Rhand Leal
novembro 1, 2016
Com a conformidade obrigatória com a Regulamentação Geral de Proteção de Dados da União Europeia (European Union General Data Protection Regulation – EU GDPR) cada vez mais próxima, organizações que lidam com dados pessoais de cidadãos europeus estão se apressando para adaptar suas operações aos novos requisitos para evitar problemas com clientes e autoridades.
Com relação a serviços de infraestrutura em nuvem, um esforço em particular pode vir a ajudar provedores e seus clientes. Este artigo dará uma visão geral do Código de Conduta da CISPE, como ele pode ajudar a assegurar que o processamento de dados pessoais seja feito de acordo com a EU GDPR (leia o artigo O que é a EU GDPR por que ela é aplicável para todo o mundo? para saber mais sobre a EU GDPR), e como a série de normas ISO 27001 está relacionada a ele.
A CISPE, sigla para Cloud Infrastructure Service Providers in Europe (Provedores de Serviço de Infraestrutura em Nuvem), é uma coalização de mais de 20 companhias de tecnologia focadas no provisionamento de serviços de infraestrutura de computação em nuvem, operando em mais de 15 países europeus. Seu trabalho:
O Código de Conduta da CISPE, atualmente em uma versão preliminar liberada em 26 de setembro de 2016, tem como propósito guiar clientes na avaliação se Provedores de Serviço de Infraestrutura em Nuvem (Cloud Infrastructure Service Providers – CISPs), atuando como processadores de dados (não tomam decisões com relação aos dados), são adequados para suas necessidades relacionadas ao processamento de dados pessoais, considerando os requisitos da EU GDPR. Ele é estruturado em sete seções e dois anexos (Responsabilidades de Segurança e Modelo de Declaração de Aderência):
Em termos de escopo, aspectos relevantes do código são que ele é aplicável de acordo com o serviço provido, e o serviço deve ser provido inteiramente dentro da Área Econômica Europeia (European Economic Area – EEA). Informações sobre aderência serão apresentadas a seguir neste artigo.
Os requisitos para proteção de dados cobrem as responsabilidades dos CISP’s através da definição de requisitos contratuais e legais, condições operacionais e de segurança, tratativa de solicitações de dados, e demonstração de conformidade.
Requisitos de transparência lidam com os métodos que os CISPs deveriam considerar para aprovar aos seus clientes informações sobre controles de segurança implementados, tais como acordos de serviço, objetivos de segurança e normas aplicáveis, processos de gestão de riscos e de garantia, entre outros.
Finalmente, requisitos de governança estabelecem as condições para o código ser continuamente atualizado e melhorado, pela definição da estrutura de governança da CISPE, condições de aderência, uso de marcas de conformidade, práticas de tratativa de reclamações, imposição de práticas e do código, e o processo de revisão das orientações.
Em uma Infraestrutura como Serviço (Infrastructure as a Service – IaaS), o principal negócio dos CISPs, existem estas situações:
As situações 3 e 4 claramente representam um risco de negócio para os CISPs. Sem saber quais clientes lidam com dados pessoais, um provedor pode incorrer em super dimensionar seus controles de segurança, aumentando seus custos operacionais, ou em sub dimensioná-los, colocando dados dos clientes em risco, e tornando-se responsável em caso de incidente.
Considerando este cenário, o código de conduta pode ajudar com a definição de:
Contudo, é importante notar que em nenhum momento este código deveria ser usado com o substituto para a EU GPDR, contratos, ou outras leis aplicáveis, apenas como material de apoio a avaliação.
Estes são os tópicos que considero interessante quando comparo o Código com a série de normas ISO 27001:
Assim, se um CISP já implementou um sistema de gestão ISO, ou mais especificamente a ISO 27001 e suas normas complementares, será muito mais fácil estar em conformidade com o Código.
Muito embora os provedores de serviço de infraestrutura em nuvem tenham de pouco a nenhum contato com os dados de clientes, os requisitos legais que estão por vir, como a EU GPDR, irão requerer que eles façam seus melhores esforços para ajudar a evitar o mau uso de dados e vazamentos.
Neste cenário, considero que o Código como uma grande ajuda no entendimento de como proteger IaaS em geral, e dentro do mercado da União Europeia em particular. A transparência que ela traz para a relação provedor-cliente pode ajudar a criar um ambiente confiável que beneficiará os CISPs, como mais eficiência operacional e menos perdas devido a incidentes, e os clientes, assegurados por um alto nível padrão de proteção de dados.
Com relação a implementação, operação e manutenção do Código, os CISPs que já implementaram normas de gestão ISO, especialmente a série de normas ISO 27001, acharão mais fácil atingir a conformidade, e para aqueles que não implementaram estas normas, estas são um grande ponto de partida.
Para saber mais sobre a ISO 27001 e ter uma ideia de como ela se ajusta com outras estruturas de segurança, por favor veja nosso treinamento online gratuito ISO 27001:2013 Foundations Course.