Aspectos jurídicos e segurança na computação em nuvem
•Als PPTX, PDF herunterladen•
1 gefällt mir•721 views
A crescente popularização da Computação em Nuvem resulta na necessidade de normatização e padronização da qualidade e segurança dessa nova tecnologia. É imperativo que as empresas, antes de celebrar qualquer contrato a respeito de tal serviço, conheçam as regras tecnológicas e científicas, bem como os seus direitos e deveres legais. Nesta apresentação, discutirremos a necessidade de normas técnicas e regras jurídicas para apoiar as empresas no processo de contratação de serviços baseados na nuvem. Também apresentamos as principais iniciativas e projetos existentes nesta frente. Palestra criada por Anchises Moraes, André Serralheiro e pelo Dr. Walter Capanema, membros do capítulo Brasil da Cloud Security Alliance (CSA).
Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (20)
Andere mochten auch
Andere mochten auch (20)
Ähnlich wie Aspectos jurídicos e segurança na computação em nuvem
Ähnlich wie Aspectos jurídicos e segurança na computação em nuvem (20)
Mehr von Anchises Moraes
Mehr von Anchises Moraes (20)
Aspectos jurídicos e segurança na computação em nuvem
- 1. 1 Picturesource:sxc.hu Aspectos Jurídicos da Computação em Nuvem Anchises M. G. de Paula André Serralheiro Walter Capanema
- 2. 2 • O que é Cloud Computing • Cloud Security Alliance • Aspectos Jurídicos • Tendências Agenda
- 3. 3 Picturesource:sxc.hu CLOUD COMPUTING O que é a computação em nuvem
- 4. 4 O que é a computação em nuvem (1) fonte: sxc.hu “Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.” In“NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”
- 5. 5 O que é a computação em nuvem (2) fonte: sxc.huIn “Security Guidance for Critical Areas of Focus in Cloud Computing v3”
- 6. 6 Picturesource:sxc.hu CLOUD SECURITY ALLIANCE Cloud Security Alliance e Capitulo Brasileiro
- 7. 7 –Associação sem fins lucrativos –Reúne pessoas físicas e empresas – Oficializada em dezembro de 2008 – +35mil membros, +130 membros corporativos – Presente em 23 países através de 30 Chapters locais (setembro/2012) CloudSecurity Alliance (CSA)
- 8. 8 “Promover a utilização das melhorespráticas para fornecer garantia de segurança dentro de CloudComputing, e oferecer educação sobre os usos de Cloud Computing para ajudar a proteger todas as outras formas de computação.” Missão Picturesource:sxc.hu
- 9. 9 • Segundo Chapter oficial da CSA – Oficializadoem 27 de Maio de 2010 • Segue Missão e Objetivos da CSA Global – Promover a Segurançaem Cloud Computing – Promoverpesquisas e iniciativaslocais CSA Brasil
- 10. 10 • Certificação“Certificate of Cloud Security Knowledge (CCSK)” – Exame online – Custode USD $295. • Treinamento – CCSK training – PCI Cloud training – GRC Stack training Educação https://cloudsecurityalliance.org/education https://ccsk.cloudsecurityalliance.org
- 11. 11 Algumas das iniciativas de pesquisa https://cloudsecurityalliance.org/research
- 12. 12 “Este documento destaca algumas das motivações mais comumente apontadas como justificativas para a adoção de Computação em Nuvem, bem como alguns dos aspectos a serem considerados quanto a cada uma destas motivações. Com este documento a CSA Brazil Chapter pretende contribuir com gestores e tomadores de decisão quanto à decisão sobre a adoção de Computação em Nuvem em suas organizações.” – Uelinton Santos, Luiz Augusto Amelotti, Filipe Villar, Eduardo Fedorowicz Iniciativade pesquisa: White Paper - Adoção de computação em Nuvem e suas motivações https://chapters.cloudsecurityalliance.org/brazil/2012/08/17/white- paper-adocao-de-computacao-em-nuvem-e-suas-motivacoes/
- 13. 13 Picturesource:sxc.hu ASPECTOS JURÍDICOS Normas e Regramentos
- 14. 14 Contrato de prestação de serviçosemqueumaempre sa/pessoafísica (PROVEDOR) permite o uso de seusrecursoscomputacion ais (rede, servidores, espaçoem disco, aplicações) por um CLIENTE. Conceito fonte: sxc.hu
- 15. 15 Vaidepender do modelo de negócio/cliente: LegislaçãoAplicável fonte: sxc.hu
- 16. 16 Contratos fonte: sxc.hu CLÁUSULAS NECESSÁRIAS Local dos dados Backups e recuperação de desastres Data retention Quem vai ter acesso e qual tipo
- 17. 17 Contratos fonte: sxc.hu CLÁUSULAS NECESSÁRIAS Requisitos de segurança e TI Auditoria externa Criptografia dos dados Tempo de resposta para recuperação
- 18. 18 Contratos fonte: sxc.hu CLÁUSULAS NECESSÁRIAS Destino dos dados com o fim do contrato Notificação sobre invasão/exposição Terceiros podem ter acesso aos dados? Provedor pode utilizar os dados?
