Edição-n.1

Hiscox global technology news

INSIDEVIOLAO DE DADOS NA CLOUD

QUESTES DE TRANSFERNCIA E AGREGAO DE RISCOS NA CLOUD

EVENTOS RELEVANTES E PREJUZOS SEGURVEIS NA CLOUD

CLOUD COMPUTING

1 Edio Primavera

2NDICE01: VIOLAO DE DADOS NA CLOUD

02: QUESTES DE TRANSFERNCIA E AGREGAO DE RISCOS NA CLOUD

03: EVENTOS RELEVANTES E PREJUZOS SEGURVEIS NA CLOUD

3Bem-vindo primeira edio da Hiscox Global Technology News.

Quando decidimos publicar uma newsletter regular, queramos atrair alguns dos melhores especialistas em tpicos chave que afectam o sector das Tecnologias de Informao; tpicos do interesse de empresas e utilizadores de tecnologia e de consultores. Todos os trimestres, a Hiscox Global Technology News solicitar a especialistas do mundo inteiro que apresentem ideias inovadoras sobre tpicos tcnico-jurdicos actuais de interesse para um pblico generalizado.

Qual o melhor tpico para iniciar do que falar de cloud computing (computao em nuvem)? Muita coisa foi escrita sobre este tpico recentemente, grande parte a tentar definir o que cloud computing. Na realidade, um conceito relativamente simples, que provavelmente tornou-se mais complexo do que devia ser.

Deixando de lado esse debate especfico, h grandes benefcios e srios riscos associados com a cloud e ainda no foi encontrado o equilbrio ptimo para os riscos entre fornecedor de servios cloud e os seus clientes.

esta dinmica dos riscos existentes entre o cliente e o fornecedor de servios cloud e como as partes respondem a isso que inspirou esta primeira edio da Hiscox Global Technology News.

Focamos trs reas de interesse: 01: Violao de dados na cloud, 02: Questes de transferncia e agregao de riscos na cloud e 03: Eventos relevantes e prejuzos segurveis na cloud.

Contmos nesta edio com o apoio da nossa rede global de advogados especializados em tecnologia e as suas contribuies versam sobre as questes mais amplas associadas ao tema desta edio, assim como sobre o impacto dessas questes nas leis locais. Os nossos especialistas so dos E.U.A., Alemanha e Reino Unido.

Agradecemos-lhes pela sua preciosa e contribuio.

Boa leitura.

Introduo

Vitor Vieira

4CLOUD COMPUTING 01: VIOLAO DE DADOS NA CLOUD

01: Violao de dados na cloudDavid Navetta, Esq., CIPP Partner, InfoLawGroup LLP

No incio de 2011 mais que bvio que cloud computing no uma moda passageira, mas sim um modelo de computao que se est a tornar ubquo. Cloud computing oferece aos seus utilizadores uma grande quantidade de vantagens incluindo maior eficincia, escalabilidade instantnea e optimizao de custos. Contudo, estas vantagens so contrabalanadas com a perda de controlo das organizaes sobre as suas operaes informticas quando dependem de um fornecedor cloud para a operacionalizao de processos chave. As questes que surgem desta perda de controlo tornam-se mais relevantes quando pensamos em violao de dados e maior nvel de responsabilidades na cloud.

A operacionalizao de infra-estruturas informticas est sempre sujeita a riscos especficos

501: VIOLAO DE DADOS NA CLOUD


Os desafios da violao de dados na cloudQuando um cliente aceita colocar os seus dados sensveis na cloud, ele est totalmente dependente dos processos de segurana e mecanismos de resposta a incidentes do fornecedor de servios para responder a uma situao de violao de dados. Esta questo levanta muitos problemas fundamentais.

Os interesses de quem vm em primeiro lugar?Quando uma organizao sofre uma violao dos seus dados ou propriedade intelectual, claro que esta organizao vai investigar e gerir o incidente de acordo com os seus prprios interesses como prioridade. Ela tem controlo total sobre os seus sistemas e sobre os dados residentes neles e pode tomar decises que protejam os seus interesses de uma perspectiva comercial e de responsabilidade. Na cloud este cenrio muda. Se um fornecedor de servios cloud sofrer qualquer forma de ataque que exponha os dados particulares dos seus clientes, os seus interesses podero no ser (e provavelmente com muita frequncia no so) os mesmos dos seus clientes. Considerando que o fornecedor de servios enfrenta potenciais responsabilidades, a sua forma de lidar com uma situao de violao de dados visar a proteco dos seus prprios interesses.

