Aspectos Jurídicos de Cloud Computing

5.894 visualizações

Publicada em

Apresentação realizada no CNASI SP 2012

Publicada em: Tecnologia
  • Muito Show, obrigada por partilhar seus preciosos conhecimentos.
       Responder 
    Tem certeza que deseja  Sim  Não
    Insira sua mensagem aqui
  • Seja a primeira pessoa a gostar disto

Aspectos Jurídicos de Cloud Computing

  1. 1. Cloud Security Alliance Picture source: sxc.huAnchises Moraes G. de PaulaAndré SerralheiroWalter Capanema 1
  2. 2. Agenda• O que é Cloud Computing• Cloud Security Alliance• Aspectos Jurídicos• Tendências 2
  3. 3. Picture source: sxc.huCLOUD COMPUTINGO que é a computação em nuvem 3
  4. 4. O que é a computação em nuvem (1) “Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three service models, and four deployment models.” In “NIST Cloud Computing Standards Roadmap - Special Publication 500‐291” fonte: sxc.hu 4
  5. 5. O que é a computação em nuvem (2) In “Security Guidance for Critical Areas of Focus in Cloud Computing v3” fonte: sxc.hu 5
  6. 6. Picture source: sxc.huCLOUD SECURITY ALLIANCECloud Security Alliance e Capitulo Brasileiro 6
  7. 7. Cloud Security Alliance (CSA)– Associação sem fins lucrativos– Reúne pessoas físicas e empresas– Oficializada em dezembro de 2008– +35mil membros, +130 membros corporativos– Presente em 23 países através de 30 Chapterslocais (setembro/2012) 7
  8. 8. Missão“Promover a utilização Picture source: sxc.hudas melhores práticaspara fornecer garantiade segurança dentro deCloud Computing, eoferecer educaçãosobre os usos de CloudComputing para ajudara proteger todas asoutras formas decomputação.” 8
  9. 9. CSA Brasil• Segundo Chapter oficial da CSA – Oficializado em 27 de Maio de 2010• Segue Missão e Objetivos da CSA Global – Promover a Segurança em Cloud Computing – Promover pesquisas e iniciativas locais 9
  10. 10. Educação https://cloudsecurityalliance.org/education• Certificação “Certificate • Treinamento of Cloud Security – CCSK training Knowledge (CCSK)” – PCI Cloud training – Exame online – GRC Stack training – Custo de USD $295. https://ccsk.cloudsecurityalliance.org 10
  11. 11. Algumas das iniciativas de pesquisa https://cloudsecurityalliance.org/research 11
  12. 12. Iniciativa de pesquisa: Security Guidance for Critical Areas of Focus in Cloud Computing– Estabelece um guia de recomendações para adoptação segura e estavél das operações na nuvem;– Redifine dominios desde a ultima versão de forma a enfatizar segurança, estabilidade e privacidade;– Estabelece recomendações práticas e requerimentos que podem ser mensurados e auditados. https://cloudsecurityalliance.org/research/security-guidance/ 12
  13. 13. Iniciativa de pesquisa: CSA Security, Trust & Assurance Registry (STAR)– Registro gratuito e de acesso público dos controles de segurança de diversos provedores de Cloud Computing;– Relatórios de auto-avaliação sobre compliance com as melhores práticas publicadas pela CSA;– Ajuda os usuários a avaliarem a segurança dos provedores de Cloud. https://cloudsecurityalliance.org/star/ 13
  14. 14. Iniciativa de pesquisa: White Paper - Adoção de computação em Nuvem e suas motivações “Este documento destaca algumas das motivações mais comumente apontadas como justificativas para a adoção de Computação em Nuvem, bem como alguns dos aspectos a serem considerados quanto a cada uma destas motivações. Com este documento a CSA Brazil Chapter pretende contribuir com gestores e tomadores de decisão quanto à decisão sobre a adoção de Computação em Nuvem em suas organizações.” – Uelinton Santos, Luiz Augusto Amelotti, Filipe Villar, Eduardo Fedorowicz https://chapters.cloudsecurityalliance.org/brazil/2012/08/17/white- paper-adocao-de-computacao-em-nuvem-e-suas-motivacoes/ 14
  15. 15. Picture source: sxc.huASPECTOS JURÍDICOSNormas e Regramentos 15
  16. 16. ConceitoContrato de prestação de serviços em queuma empresa/pessoa física (PROVEDOR)permite o uso de seus recursoscomputacionais (rede, servidores, espaçoem disco, aplicações) por um CLIENTE. fonte: sxc.hu 16
  17. 17. Legislação AplicávelVai depender do modelo denegócio/cliente: fonte: sxc.hu 17
  18. 18. Contratos Local dos dados Backups e recuperação de CLÁUSULAS desastresNECESSÁRIAS Data retention Quem vai ter acesso e qual fonte: sxc.hu tipo 18