- 19. 19 Responsabilidade Civil fonte: sxc.hu Art. 14 Art. 927
- 20. 20 Responsabilidade Civil: Código Civil fonte: sxc.hu "Art. 927. Aqueleque, poratoilícito (arts. 186 e 187), causardano a outrem, fica obrigado a repará- lo. Parágrafoúnico. Haveráobrigação de reparar o dano, independentemente de culpa, noscasosespecificadosem lei, ouquando a atividadenormalmentedesenvolvidapeloautor do danoimplicar, porsuanatureza, riscoparaosdireitos de outrem."
- 21. 21 Responsabilidade Civil: Código de Defesa do Consumidor fonte: sxc.hu "Art. 14. O fornecedor de serviçosresponde, independentemente da existência de culpa, pelareparação dos danoscausadosaosconsumidorespordefeitosrelativ osàprestação dos serviços, bemcomoporinformaçõesinsuficientesouinadequa dassobresuafruição e riscos".
- 22. 22 Responsabilidade Civil: ProblemaJurisprudencial fonte: sxc.hu Suspensão preventiva de conteúdo STJ - Resp 1.316.921/RJ
- 24. 24 Reclamação Suspensão Preventiva (24 h) Análise da Reclamação Resposta Procedimento extrajudicial 24 Responsabilidade Civil: ProblemaJurisprudencial
- 25. 25 Se o provedor não fizer a suspensão preventiva Responde solidariamente com o autor da ofensa 25 Responsabilidade Civil: ProblemaJurisprudencial
- 26. 26 ProblemasPráticos: Extinção Unilateral no Contrato “Se vocêdeixar de cumpriroua Apple suspeitarquevocêdeixou de cumprirquaisquerdisposiçõesdesteContrato, a Apple, a seuexclusivocritério, semaviso a você, poderá: (i) rescindir o presenteContrato e/ousuaConta, e vocêpermaneceráresponsávelportodososmontantesdevi dos sob suaContaaté e incluindo a data da rescisão e/ou (ii) revogar a licença do software, e/ou (iii) impedir o acessoaoServiço iTunes (ouqualquer parte dele).”
- 27. 27 ProblemasPráticos: Exclusão de Responsabilidade "You, and not Dropbox, are responsible for maintaining and protecting all of your stuff. Dropbox will not be liable for any loss or corruption of your stuff, or for any costs or expenses associated with backing up or restoring any of your stuff”.
- 28. 28 ProblemasPráticos: AcionarEmpresaEstrangeira Art. 88, Código de Processo Civil: "Écompetente a autoridadejudiciáriabrasileiraquando: (…) III - a ação se originar de fatoocorridoou de atopraticado no Brasil."
