O documento discute aspectos legais e regulatórios em computação em nuvem. Primeiro, define computação em nuvem e discute seus modelos de serviço. Em seguida, aborda questões jurídicas como responsabilidade civil e legislação aplicável, como o Marco Civil da Internet. Por fim, examina novas regulamentações globais sobre privacidade de dados e padronização de serviços em nuvem.
5. 5
O que é a computação em nuvem (1)
“Cloud computing is a model for enabling
ubiquitous, convenient, on-demand network access
to a shared pool of configurable computing
resources (e.g., networks, servers, storage,
applications, and services) that can be rapidly
provisioned and released with minimal
management effort or service provider interaction.”
In “NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”
7. 7
O que é a computação em nuvem (3)
fonte: sxc.hu
Software as a Service
(SaaS)
Infrastructure as a Service
(IaaS)
Platform as a Service
(PaaS)
Provedor de
Computação
em Nuvem
Cliente de
Computação
em Nuvem
8. 8
Receios para adoção da Nuvem
8Fonte: ISACA, “Why Cloud Computing Should Be Part of Business Strategy” (2015)
9. 9
Benefícios de segurança: patches e
antivírus atualizados, proteção contra
spam, etc
Aumento na segurança da empresa
Melhorias em disponibilidade do
serviço
Nuvem e Segurança
Fonte: Microsoft, “Small and midsize businesses cloud trust study: U.S. study results”
94%
91%
75%
12. 12
Contrato de prestação de
serviços em que uma
empresa/pessoa física
(PROVEDOR) permite o
uso de seus recursos
computacionais
(rede, servidores, espaço
em disco, aplicações) por
um CLIENTE.
Conceito
fonte: sxc.hu
13. 13
Vai depender do modelo de
negócio / cliente:
Legislação Aplicável
fonte: sxc.hu
15. 15
Responsabilidade Civil:
Código Civil
fonte: sxc.hu
"Art. 927. Aquele que, por ato ilícito (arts. 186 e
187), causar dano a outrem, fica obrigado a repará-
lo.
Parágrafo único. Haverá obrigação de reparar o
dano, independentemente de culpa, nos casos
especificados em lei, ou quando a atividade
normalmente desenvolvida pelo autor do dano
implicar, por sua natureza, risco para os direitos de
outrem."
16. 16
Responsabilidade Civil:
Código de Defesa do Consumidor
fonte: sxc.hu
"Art. 14. O fornecedor de serviços responde,
independentemente da existência de culpa, pela
reparação dos danos causados aos consumidores
por defeitos relativos à prestação dos serviços,
bem como por informações insuficientes ou
inadequadas sobre sua fruição e riscos".
17. 17
• Lei nº 12.965
de 23 de Abril de 2014
• Direitos e garantias dos
usuários de Internet
Marco Civil da Internet
18. 18
• Proteger a privacidade
do usuário
– Dados pessoais e
registros de acesso
• Exigência de termos de
uso claros
Art. 7°, incisos VII a XI
VII – não fornecimento a terceiros de seus dados pessoais,
inclusive registros de conexão, e de acesso a aplicações de
internet, salvo mediante consentimento livre, expresso e
informado ou nas hipóteses previstas em lei;
VIII – informações claras e completas sobre coleta, uso,
armazenamento, tratamento e proteção de seus dados
pessoais, que somente poderão ser utilizados para finalidades
que:
a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de
serviços ou em termos de uso de aplicações de internet;
IX – consentimento expresso sobre coleta, uso,
armazenamento e tratamento de dados pessoais, que deverá
ocorrer de forma destacada das demais cláusulas contratuais;
X – exclusão definitiva dos dados pessoais que tiver fornecido
a determinada aplicação de internet, a seu requerimento, ao
término da relação entre as partes, ressalvadas as hipóteses
de guarda obrigatória de registros previstas nesta Lei;
XI – publicidade e clareza de eventuais políticas de uso dos
provedores de conexão à internet e de aplicações de internet;
Marco Civil da Internet
19. 19
• Aplicação da Legislação
Brasileira
• Mesmo se o Provedor
de Cloud tem sede no
exterior
Art. 11
Em qualquer operação de coleta, armazenamento,
guarda e tratamento de registros, de dados pessoais ou
de comunicações por provedores de conexão e de
aplicações de internet em que pelo menos um desses
atos ocorra em território nacional, deverão ser
obrigatoriamente respeitados a legislação brasileira e os
direitos à privacidade, à proteção dos dados pessoais e
ao sigilo das comunicações privadas e dos registros.
