes, com uma seleção de funcionalidades e ferramentas que lhes permitem proteger os vários aspetos da sua computação. No nosso blog, os clientes podem encontrar vários artigos que descrevem as diferentes funcionalidades de segurança tais como encriptação ao nível do boot, políticas de controlo de acesso, verificação em duas etapas, chaves SSH e outras.
[/vc_column] [/vc_row]

Mi

Propriedade dos Dados

Como cliente de um provedor de nuvem, você é o Controlador de Dados. Isso significa que você deve manter o controle e a propriedade dos seus próprios dados. Você pode conseguir isso assinando um Acordo de Processamento de Dados com seu parceiro de nuvem para garantir que o parceiro esteja cumprindo os requisitos de proteção de privacidade de dados de acordo com o RGPD. Você pode redigir o seu próprio ou verificar se o seu parceiro de nuvem criou um DPA como parte padrão dos Termos de Serviço. A vantagem de usar o seu próprio é que você pode especificar o tipo de dados pessoais e dados “especiais” coletados. Não importa se você usa o DPA do seu parceiro ou o seu próprio, certifique-se de que os termos declarem claramente que o Controlador de Dados (ou seja, você) é o proprietário dos dados e que o Processador de Dados (ou seja, o parceiro de nuvem) não compartilhará os dados com terceiros.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformidade da CloudSigma

A CloudSigma criou um Acordo de Processamento de Dados (DPA), que permite aos clientes cumprir suas obrigações do RGPD. Atualizamos as partes relevantes dos nossos Termos de Serviço e documentos de Política de Privacidade para fazer referência ao DPA e cumprir o RGPD.
Além disso, nossa Política de Privacidade padrão é um documento muito transparente que descreve toda a coleta, armazenamento e uso de dados de clientes na nuvem.
Os clientes mantêm acesso total e exclusivo aos seus dados no nível do sistema de arquivos. O sistema da CloudSigma não tem acesso ou visibilidade dentro das VMs ou unidades de armazenamento. O sistema de gerenciamento de nuvem da CloudSigma implementa uma estrutura de controle de acesso que limita os direitos e o acesso dos funcionários, além de registrar as ações realizadas no sistema.
[/vc_column] [/vc_row]

Exclusão de Dados

Você precisa garantir que, assim que o seu contrato com o parceiro de nuvem terminar, você possa baixar/apagar os dados. E também que o parceiro de nuvem excluirá os dados assim que você encerrar o serviço. Alguns provedores de nuvem (especialmente quando são certificados pela ISO) usam uma política padronizada para excluir dados após a expiração do contrato. Tente descobrir quanto tempo o provedor de nuvem leva para excluir seus dados.
[/vc_column] [vc_column width=”1/2″ style=”text-align: left;”]

Conformidade da CloudSigma

Na CloudSigma, o sistema lida automaticamente com todos os dados dos clientes. Isso inclui a exclusão de unidades, exclusão programada para contas desativadas, etc.
A CloudSigma não faz cópias dos dados das unidades dos clientes. A única cópia fica em nossa nuvem, a menos que o cliente opte por clonar a unidade para outro sistema de armazenamento.
Além disso, como parte do nosso Acordo de Processamento de Dados, você pode solicitar a correção, exclusão, bloqueio e/ou disponibilização dos seus dados durante ou após o encerramento do uso do serviço.
[/vc_column] [/vc_row]

Então, o quanto a sua própria empresa está “preparada para o RGPD” hoje?

Sinta-se à vontade para entrar em contato conosco em dpo (at) cloudsigma.com para obter mais informações sobre a CloudSigma e o RGPD.

Fontes:

• Crisp Research
• Cloud Industry Forum
• BrightTALK
• ScienceDirect