- 30. 30 Motivação: • Privacidade • Proteção de Dados Regulamentações fonte: sxc.hu
- 31. 31 • Leis de Privacidade de Dados • Padronização de ofertas de Cloud Computing • Padronização da Segurançaem Cloud Computing – “Trusted Cloud” – Assessement& Audit IniciativasRegulatóriasGlobais fonte: sxc.hu
- 32. 32 IniciativasRegulatóriasGlobais fonte: sxc.hu • ISO/IEC working drafts – ISO/IEC 27017 – Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002 – ISO/IEC 27018 - Code of practice for data protection controls for public cloud computing services
- 33. 33 • PL 5344/2013, deputadoRuyCarneiro (PSDB-PB) – Relaçõesentre usuários e empresasfornecedoras – Responsabilidadepelos dados – “Neutralidadetecnológic ae de rede” IniciativasRegulatórias no Brasil fonte: sxc.hu
- 34. 34 – Registro gratuito e de acesso público dos controles de segurança de diversos provedores de Cloud Computing; – Relatórios de auto-avaliação sobre compliance com as melhores práticas publicadas pela CSA; – Ajuda os usuários a avaliarem a segurança dos provedores de Cloud. Iniciativade pesquisa: CSA Security, Trust & Assurance Registry (STAR) https://cloudsecurityalliance.org/star/
- 35. 35 • Muitasnuvens a frente • Sujeito a chuvas e trovoadasesporádicas • Tenhasempre um guarda-chuvapróximo Previsão do Tempo fonte: Wikimedia Commons
- 36. 36 • Anchises de Paula – anchisesbr@gmail.com • André Serralheiro - serralheiro@gmail.com • Walter Capanema - contato@waltercapanema.com.br • Cloud Security Alliance https://www.cloudsecurityalliance.org • Cloud Security Alliance https://chapters.cloudsecurityalliance.org/brazil • Twitter - @csabr • Fan Page - https://www.facebook.com/CSA.CapituloBrasil Contato
- 37. 37 Picturesource:sxc.hu OBRIGADO Anchises Moraes G. de Paula André Serralheiro Walter Capanema
Hinweis der Redaktion
- Picture source: http://www.sxc.hu
- Sumário: A crescentepopularização do conceito de Cloud Computing e suaadoçãopelasempresasresultananecessidade de normatização epadronização da qualidade e segurançadessa nova tecnologia. Éimperativoque as empresas, antes de celebrarqualquercontrato arespeito de talserviço, conheçam as regrastecnológicas e científicas,bemcomoosseusdireitos e devereslegais.Nestaapresentação, pretendemosdiscutir a necessidade de seestabeleceremnormastécnicas/científicas e regrasjurídicasparaapoiaras empresas no processo de contratação de serviçosbaseadosnanuvem,assimcomoapresentar as principaisiniciativas e projetosexistentesnestafrente.
- Source: “NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”
- Essential Characteristics: On-demand self-service. A consumer can unilaterally provision computing capabilities, such as server time and network storage, as needed automatically without requiring human interaction with each service’s provider. Broad network access. Capabilities are available over the network and accessed through standard mechanisms that promote use by heterogeneous thin or thick client platforms (e.g., mobile phones, laptops, and personal digital assistants [PDAs]). Resource pooling. The provider’s computing resources are pooled to serve multiple consumers using a multi-tenant model, with different physical and virtual resources dynamically assigned and reassigned according to consumer demand. There is a sense of location independence in that the customer generally has no control or knowledge over the exact location of the provided resources but may be able to specify location at a higher level of abstraction (e.g., country, state, or datacenter). Examples of resources include storage, processing, memory, network bandwidth, and virtual machines. Rapid elasticity. Capabilities can be rapidly and elastically provisioned, in some cases automatically, to quickly scale out and rapidly released to quickly scale in. To the consumer, the capabilities available for provisioning often appear to be unlimited and can be purchased in any quantity at any time. Measured Service. Cloud systems automatically control and optimize resource use by leveraging a metering capability at some level of abstraction appropriate to the type of service (e.g., storage, processing, bandwidth, and active user accounts). Resource usage can be monitored, controlled, and reported, providing transparency for both the provider and consumer of the utilized service. Service Models: Cloud Software as a Service (SaaS). The capability provided to the consumer is to use the provider’s applications running on a cloud infrastructure. The applications are accessible from various client devices through a thin client interface such as a Web browser (e.g., Web-based email). The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, storage, or even individual application capabilities, with the possible exception of limited userspecific application configuration settings. Cloud Platform as a Service (PaaS). The capability provided to the consumer is to deploy onto the cloud infrastructure consumer-created or acquired applications created using programming languages and tools supported by the provider. The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, or storage, but has control over the deployed applications and possibly application hosting environment configurations. Cloud Infrastructure as a Service (IaaS). The capability provided to the consumer is to provision processing, storage, networks, and other fundamental computing resources where the consumer is able to deploy and run arbitrary software, which can include operating systems and applications. The consumer does not manage or control the underlying cloud infrastructure but has control over operating systems, storage, deployed applications, and possibly limited control of select networking components (e.g., host firewalls).Deployment Models: Private cloud. The cloud infrastructure is operated solely for an organization. It may be managed by the organization or a third party and may exist on premise or off premise. Community cloud. The cloud infrastructure is shared by several organizations and supports a specific community that has shared concerns (e.g., mission, security requirements, policy, and compliance considerations). It may be managed by the organizations or a third party and may exist on premise or off premise. Public cloud. The cloud infrastructure is made available to the general public or a large industry group and is owned by an organization selling cloud services. Hybrid cloud. The cloud infrastructure is a composition of two or more clouds (private, community, or public) that remain unique entities but are bound together by standardized or proprietary technology that enables data and application portability (e.g., cloud bursting for load balancing between clouds).