§ 1º O disposto no caput aplica-se aos dados coletados
em território nacional e ao conteúdo das comunicações,
desde que pelo menos um dos terminais esteja
localizado no Brasil.
§ 2º O disposto no caput aplica-se mesmo que as
atividades sejam realizadas por pessoa jurídica sediada
no exterior, desde que oferte serviço ao público
brasileiro ou pelo menos uma integrante do mesmo
grupo econômico possua estabelecimento no Brasil.
(...)
Marco Civil da Internet
20. 20
• Dever de guarda de logs
de aplicação
• Prazo de 6 meses
• Vale para Provedores de
Aplicação que sejam
pessoas jurídicas
Art. 15
O provedor de aplicações de internet constituído na forma de
pessoa jurídica e que exerça essa atividade de forma organizada,
profissionalmente e com fins econômicos deverá manter os
respectivos registros de acesso a aplicações de internet, sob sigilo,
em ambiente controlado e de segurança, pelo prazo de 6 (seis)
meses, nos termos do regulamento.
§ 1º Ordem judicial poderá obrigar, por tempo certo, os provedores
de aplicações de internet que não estão sujeitos ao disposto no
caput a guardarem registros de acesso a aplicações de internet,
desde que se trate de registros relativos a fatos específicos em
período determinado.
§ 2º A autoridade policial ou administrativa ou o Ministério Público
poderão requerer cautelarmente a qualquer provedor de
aplicações de internet que os registros de acesso a aplicações de
internet sejam guardados, inclusive por prazo superior ao previsto
no caput, observado o disposto nos §§ 3º e 4º do art. 13.
§ 3º Em qualquer hipótese, a disponibilização ao requerente dos
registros de que trata este artigo deverá ser precedida de
autorização judicial, conforme disposto na Seção IV deste Capítulo.
§ 4º Na aplicação de sanções pelo descumprimento ao disposto
neste artigo, serão considerados a natureza e a gravidade da
infração, os danos dela resultantes, eventual vantagem auferida
pelo infrator, as circunstâncias agravantes, os antecedentes do
infrator e a reincidência.
Marco Civil da Internet
21. 21
• Provedor de Aplicação
só responde por
conteúdo de terceiro se
intimado judicialmente
e nada fizer
Art. 19
Com o intuito de assegurar a liberdade de expressão e
impedir a censura, o provedor de aplicações de internet
somente poderá ser responsabilizado civilmente por danos
decorrentes de conteúdo gerado por terceiros se, após ordem
judicial específica, não tomar as providências para, no âmbito
e nos limites técnicos do seu serviço e dentro do prazo
assinalado, tornar indisponível o conteúdo apontado como
infringente, ressalvadas as disposições legais em contrário.
§ 1º A ordem judicial de que trata o caput deverá conter, sob
pena de nulidade, identificação clara e específica do conteúdo
apontado como infringente, que permita a localização
inequívoca do material.
§ 2º A aplicação do disposto neste artigo para infrações a
direitos de autor ou a direitos conexos depende de previsão
legal específica, que deverá respeitar a liberdade de
expressão e demais garantias previstas no art. 5º da
Constituição Federal.
(...)