Os clientes de cloud computing podem no ter o controlo ou acesso aos sistemas que normalmente teriam nas suas prprias organizaes, a fim de investigar, reunir provas e remediar a violao de dados. Os fornecedores de servio cloud podem tender a ocultar certas informaes dos seus clientes para se protegerem. Alm disso, j que com a crescente utilizao, muitas clouds servem mltiplos clientes nos mesmos computadores ou redes, os fornecedores podem favorecer os interesses de alguns clientes sobre os de outros. Um cliente grande, importante e lucrativo pode receber um tratamento mais favorvel que clientes mais pequenos no caso de uma violao da segurana.

Planeamento de resposta a incidentes na cloudUm outro desafio significativo relacionado com a violao de dados na cloud o prprio procedimento de resposta ao incidente por parte do fornecedor. Antes de entrarem na cloud, os clientes devem investigar os procedimentos de resposta a incidentes do seu fornecedor de servios cloud, de forma a compreenderem como sero geridas situaes de violaes de dados. O que constitui uma violao de dados? Que mtodos e tecnologia so utilizados para impedir e detectar uma violao da segurana? Como as violaes so investigadas pelo fornecedor de servios e quais os critrios que determinam que violaes so escaladas para nveis superiores de resoluo, a fim de serem geridas de uma forma apropriada para o risco que apresentam? As empresas que realizarem esta anlise devem estudar as suas prprias polticas internas e compar-las com as do fornecedor cloud para assegurar que so semelhantes. Alm disso, crucial que as polticas de resposta a incidentes do fornecedor cloud e do

Ceder o controlo da gesto e processamento de dados uma deciso muito sria.


cliente se assemelhem o mais possvel. As medidas de resposta a incidentes do fornecedor cloud devem integrar-se totalmente nos pontos chave definidos pelo cliente, de forma que o cliente receba a informao que necessita para iniciar os seus prprios procedimentos de resposta a incidentes (na realidade, se o plano de resposta a incidentes do cliente for bom, levar em conta a coordenao e cooperao do fornecedor de servios cloud.).

Pericias e e-discovery na cloud.Um terceiro desafio relaciona-se com a capacidade do cliente de ordenar uma investigao pericial quando o seu fornecedor cloud sofre uma violao de dados. Se ocorrer uma violao interna em um cliente, no incomum esse cliente contratar peritos (ou utilizar recursos internos) para realizar uma investigao da violao dos dados. Os objectivos de uma investigao pericial podem variar, mas frequentemente incluem analisar a fonte da violao e eliminar os agentes da mesma, identificar quais os dados que podem ter sido comprometidos e medir o mbito da exposio da organizao e pesquisar, recolher e preservar informaes que possam ser relevantes como meios de prova numa eventual aco judicial.

A informao obtida atravs de uma investigao pericial extremamente importante em muitas situaes de violao de dados. Por exemplo, pode ser necessria uma avaliao pericial para uma empresa avaliar (ou limitar) as suas obrigaes de notificao em caso de violao de dados pessoais confidenciais. A informao inferida de uma avaliao pericial pode ser crucial para a defesa no mbito de um processo judicial ou para instaurar um processo judicial contra

outra parte. Se tiverem sido violados dados relativos a nmeros de cartes bancrios, pode ser exigido que um cliente permita que um Qualified Incident Response Assessor (QIRA) (seleccionado pelo VISA ou Mastercard) realize uma percia aos sistemas violados. O no cumprimento desta exigncia pode resultar no pagamento de multas e penalidades e na suspenso de aceitao de cartes como meios de pagamento. Alm disso, o facto de uma organizao no conseguir preservar e efectuar o levantamento pericial de dados e informaes que possam ser relevantes no mbito de um processo judicial (por ex: para conseguir a suspenso de um processo) pode ser prejudicial para a capacidade de uma organizao se defender em tribunal.

As avaliaes periciais normalmente exigem que os investigadores acedam fisicamente no local aos computadores violados, e as medidas necessrias para a obteno de dados por mtodos periciais podem interromper ou dificultar a utilizao dos sistemas.

