Proteção da Privacidade de Dados, ISO 27001 e o Código de Conduta da CISPE

Com a conformidade obrigatória com a Regulamentação Geral de Proteção de Dados da União Europeia (European Union General Data Protection Regulation – EU GDPR) cada vez mais próxima, organizações que lidam com dados pessoais de cidadãos europeus estão se apressando para adaptar suas operações aos novos requisitos para evitar problemas com clientes e autoridades.

Com relação a serviços de infraestrutura em nuvem, um esforço em particular pode vir a ajudar provedores e seus clientes. Este artigo dará uma visão geral do Código de Conduta da CISPE, como ele pode ajudar a assegurar que o processamento de dados pessoais seja feito de acordo com a EU GDPR (leia o artigo O que é a EU GDPR por que ela é aplicável para todo o mundo? para saber mais sobre a EU GDPR), e como a série de normas ISO 27001 está relacionada a ele.

O que é a CISPE?

A CISPE, sigla para Cloud Infrastructure Service Providers in Europe (Provedores de Serviço de Infraestrutura em Nuvem), é uma coalização de mais de 20 companhias de tecnologia focadas no provisionamento de serviços de infraestrutura de computação em nuvem, operando em mais de 15 países europeus. Seu trabalho:

• Na adoção de serviços em nuvem como a primeira opção em aquisições públicas;
• No uso coerente de requisitos de segurança e normas técnicas aplicáveis a União Europeia;
• No suporte aos requisitos de privacidade de clientes através de um Código de Conduta
• Na manutenção de um mercado de infraestrutura em nuvem saudável na União Europeia
• Na manutenção de um nível justo de obrigações de monitoramento de conteúdo na estrutura legal da União Europeia

O Código de Conduta da CISPE

O Código de Conduta da CISPE, atualmente em uma versão preliminar liberada em 26 de setembro de 2016, tem como propósito guiar clientes na avaliação se Provedores de Serviço de Infraestrutura em Nuvem (Cloud Infrastructure Service Providers – CISPs), atuando como processadores de dados (não tomam decisões com relação aos dados), são adequados para suas necessidades relacionadas ao processamento de dados pessoais, considerando os requisitos da EU GDPR. Ele é estruturado em sete seções e dois anexos (Responsabilidades de Segurança e Modelo de Declaração de Aderência):

1. Estrutura do código
2. Propósito
3. Escopo
4. Aderência
5. Requisitos para processamento de dados
6. Requisitos para transparência
7. Governança

Em termos de escopo, aspectos relevantes do código são que ele é aplicável de acordo com o serviço provido, e o serviço deve ser provido inteiramente dentro da Área Econômica Europeia (European Economic Area – EEA). Informações sobre aderência serão apresentadas a seguir neste artigo.

Os requisitos para proteção de dados cobrem as responsabilidades dos CISP’s através da definição de requisitos contratuais e legais, condições operacionais e de segurança, tratativa de solicitações de dados, e demonstração de conformidade.

Requisitos de transparência lidam com os métodos que os CISPs deveriam considerar para aprovar aos seus clientes informações sobre controles de segurança implementados, tais como acordos de serviço, objetivos de segurança e normas aplicáveis, processos de gestão de riscos e de garantia, entre outros.

Finalmente, requisitos de governança estabelecem as condições para o código ser continuamente atualizado e melhorado, pela definição da estrutura de governança da CISPE, condições de aderência, uso de marcas de conformidade, práticas de tratativa de reclamações, imposição de práticas e do código, e o processo de revisão das orientações.

Como o Código de Conduta da CISPE pode ajudar provedores e seus clientes?