Marco Civil da Internet
24. 24
• Leis de Privacidade de
Dados
• Padronização de ofertas
de Cloud Computing
• Padronização da
Segurança em Cloud
Computing
– “Trusted Cloud”
– Assessement & Audit
Iniciativas Regulatórias Globais
fonte: sxc.hu
25. 25
Privacidade de Dados no Brasil
• PL 4060/2012,
deputado Milton Monti
(PR-SP)
• MJ: Anteprojeto de lei
de proteção de dados
pessoais
fonte: sxc.hu
26. 26
• PL 5344/2013,
deputado Ruy Carneiro
(PSDB-PB)
– Relações entre usuários
e empresas
fornecedoras
– Responsabilidade pelos
dados
– “Neutralidade
tecnológica e de rede”
Iniciativas Regulatórias no Brasil
fonte: sxc.hu
27. 27
Iniciativas Regulatórias Globais
fonte: sxc.hu
• Iniciativas da ISO/IEC
– ISO/IEC 27017:2015 –
Guidelines on information
security controls for the
use of cloud computing
services based on ISO/IEC
27002
– ISO/IEC 27018:2014 –
Code of practice for data
protection controls for
public cloud computing
services
28. 28
Guidelines on
Information Security
Controls for the use
of Cloud Computing
Services based on
ISO/IEC 27002
• Diretrizes que
adicionam e
complementam as
oferecidas na norma
ISO/IEC 27002
• Controles de segurança
específicos para
ambientes em nuvem
ISO/IEC 27017
29. 29
Seção 6.1.1
Information security roles
and responsibilities
Exemplo - ISO/IEC 27017
Fonte: http://www.iso27001security.com/html/27017.html
30. 30
NBR 27002:2013
Seção 12.4.3 - Registros de eventos (log) de administrador e
operador
Controle
Convém que as atividades dos administradores e operadores do
sistema sejam registradas e os registros (logs) protegidos e analisados
criticamente, a intervalos regulares.
Diretrizes para implementação
As pessoas que possuem conta de usuário privilegiado podem ser
capazes de manipular os registros (logs) nos recursos de
processamento da informação que estão sob o seu controle direto,
sendo portanto necessário proteger e analisar criticamente os
registros (logs) para manter o controle dos usuários privilegiados.
Exemplo - ISO/IEC 27017
Fonte: http://www.iso27001security.com/html/27017.html
31. 31
Como vai ficar a NBR 27017
Seção 12.4.3 - Registros de eventos (log) de administrador e
operador
O controle 12.4.3, a diretriz de implementação associada e outras
informações especificadas na ABNT NBR ISO/IEC 27002 são aplicáveis. As
seguintes diretrizes específicas do setor também se aplicam.
Diretrizes para implementação de serviços em nuvem:
Exemplo - ISO/IEC 27017
Fonte: http://www.iso27001security.com/html/27017.html
Cliente do serviço em nuvem Provedor de serviço em nuvem
Se uma operação privilegiada é delegada ao
cliente do serviço em nuvem, a operação e o
desempenho dessas operações devem ser
registradas. O cliente do serviço em nuvem deve
determinar se os recursos de registro fornecidos
pelo provedor de serviço em nuvem são
apropriados ou se o cliente do serviço em nuvem
deve implementar tais capacidades adicionais de
registro (log).
(nenhuma diretriz de implementação adicional)
33. 33
• ABNT participou da
elaboração da norma
ISO/IEC 27017
• Versão Brasileira deve ir para
consulta nacional em breve (dez/2015):
NBR 27017 - Código de prática para controles
de segurança da informação com base na
norma ISO/IEC 27002 para serviços em nuvem
NBR 27017
www.abnt.org.br
34. 34
• Avaliação da segurança
dos provedores de
Nuvem
– Auto-avaliação
– Auditoria e certificação
• Baseado nas melhores
práticas da CSA
– Cloud Controls Matrix
(CCM)
CSA Security, Trust & Assurance
Registry (STAR)
Picture source: http://www.sxc.hu
Novos Aspectos Legais e Regulatórios em Cloud Computing
Sumário: A crescente popularização do conceito de Cloud Computing e sua
adoção pelas empresas resulta na necessidade de normatização e
padronização da qualidade e segurança dessa nova tecnologia. É
imperativo que as empresas, antes de celebrar qualquer contrato a
respeito de tal serviço, conheçam as regras tecnológicas e científicas,
bem como os seus direitos e deveres legais.
