Vídeo: O que é backup em nuvem? Tudo que você precisa saber (Novembro 2024)
À medida que a adoção da nuvem se torna onipresente, é mais importante do que nunca que as empresas entendam os regulamentos e as responsabilidades civis associadas ao armazenamento de dados e aplicativos na nuvem. Mais de 93% das empresas usam a nuvem de alguma maneira, de acordo com os resultados da pesquisa da Right Scale, uma empresa de gerenciamento de nuvens. Mas as empresas que armazenam dados em nuvens públicas e híbridas são particularmente suscetíveis à regulamentação e multas se ocorrer uma violação de dados ou se houver um tempo de inatividade significativo na nuvem.
A maioria das empresas, especialmente pequenas e médias empresas (SMBs), assina contratos de nível de serviço padrão (SLAs) com fornecedores de nuvem. Esses SLAs tendem a beneficiar mais o fornecedor do que o cliente e, como resultado, limitar os danos que os fornecedores de nuvem pagam se e quando ocorrer um desastre.
Para ajudar você a entender o que você precisa saber para se preparar melhor para as implicações legais da mudança para a nuvem e para ajudá-lo a descobrir se você está protegido caso sua nuvem pública ou híbrida seja violada, compilamos esta lista de Coisas a considerar.
1. Quem é responsável pelas informações do cliente após violações de dados?
Digamos que você armazene todos os dados de seus clientes na nuvem de terceiros. Se um hacker for capaz de violar essa nuvem, roubar seus dados e usá-los para prejudicar seus clientes, alguém acabará pagando multas civis. Dependendo da redação do seu SLA, é provável que o fornecedor da nuvem limite seus danos a "danos reais", em oposição aos "danos conseqüentes" pelos quais sua empresa provavelmente é responsável.
"Geralmente, um fornecedor redige seu contrato de forma que sua responsabilidade por negligência comum seja bastante mínima, geralmente limitada a 'danos reais' e geralmente limitada a qualquer valor que o cliente tenha pago ao fornecedor nos seis ou 12 meses anteriores. ", disse Steven Ayr, consultor de negócios da Fort Point Legal, empresa especializada em representar empreendedores e pequenas empresas. "Os danos reais são referidos como o dinheiro que o cliente pagou pelo serviço que não foi fornecido. Ao limitar os danos a 'danos reais', os contratos eliminam a possibilidade de o fornecedor ser responsabilizado por 'danos conseqüentes' e outras classes de danos como danos punitivos ".
Ayr descreve danos conseqüentes como perdas financeiras que estão a um passo de remover a violação ou o tempo de inatividade da nuvem. Por exemplo, se seu cliente deveria dar um grande discurso de vendas por meio de sua plataforma de colaboração on-line, mas não podia porque a nuvem estava inoperante, você seria responsável pelos danos conseqüentes desse tempo de inatividade.
O mesmo vale para violações de dados ou acidentes puros. A maioria dos SLAs limita os danos que os fornecedores de nuvem têm de pagar se hackers de elite invadirem sistemas de ponta ou se terceiros cortarem a conexão de fibra externa ao data center. Somente se o seu advogado puder provar "negligência grave" o fornecedor será o principal responsável pelos passivos financeiros de uma catástrofe na nuvem. A negligência grave geralmente se aplica a segurança insatisfatória ou ações nefastas intencionais tomadas pelo fornecedor.
2. Quem é responsável por enviar dados para órgãos governamentais?
Mesmo que você esteja trabalhando com o fornecedor de nuvem mais seguro do mundo, isso não significa que seus dados não possam ser acessados sem o seu consentimento e sem recurso legal do seu lado. Como você entrega seus dados a um fornecedor de nuvem, você está essencialmente dando permissão ao fornecedor para consentir em mandados governamentais. A maioria dos SLAs declara isso com muita clareza e é improvável que grandes fornecedores de nuvem, como Amazon Web Services (AWS) ou Microsoft Azure, estejam dispostos a alterar seu SLA padrão para uma empresa que não é uma conta de baleia branca.
Portanto, se você tem reservas extremas sobre invasões governamentais, provavelmente é melhor criar sua própria nuvem privada ou armazenar seus dados localmente. Nessas circunstâncias, você poderá combater o mandado e proteger os dados do cliente. Mas, se você optar por usar uma nuvem pública ou híbrida, é melhor esperar que seu fornecedor compartilhe sua intolerância com o Big Brother.
