Computação em nuvem: Questões legais e regulatórias

Além das questões tecnológicas e de segurança, existe também uma ampla gama de outras questões regulatórias, legais e de conformidade a serem consideradas ao se mudar para a nuvem.

Vic (J.R.) Hans Winkler

Adaptado de "proteger a nuvem: Cloud táticas e técnicas de segurança do computador"(Syngress, um selo da Elsevier, 2011)

A paisagem legal e regulamentar em torno de computação em nuvem é de nenhuma maneira estática. Existem leis novas propostas que poderiam mudar as responsabilidades dos inquilinos de computação de nuvem e provedores.

Cloud computing que emprega um híbrido, Comunidade ou modelo de nuvem pública "cria nova dinâmica nas relações entre uma organização e suas informações, envolvendo a presença de uma terceira parte: o provedor de nuvem. Isso cria novos desafios na compreensão de como as leis se aplicam a uma grande variedade de cenários de gerenciamento de informações,"de acordo com Glen Brunette e Rich Mogull de Cloud Security Alliance, no seu livro branco," diretrizes de segurança para áreas críticas do foco em Cloud Computing. "

Isso cria desafios práticos em compreender como a legislação aplicável às partes diferentes em vários cenários. Independentemente de qual modelo de computação que você usar, nuvem ou caso contrário, você precisará considerar as questões jurídicas, especificamente aqueles ao seu redor todos você pode coletar, armazenar e processar os dados. Provavelmente haverá estadual, nacional ou leis internacionais que você (ou, de preferência, seus advogados) terá que considerar para garantir que você estão em conformidade legal.

Se o cliente locatário ou nuvem opera nos Estados Unidos, Canadá ou da União Europeia, estão sujeitos a inúmeros requisitos normativos. Estes incluem objetivos de controle para informação e relacionadas com tecnologia e Safe Harbor. Estas leis podem dizer respeito a onde os dados são armazenados ou transferidos, bem como quão bem este dados são protegidos de um aspecto de confidencialidade.

Algumas dessas leis aplicam-se a mercados específicos, tais como o Health Insurance Portability and Accountability Act (HIPAA) para a indústria de cuidados de saúde. No entanto, as empresas muitas vezes armazenam saúde informações sobre funcionários individuais, o que significa que essas empresas podem ter cumprir HIPPA, mesmo se eles não estão operando nesse mercado.

Falha ao proteger adequadamente os dados pode ter várias consequências, incluindo a possibilidade de multas pelo governo ou órgãos reguladores do setor. Essas multas podem ser substanciais e potencialmente incapacitante para um negócio pequeno ou médio porte. Por exemplo, a indústria de cartão de pagamento (PCI) pode impor multas de até US $100.000 por mês por violações ao seu cumprimento. Embora essas multas serão cobradas para o banco adquirente, eles estão propensos a afetar o comerciante também.

Disposições legislativas ou regulamentares normalmente especificam que dentro de uma empresa deve ser realizada responsável e responsável para a segurança e precisão dos dados. Se você está coletando e mantendo dados da HIPAA, você deve ter uma posição de segurança designada para garantir a conformidade. O ato de Sarbanes–Oxley designa o CFO e CEO ter responsabilidade conjunta para os dados financeiros. O ato de Gramm–Leach–Bliley é mais amplo, especificando a responsabilidade pela segurança com todo Conselho de administração. Menos específica é a Federal Trade Commission (FTC), que requer apenas um indivíduo específico ser responsável para o programa de segurança de informações dentro de uma empresa.

Envolvimento de terceiros

Se você usar uma infra-estrutura em nuvem originada de um provedor de serviços de nuvem, você deve impor todas as exigências legais ou regulamentadoras aplicáveis à sua empresa em seu fornecedor também. Esta é sua responsabilidade, não o provedor. Tomando as normas do HIPAA como um exemplo, subcontratantes que empregam (por exemplo, um provedor de serviços de nuvem) devem ter uma cláusula no contrato que estipula que o provedor irá usar controles de segurança razoável e também cumprir com quaisquer disposições de privacidade de dados.

Nos Estados Unidos, tanto agências governamentais federais e estaduais, como a FTC e vários procuradores-gerais fizeram empresas responsáveis pelas acções dos seus subcontratantes. Isto tem sido replicado em outros lugares, como da UE com as agências de proteção de dados. Como o uso de infra-estrutura em nuvem torna-se mais prevalente, que os riscos de um terceiro partido ao acessar dados ilegalmente estão subindo também.