Nesta apresentação, pretendemos discutir a necessidade de se
estabelecerem normas técnicas/científicas e regras jurídicas para apoiar
as empresas no processo de contratação de serviços baseados na nuvem,
assim como apresentar as principais iniciativas e projetos existentes
nesta frente.
Source: “NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”
Essential Characteristics:
On-demand self-service. A consumer can unilaterally provision computing capabilities, such as server time and network storage, as needed automatically without requiring human interaction with each service’s provider.
Broad network access. Capabilities are available over the network and accessed through standard mechanisms that promote use by heterogeneous thin or thick client platforms (e.g., mobile phones, laptops, and personal digital assistants [PDAs]).
Resource pooling. The provider’s computing resources are pooled to serve multiple consumers using a multi-tenant model, with different physical and virtual resources dynamically assigned and reassigned according to consumer demand. There is a sense of location independence in that the customer generally has no control or knowledge over the exact location of the provided resources but may be able to specify location at a higher level of abstraction (e.g., country, state, or datacenter). Examples of resources include storage, processing, memory, network bandwidth, and virtual machines.
Rapid elasticity. Capabilities can be rapidly and elastically provisioned, in some cases automatically, to quickly scale out and rapidly released to quickly scale in. To the consumer, the capabilities available for provisioning often appear to be unlimited and can be purchased in any quantity at any time.
Measured Service. Cloud systems automatically control and optimize resource use by leveraging a metering capability at some level of abstraction appropriate to the type of service (e.g., storage, processing, bandwidth, and active user accounts). Resource usage can be monitored, controlled, and reported, providing transparency for both the provider and consumer of the utilized service.
Service Models:
Cloud Software as a Service (SaaS). The capability provided to the consumer is to use the provider’s applications running on a cloud infrastructure. The applications are accessible from various client devices through a thin client interface such as a Web browser (e.g., Web-based email). The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, storage, or even individual application capabilities, with the possible exception of limited userspecific application configuration settings.
Cloud Platform as a Service (PaaS). The capability provided to the consumer is to deploy onto the cloud infrastructure consumer-created or acquired applications created using programming languages and tools supported by the provider. The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, or storage, but has control over the deployed applications and possibly application hosting environment configurations.
Cloud Infrastructure as a Service (IaaS). The capability provided to the consumer is to provision processing, storage, networks, and other fundamental computing resources where the consumer is able to deploy and run arbitrary software, which can include operating systems and applications. The consumer does not manage or control the underlying cloud infrastructure but has control over operating systems, storage, deployed applications, and possibly limited control of select networking components (e.g., host firewalls).
Deployment Models:
Private cloud. The cloud infrastructure is operated solely for an organization. It may be managed by the organization or a third party and may exist on premise or off premise.
Community cloud. The cloud infrastructure is shared by several organizations and supports a specific community that has shared concerns (e.g., mission, security requirements, policy, and compliance considerations). It may be managed by the organizations or a third party and may exist on premise or off premise.
Public cloud. The cloud infrastructure is made available to the general public or a large industry group and is owned by an organization selling cloud services.
Hybrid cloud. The cloud infrastructure is a composition of two or more clouds (private, community, or public) that remain unique entities but are bound together by standardized or proprietary technology that enables data and application portability (e.g., cloud bursting for load balancing between clouds).
https://downloads.cloudsecurityalliance.org/assets/research/collaborative/Cloud-Computing-Market-Maturity_whp_eng_0715.pdf
94% das PME têm experimentado os benefícios de segurança, tais como up-to-date sistema de patching, up-to-date antivírus protecção e gestão de spam e-mail.
91% das PME têm visto na segurança da empresa.
75% das PME experimentaram melhorias em disponibilidade do serviço.
https://downloads.cloudsecurityalliance.org/assets/research/collaborative/Cloud-Computing-Market-Maturity_whp_eng_0715.pdf
94% das PME têm experimentado os benefícios de segurança, tais como up-to-date sistema de patching, up-to-date antivírus protecção e gestão de spam e-mail.
91% das PME têm visto na segurança da empresa.