Em uma Infraestrutura como Serviço (Infrastructure as a Service – IaaS), o principal negócio dos CISPs, existem estas situações:

1. Os CISPs proveem apenas infraestrutura de hardware ou computação virtualizadas.
2. Os clientes têm a flexibilidade para escolher como usar a infraestrutura.
3. A menos que declarado pelos clientes, os CISPs não podem dizer se suas infraestruturas estão sendo usadas para processar dados pessoais.
4. A forma mais eficiente de prover infraestrutura é pela definição de níveis de serviço, ao invés de ajustá-los considerando casos individuais de clientes.

As situações 3 e 4 claramente representam um risco de negócio para os CISPs. Sem saber quais clientes lidam com dados pessoais, um provedor pode incorrer em super dimensionar seus controles de segurança, aumentando seus custos operacionais, ou em sub dimensioná-los, colocando dados dos clientes em risco, e tornando-se responsável em caso de incidente.

Considerando este cenário, o código de conduta pode ajudar com a definição de:

• Responsabilidades específicas para CISPs e clientes considerando a proteção de dados pessoais
• Requisitos para assegurar que CISPs estabeleçam práticas adequadas de segurança da informação e transparência com relação a proteção de dados e relacionamento com clientes
• Uma estrutura pela qual clientes possam verificar se os CISPs estão em conformidade com seus requisitos considerando a lei de proteção de dados da União Europeia

Contudo, é importante notar que em nenhum momento este código deveria ser usado com o substituto para a EU GPDR, contratos, ou outras leis aplicáveis, apenas como material de apoio a avaliação.

O alinhamento do Código de Conduta da CISPE com a série de normas ISO 27001

Estes são os tópicos que considero interessante quando comparo o Código com a série de normas ISO 27001:

• A adoção do Código, como na ISO 27001, é voluntária, e pode ser aplicado para um ou vários serviços de um CISP, de acordo com seus objetivos.
• A seção 7 do Código de Conduta da CISPE, requer o estabelecimento de uma estrutura de governança direcionada para apoiar a implementação, gestão e evolução do código, similar a ISO 27001.
• Com relação as práticas de segurança, elas podem fazer uso das recomendações da ISO 27002, ISO 27017 e ISO 27018. Para mais informação, veja: ISO 27001 vs. ISO 27017 – Information security controls for cloud services e ISO 27001 vs. ISO 27018 – Standard for protecting privacy in the cloud.
• A demonstração de conformidade pode ser feita por certificação por auditores de terceira parte independentes, ou por auto declaração de conformidade (apenas até a EU GPDR se tornar obrigatória, em 25de maio de 2018). Para a ISO 27001, também há a auto declaração (sem prazo definido), mas muitos clientes procuram por organizações certificadas. Nenhum requisito pode ser excluído.

Assim, se um CISP já implementou um sistema de gestão ISO, ou mais especificamente a ISO 27001 e suas normas complementares, será muito mais fácil estar em conformidade com o Código.

Adotar o Código é uma sábia decisão

Muito embora os provedores de serviço de infraestrutura em nuvem tenham de pouco a nenhum contato com os dados de clientes, os requisitos legais que estão por vir, como a EU GPDR, irão requerer que eles façam seus melhores esforços para ajudar a evitar o mau uso de dados e vazamentos.

Neste cenário, considero que o Código como uma grande ajuda no entendimento de como proteger IaaS em geral, e dentro do mercado da União Europeia em particular. A transparência que ela traz para a relação provedor-cliente pode ajudar a criar um ambiente confiável que beneficiará os CISPs, como mais eficiência operacional e menos perdas devido a incidentes, e os clientes, assegurados por um alto nível padrão de proteção de dados.

Com relação a implementação, operação e manutenção do Código, os CISPs que já implementaram normas de gestão ISO, especialmente a série de normas ISO 27001, acharão mais fácil atingir a conformidade, e para aqueles que não implementaram estas normas, estas são um grande ponto de partida.

Para saber mais sobre a ISO 27001 e ter uma ideia de como ela se ajusta com outras estruturas de segurança, por favor veja nosso treinamento online gratuito  ISO 27001:2013 Foundations Course.