Mesmo com dados criptografados, o terceiro pode ter acesso às chaves e, portanto, têm acesso aos dados subjacentes. Muitas vezes, os riscos são ampliados, como poderia haver um número de terceiras partes envolvidas: o provedor de nuvem; suporte a nuvem; operações; e equipes de gerenciamento; Além de outros que gerenciar e dar suporte a aplicativos. Contratantes que poderia ainda mais trabalho para qualquer uma dessas organizações compostas a dissipação no controle.

Questões contratuais

Estas são algumas das questões que você deve considerar em todas as fases do processo contratual:

• Inicial devido diligência
• Negociação de contrato
• Implementação
• Rescisão (termo do prazo ou anormal)
• Transferência de fornecedor

Inicial Due Diligence

Antes de celebrar um contrato com um fornecedor de nuvem, sua empresa deve avaliar seus requisitos e necessidades específicas. Você deve definir o âmbito dos serviços que você está procurando, juntamente com quaisquer restrições, regulamentos ou problemas de conformidade que deverão ser satisfeitas. Por exemplo, se você estiver indo para coletar e armazenar dados HIPAA empregado na nuvem, você deve garantir que qualquer fornecedor atenderá as diretrizes definidas pelos regulamentos da HIPAA. Avaliar as diferentes leis e regulamentos que sua empresa necessita para cumprir também pode definir o que você pode implantar em uma nuvem ou qual o tipo de serviço que você pode usar.

Você também deve classificar quaisquer serviços que você implanta para a nuvem com seu nível de importância para o seu negócio. Se você quiser implantar um serviço que é crítico para os negócios ou poderia causar uma interrupção maior se tornou-se disponível, então você precisa este fator em sua avaliação de fornecedor.

Como um número de fornecedores está entrando neste mercado, é inevitável que alguns vão falhar ou simplesmente parar de prestação do serviço, se considerarem que não é rentável para eles. Muitas vezes, grandes empresas vão entrar no mercado mas deixá-lo uma vez que o lucro esperado não se materializar. Se este é o core business do fornecedor de nuvem, pode ser disposto a continuar a operar por mais tempo com um lucro menor.

Perguntas que você deve considerar antes de avaliar prestadores de serviços de nuvem incluem:

• Este serviço de nuvem é um verdadeiro negócio do provedor?
• O provedor é como financeiramente estável?
• É a empresa de terceirização de qualquer aspecto do serviço a terceiros, e se assim for, o terceiro tem as disposições necessárias com o fornecedor?
• A segurança física de seus centros de dados atender a suas necessidades legais, normativas e de negócios?
• São seus desastres e continuidade de negócios, planos de recuperação consistentes com as suas necessidades de negócios?
• O que é o seu nível de conhecimento técnico dentro de sua equipe de operações?
• Quanto tempo a empresa vem oferecendo o serviço, e tem um historial com clientes verificáveis?
• O provedor oferece qualquer direito a indemnização?

Uma vez que sua empresa tem realizado tal diligência você pode começar a avaliação séria de provedores. Isto irá reduzir o tempo você vai gastar em geral nas negociações e certifique-se de que o nível correto de segurança está no lugar para suas necessidades específicas.

Você não pode esperar que seu fornecedor de nuvem para saber suas necessidades de negócios com detalhes. É possível ignorar as regras a que deve obedecer. Se houver uma violação de regulamentos, será sua empresa que é penalizada e fornecedor de nuvem não escolhido. Portanto, escolha bem — mas ainda fazer sua lição de casa.

Vic (J.R.) Hans Winkler é associado um sênior na Booz Allen Hamilton Inc., fornecendo consultoria técnica para principalmente e.u. clientes de governo. Ele é uma segurança de informações publicadas e pesquisador de segurança cibernética, bem como um especialista em invasões e detecção de anomalias.

© 2011 Elsevier Inc. Todos os direitos reservados. Impresso com permissão da Syngress, um selo da Elsevier. Copyright 2011. "Protegendo a nuvem" por Vic (J.R.) Winkler. Para obter mais informações sobre esse título e outros livros semelhantes, por favor visite elsevierdirect.com.

Conteúdo relacionado

• Microsoft Forefront: Proteger o acesso aos seus serviços em nuvem
• Nuvem de segurança: Compartilhá-lo com segurança soluções
• Computação em nuvem: Pronto para a nuvem