Num contexto de cloud computing, o fornecedor cloud pode no permitir que os seus clientes acedam (fsica ou remotamente) aos seus servidores ou realizem de outra forma um exame pericial dos seus sistemas aps uma violao de


dados. Alguns fornecedores cloud so peremptrios ao no permitir a realizao de exames periciais aos seus servidores, alegando que estes so partilhados por diversas entidades, e que a anlise pericial de dados desses servidores exporia a informao confidencial dos demais clientes (possivelmente em violao de um acordo de no divulgao ou outras obrigaes legais de confidencialidade) ou afectaria a disponibilidade dos sistemas para os demais clientes. O risco potencial de diversos clientes simultaneamente exigirem realizar as suas prprias percias, como consequncia de uma violao de dados, outra razo que justifica a no autorizao de investigaes periciais. Alm disso, como indicado acima, um fornecedor cloud pode limitar a capacidade dos seus clientes de investigarem uma violao de dados, a fim de proteger os seus prprios interesses e limitar potenciais responsabilidades. Esta questo de muito difcil resoluo.

O problema da multi-existncia de mais de um fornecedor de cloud No contexto cloud, frequente que o fornecedor de servios contratado por uma entidade (o fornecedor directo) no o fornecedor cloud que na realidade vai processar, armazenar e transmitir os dados do cliente (o fornecedor terceiro). O exemplo clssico o fornecedor de SaaS (Software-as-a-Service), que aloja o seu software numa cloud que se pode designar de Infrastructure-as-a-Service. Nestas configuraes especiais, o fornecedor terceiro que o responsvel ltimo pelos dados pode no ter qualquer relacionamento contratual com o cliente de servios cloud (cliente cloud) e este pode no ter nenhum direito sobre o anterior, numa situao de violao de dados. No existindo essa relao entre fornecedor terceiro e cliente cloud, torna-se

difcil todo o processo de investigao da capacidade de resposta a incidentes dos demais fornecedores cloud a jusante. Alm disso, mesmo se o fornecedor directo tiver aceitado certos compromissos contratuais relativos a responsabilidades em caso de violaes de dados, se este no tiver obtido os direitos correspondentes do fornecedor terceiro, o anterior pode no ser capaz de cumprir essas promessas. Finalmente, os problemas de conflito de interesses e de autorizaes de acesso para realizao de percias (conforme mencionados acima) podem ser agravados ainda mais neste tipo de situaes. Se j difcil obter acesso a um fornecedor directo mesmo quando existe um contrato, ento quando esse contrato no existe, esse acesso pode ser praticamente impossvel.

Resoluo de violao de dados num contrato cloudEnto o que pode fazer um potencial cliente cloud para resolver estas questes? Um contrato bem redigido pode ajudar? Obviamente, a resposta sim: obter direitos contratuais que resolvam estas questes pode ser muito til. Contudo, nunca demais realar, que as promessas feitas no papel devem ser reforadas por um processo cuidadoso de devida diligncia para assegurar que o fornecedor cloud pode realmente cumprir as promessas a que se est a vincular, relativas violao de dados e resposta a incidentes. De certeza o cliente cloud no gostar de descobrir que o seu fornecedor cloud fez promessas vs, no meio de um litgio a respeito de de violao de dados. Dito isto, os clientes cloud devem considerar antecipadamente negociar e incluir nos contratos as disposies a seguir descritas relativas a violaes de dados na cloud:


Procedimentos de resposta a incidentes. O cliente cloud deve procurar que o fornecedor cloud aceite o cumprimento de certos procedimentos. Estes procedimentos devem corresponder ou integrar-se com os procedimentos internos de resposta a incidentes do prprio cliente. Obrigaes especficas de resposta a violao de dados podem incluir obrigaes de:

realizar investigaes imediatas aps uma violao de dados;

atenuar e remediar uma violao de dados; garantir aviso imediato ao cliente (dentro de x horas);

fornecer relatrios por escrito sobre o desenvolvimento da situao relativa violao de dados;

reter certas informaes relevantes para uma investigao de violao de dados (incluindo registos de acesso, planeamentos, auditorias a sistemas, registos e relatrios);

e documentar as providncias correctivas.

Obrigaes de preservar dados. Se ocorrer uma violao de dados ou se um litgio parecer iminente, deve-se iniciar um procedimento de suspenso de servio e preservar os dados relevantes. O contrato deve exigir que o fornecedor cloud inicie essa suspenso e proceda preservao dos dados se estes eventos tiverem lugar. O cliente deve tambm procurar obter o direito de conduzir a sua prpria investigao e ter o seu processo de preservao de dados em relao aos sistemas do fornecedor cloud.