- O Objetivo principal do capítulobrasileiroépromover o conhecimentoemSegurançapara Cloud Computing, através da divulgação das iniciativas da CSA (incluindo a tradução do material produzidopela CSA ) e promoveriniciativaslocais e a produção de conteúdo original, comopesquisas e artigos.
- A CSA fornece a Certificação “Certificate of Cloud Security Knowledge (CCSK)”baseadanosrelatórios "Security Guidance for Critical Areas of Focus in Cloud Computing, V3” da CSA e "Cloud Computing: Benefits, Risks and Recommendations for Information Security" da ENISA (European Network and Information Security Agency)O Exameéfeito online. Maisinformaçõesem https://ccsk.cloudsecurityalliance.org
- Neste slide estãolistadas as diversasiniciativas de pesquisaexistentesatualmente (Setembro/2012) na CSA.Osprincipaisdestaquessão:CSA Security Guidance, uma das iniciativaspioneiras no mercado de desenvolver um guiaespecíficosobresegurançaem Cloud Computing, queestáautalementenaterceiraedição. Cometarqueexisteumainiciativa de tradução do guiaparaportugues.Projeto STAR da CSA, que visa criar um baseline e um self-assessement p/ osprovedores de cloud, e tambémmencionar o surgimento da norma ISO.Participação com ABNT naconstrução da norma ISO…
- mas da omissão do provedor de acesso, uma vez notificado pela vítima
- Até que tenha tempo hábil para apreciar a veracidade das alegações, e confirmando-as, exclua definitivamente o perfil ou, tendo-as por infundadas, restabeleça seu livre acesso.O provedor não pode postergar por prazo indeterminado a análise.
- Picture source: http://sxc.hu
- Fonte da imagem: http://www.sxc.huStandard Cloud offeringsStandard security procedures
- Fonte da imagem: http://www.sxc.hu09/04/2013: Projeto de Lei n. 5344/2013, peloDeputadoRuyCarneiro (PSDB-PB), que: "Dispõesobrediretrizesgeraisenormaspara a promoção, desenvolvimentoeexploraçãodaatividade de computaçãoemnuvem no País”http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=570970
- The Cloud Security Alliance (CSA) announces the launch of a new initiative to encourage transparency of security practices within cloud providers. The CSA Security, Trust & Assurance Registry (STAR) is a free, publicly accessible registry that documents the security controls provided by various cloud computing offerings, thereby helping users assess the security of cloud providers they currently use or are considering contracting with.CSA STAR is open to all cloud providers, and allows them to submit self assessment reports that document compliance to CSA published best practices. The searchable registry will allow potential cloud customers to review the security practices of providers, accelerating their due diligence and leading to higher quality procurement experiences. CSA STAR represents a major leap forward in industry transparency, encouraging providers to make security capabilities a market differentiator.CSA STAR will be online in Q4 of 2011. Cloud providers can submit two different types of reports to indicate their compliance with CSA best practices:The Consensus Assessments Initiative Questionnaire (CAIQ), which provides industry-accepted ways to document what security controls exist in IaaS, PaaS, and SaaS offerings. The questionnaire (CAIQ) provides a set of over 140 questions a cloud consumer and cloud auditor may wish to ask of a cloud provider. Providers may opt to submit a completed Consensus Assessments Initiative Questionnaire.The Cloud Controls Matrix (CCM), which provides a controls framework that gives detailed understanding of security concepts and principles that are aligned to the Cloud Security Alliance guidance in 13 domains. As a framework, the CSA CCM provides organizations with the needed structure, detail and clarity relating to information security tailored to the cloud industry. Providers may choose to submit a report documenting compliance with Cloud Controls Matrix.
- Fonte da imagem: http://commons.wikimedia.org/wiki/File:NWS-IMET-deployed.jpg