3. Quais são os regulamentos específicos para nuvens por região geográfica?
Já é bastante difícil acompanhar seus direitos sobre como seus dados são gerenciados nos EUA. Infelizmente, os regulamentos globais diferem para cada país específico e, em alguns casos, dentro de cada jurisdição em cada país específico. Se você é uma empresa multinacional com provedores de serviços em nuvem em diferentes geografias, está com uma grande dor de cabeça tentando entender e gerenciar os regulamentos e responsabilidades associados.
Segundo Ayr, é crucial que as empresas que armazenam dados trabalhem globalmente com advogados para identificar os tipos de dados que estão armazenando, as geografias em que estão armazenando os dados e quais são as leis específicas nessas jurisdições.
"Porém, isso pode ser um trabalho lento e caro", disse Ayr, "porque você paga alguém para gastar seu tempo pesquisando as leis de várias jurisdições com as quais não está familiarizado, contrate um advogado em cada jurisdição que já conhece essas leis ou contrata um especialista no assunto muito caro que já conhece os meandros de cada jurisdição ".
Infelizmente, a maneira mais fácil e econômica de garantir a conformidade em cada jurisdição é colocar o ônus no seu provedor de serviços. Como os provedores de serviços globais já expandiram seus negócios e fizeram o trabalho braçal para determinar como os dados devem ser tratados globalmente, é mais provável que eles tenham as informações e práticas recomendadas.
"Afinal, é muito mais barato contratar um advogado para revisar os termos de serviço de um fornecedor do que contratar um advogado para criar termos compatíveis e depois negociá-los com um fornecedor", disse Ayr. Mas isso também significa que você depende de SLAs e já exploramos as maneiras importantes pelas quais um SLA pode trabalhar em favor do fornecedor.
4. Por que você deve se sentir confortável em armazenar dados na nuvem?
Nos EUA, a maioria das empresas é protegida por leis de segurança de dados que governam o tratamento de informações de identificação pessoal (PII). Essas leis exigem que os fornecedores criem políticas escritas descrevendo suas estratégias de proteção de dados e os forçam a aceitar pelo menos alguma responsabilidade por violações e tempo de inatividade. No caso de uma violação, essas leis também tornam obrigatório denunciá-lo ao Procurador-Geral. Em Massachusetts, por exemplo, essa lei é chamada 201 CMR 17.00. Na Califórnia, a lei é chamada SB 1386. Até a presente data, 47 estados dos EUA têm leis similares nos livros.
Se as leis não forem suficientes para deixá-lo à vontade (e não deveriam ser), existem fornecedores de nuvem que se comercializam como defensores da privacidade e segurança. Empresas como o provedor de serviços de recuperação de desastre (DR) Spider Oak são conhecidas como serviços em nuvem de conhecimento zero; eles criptografam dados nos dispositivos de seus clientes antes de fazer o upload dos dados na nuvem. Zero conhecimento significa que o Spider Oak e seus concorrentes nunca lidam com dados descriptografados. Essa prática os ajuda a limitar o risco potencial e a nunca se colocar em uma posição em que são obrigados a entregar dados a entidades governamentais.
"Há um bom número de riscos que as organizações geralmente ignoram ao migrar sistemas e serviços para a nuvem", disse Mike McCamon, presidente e CMO da Spider Oak. "Resumiríamos os quatro primeiros como segurança, privacidade, continuidade e controle".
"Em nenhum momento temos uma senha ou uma versão dos dados descriptografados", acrescentou McCamon. "Até nossos próprios administradores de sistema não conseguem saber mais sobre um cliente do que o volume de dados armazenados em nosso sistema. Os únicos dados que coletamos sobre os usuários são um endereço de e-mail e informações de cobrança, caso exijam um plano de serviço".
Independentemente de as empresas trabalharem ou não com grandes fornecedores, como Amazon e Microsoft, ou pequenos fornecedores de conhecimento zero, como Spider Oak, eles continuarão a usar a nuvem, afirma Ayr.
"No meu trabalho com empresas iniciantes, geralmente não vejo empresas especialmente preocupadas com o uso da nuvem", disse Ayr. "Se alguma coisa, novas empresas, para o bem ou para o mal, vêem a nuvem tão segura e normal quanto colocar documentos em um arquivo".