  19. 19. Contratos Requisitos de segurança e TI Auditoria externa CLÁUSULASNECESSÁRIAS Criptografia dos dados Tempo de resposta para fonte: sxc.hu recuperação 19
  20. 20. Contratos Destino dos dados com o fim do contrato Notificação sobre invasão/exposição CLÁUSULASNECESSÁRIAS Terceiros podem ter acesso aos dados? Provedor pode fonte: sxc.hu utilizar os dados? 20
  21. 21. Responsabilidade Civil Art. 927 Art. 14 fonte: sxc.hu 21
  22. 22. Responsabilidade Civil: Código Civil"Art. 927. Aquele que, por ato ilícito (arts. 186 e187), causar dano a outrem, fica obrigado a repará-lo.Parágrafo único. Haverá obrigação de reparar odano, independentemente de culpa, nos casosespecificados em lei, ou quando a atividadenormalmente desenvolvida pelo autor do danoimplicar, por sua natureza, risco para os direitos deoutrem." fonte: sxc.hu 22
  23. 23. Responsabilidade Civil: Código de Defesa do Consumidor"Art. 14. O fornecedor de serviços responde,independentemente da existência de culpa, pelareparação dos danos causados aos consumidorespor defeitos relativos à prestação dos serviços,bem como por informações insuficientes ouinadequadas sobre sua fruição e riscos". fonte: sxc.hu 23
  24. 24. Responsabilidade Civil: Problema Jurisprudencial Suspensão preventiva de conteúdoSTJ - Resp 1.316.921/RJ fonte: sxc.hu 24
  25. 25. Responsabilidade Civil:Problema Jurisprudencial Sistemanotice and take down (NTD) 25 25
  26. 26. Responsabilidade Civil: Problema Jurisprudencial Procedimento extrajudicial Suspensão Preventiva Análise daReclamação Reclamação Resposta (24 h) 26 26
  27. 27. Responsabilidade Civil: Problema JurisprudencialSe o provedor não fizer a suspensão preventivaResponde solidariamente com o autor da ofensa 27 27
  28. 28. Problemas Práticos: Extinção Unilateral no ContratoSe você deixar de cumprir ou a Apple suspeitar que vocêdeixou de cumprir quaisquer disposições desteContrato, a Apple, a seu exclusivo critério, sem aviso avocê, poderá: (i) rescindir o presente Contrato e/ou suaConta, e você permanecerá responsável por todos osmontantes devidos sob sua Conta até e incluindo a datada rescisão e/ou (ii) revogar a licença do software, e/ou(iii) impedir o acesso ao Serviço iTunes (ou qualquerparte dele).” 28
  29. 29. Problemas Práticos: Exclusão de Responsabilidade"You, and not Dropbox, are responsible formaintaining and protecting all of your stuff.Dropbox will not be liable for any loss orcorruption of your stuff, or for any costs orexpenses associated with backing up or restoringany of your stuff”. 29
  30. 30. Problemas Práticos: Acionar Empresa EstrangeiraArt. 88, Código de Processo Civil: "É competente aautoridade judiciária brasileira quando:(…)III - a ação se originar de fato ocorrido ou de atopraticado no Brasil." 30
  31. 31. Picture source: sxc.huTENDÊNCIASQue nuvens temos no horizonte? 31
  32. 32. BYOD• Múltiplos dispositivos• Acesso remoto aos Dados• Guarda de Dados• Múltiplas regras de segurança• Dispositivos de terceiros fonte: sxc.hu 32
  33. 33. Security as a Service (SecaaS)• Security Solutions fornecidas como e para as Cloud Computing – Novas soluções – Novos paradigmas – Dependencia dos Cloud providers fonte: sxc.hu 33
  34. 34. Global Regulatory Framework• Padronização de ofertas de Cloud Computing• Padronização da Segurança em Cloud Computing – “Trusted Cloud” – Assessement & Audit fonte: sxc.hu 34
  35. 35. Global Regulatory Framework• ISO/IEC working drafts – ISO/IEC 27017 – Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002 – ISO/IEC 27018 - Code of practice for data protection controls for public cloud computing services fonte: sxc.hu 35
  36. 36. Previsão do Tempo • Muitas nuvens a frente • Sujeito a chuvas e trovoadas esporádicas • Tenha sempre um guarda-chuva próximofonte: Wikimedia Commons 36
  37. 37. Contato• Anchises de Paula - adepaula@Verisign.com• André Serralheiro - serralheiro@gmail.com• Walter Capanema - contato@waltercapanema.com.br• Cloud Security Alliance https://www.cloudsecurityalliance.org• Cloud Security Alliance https://chapters.cloudsecurityalliance.org/brazil• Twitter - @csabr• Fan Page - https://www.facebook.com/CSA.CapituloBrasil 37
  38. 38. Picture source: sxc.huOBRIGADOAnchises Moraes G. de PaulaAndré SerralheiroWalter Capanema 38

×