75% das PME experimentaram melhorias em disponibilidade do serviço.
art. 7°, incisos VII a XI;
exigência de termos de uso claros e que protejam a privacidade do usuário (seja ele pessoa física ou jurídica)
art. 11, caput - lê-se " cáput"
A legislacao brasileira sera aplicada ao provedor de cloud mesmo que ele tenha sede no exterior, desde que " em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional
art. 15
o dever de guarda de logs de aplicação pelo prazo de 6 meses apenas para os provedores de aplicação organizados comercialmente, e que sejam pessoas jurídicas (com isso, esse dever não se aplica aos provedores que são pessoas físicas ou associações sem fins lucrativos)
Observação:
alguns atividades digitais entendem que a guarda de logs de aplicação criaria um monitoramento excessivo do usuário. As empresas de TI entendem que o prazo de guarda é razoável.
a guarda de logs de aplicação é fundamental para a descoberta do eventual causador de um delito. A sua guarda, por prazo temporário, não ofende a privacidade do indivíduo. Ela tem as mesmas características de um histórico de ligacoes telefonicas. Entendo, tambem, que o prazo de guarda eh muito pequeno. Alguns processos e investigacoes sao muito demorados. E o custo do storage diminuiu sensivelmente.
art. 19
A responsabilidade civil do provedor de aplicação: ele só responde por conteúdo gerado por terceiro apenas se for intimado judicialmente e não o fizer
Picture source: http://sxc.hu
Fonte da imagem: http://www.sxc.hu
Standard Cloud offerings
Standard security procedures
Leis para proteção de dados pessoais
PL 4060/2012, deputado Milton Monti (PR-SP) - http://www2.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=548066
MJ: http://pensando.mj.gov.br/dadospessoais/
Fonte da imagem: http://www.sxc.hu
09/04/2013: Projeto de Lei n. 5344/2013, pelo Deputado Ruy Carneiro (PSDB-PB), que: "Dispõe sobre diretrizes gerais e normas para a promoção, desenvolvimento e exploração da atividade de computação em nuvem no País”
http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=570970
http://www.iso27001security.com/html/27017.html
http://www.iso27001security.com/html/27017.html
http://www.iso27001security.com/html/27017.html
CSA Security, Trust & Assurance Registry (STAR)
CSA STAR is the industry’s most powerful program for security assurance in the cloud. STAR encompasses key principles of transparency, rigorous auditing, harmonization of standards, with continuous monitoring also available in late 2015. STAR certification provides multiple benefits, including indications of best practices and validation of security posture of cloud offerings.
STAR consists of three levels of assurance, which currently cover four unique offerings all based upon a succinct yet comprehensive list of cloud-centric control objectives in the CSA’s Cloud Controls Matrix (CCM). CCM is the only meta-framework of cloud-specific security controls, mapped to leading standards, best practices and regulations. CCM provides organizations with the needed structure, detail and clarity relating to information security tailored to cloud computing.
The STAR program includes a complimentary registry that documents the security controls provided by popular cloud computing offerings. This publicly accessible registry is designed for users of cloud services to assess their cloud providers, security providers and advisory and assessment services firms in order to make the best procurement decisions.
CSA Security, Trust & Assurance Registry (STAR)
CSA STAR is the industry’s most powerful program for security assurance in the cloud. STAR encompasses key principles of transparency, rigorous auditing, harmonization of standards, with continuous monitoring also available in late 2015. STAR certification provides multiple benefits, including indications of best practices and validation of security posture of cloud offerings.
STAR consists of three levels of assurance, which currently cover four unique offerings all based upon a succinct yet comprehensive list of cloud-centric control objectives in the CSA’s Cloud Controls Matrix (CCM). CCM is the only meta-framework of cloud-specific security controls, mapped to leading standards, best practices and regulations. CCM provides organizations with the needed structure, detail and clarity relating to information security tailored to cloud computing.
The STAR program includes a complimentary registry that documents the security controls provided by popular cloud computing offerings. This publicly accessible registry is designed for users of cloud services to assess their cloud providers, security providers and advisory and assessment services firms in order to make the best procurement decisions.