Direitos de avaliao pericial. O cliente cloud deve procurar obter o direito de realizar uma investigao pericial do fornecedor cloud se este sofrer uma violao de dados. Se isso no for possvel,

esta obrigao deve ser assumida pelo fornecedor cloud, com obrigaes adicionais de fornecer relatrios e informao constantes sobre o desenvolvimento da violao de dados.

Limitaes relativas a fornecedores cloud terceiros. O contrato pode limitar o recurso a terceiros por parte de um fornecedor cloud directo para gesto de dados. Podem ser acrescentadas condies especficas para impedir que um fornecedor directo fornea dados a um fornecedor terceiro sem o consentimento prvio do cliente. Se forem utilizados fornecedores terceiros, o contrato dever impor uma obrigao sobre o fornecedor directo de realizar uma investigao prvia para assegurar que o fornecedor terceiro pode cumprir com as obrigaes acordadas pelo fornecedor directo. O cliente pode tambm exigir clusulas contratuais que requeiram que o fornecedor cloud directo imponha obrigaes contratuais sobre terceiros, que sejam idnticas ou semelhantes s que o fornecedor directo acordou com o cliente e que permitiro em caso de violao de dados, que o fornecedor directo cumpra com as suas prprias obrigaes. Com a incluso destes termos, o cliente cloud poder ter maior controlo e maior capacidade de resposta a uma violao de dados sofrida por um fornecedor terceiro.

Um cliente de servios cloud no deseja descobrir que o seu fornecedor fez promessas vs.

10

CLOUD COMPUTING 01: VIOLAO DE DADOS NA CLOUD

Prejuzos por violao de dados. Em ltima anlise, as condies mais importantes do contrato so as que estabelecem que parte ser responsvel pelos prejuzos causados se um fornecedor cloud sofrer uma quebra da segurana. Os clientes devem negociar condies de contrato que prevejam o pagamento de indemnizaes pelo fornecedor cloud que efectivamente sofreu a quebra de segurana. Isto pode ser na forma de uma clusula de indemnizao que exija que o fornecedor indemnize o cliente por todas as reclamaes e prejuzos decorrentes de uma violao da segurana dos dados. Podem ser acrescentadas clusulas que exijam que o fornecedor cloud indemnize despesas adicionais relacionadas com notificaes a terceiros da violao de dados, incluindo despesas jurdicas, despesas de expedio, de monitorizao de crditos ou com a contratao de centros de atendimento. Os clientes devero tambm analisar, e potencialmente alterar, clusulas contratuais de limitao de responsabilidades e exonerao pelo pagamento de danos indirectos ou consequenciais. Estas clusulas limitam a responsabilidade do fornecedor de servios por violao ou quebra de contrato e os clientes cloud podem ao invs, pretender negociar clusulas de responsabilidade ilimitada por violaes de dados (ou pelo menos, com limites mais altos de responsabilidade por tais violaes). De notar que as aces em caso de violaes de dados ou quebras de servio devem ser cuidadosamente articuladas com as compensaes por uma violao de contrato, e que se um contrato no tiver clusulas de responsabilidade significativas que imponham responsabilidades ao fornecedor, podem estar limitadas partida a eficcia destas aces ou obrigaes.

11


ConclusoEntrar na cloud e ceder o controlo sobre a gesto e processamento de dados uma deciso muito sria. As questes que surgem relativas violao de dados ilustram os desafios que os clientes de cloud computing enfrentam quando as coisas correm mal no ambiente cloud. Antes de tomar uma deciso de trabalhar com um fornecedor de servios cloud, crucial que os clientes faam uma anlise profunda dos riscos e, se esses riscos forem aceitveis, imprescindvel control-los no contrato. As empresas que se lanam na cloud com base apenas no preo e cedem controlos significativos podem ver-se em srios problemas quando ocorrerem eventos como violaes de dados.

12

02: QUESTES DE TRANSFERNCIA E AGREGAO DE RISCOS NA CLOUDCLOUD COMPUTING

02: Questes de transferncia e agregao de riscos na cloudDr Carsten Schulz, Taylor Wessing, Hamburg

Cloud computing refere-se a aplicaes, hardware e servios de software disponibilizados por fornecedores atravs da internet. Isto permite que os clientes usem apenas os recursos informticos que realmente necessitam e possibilita o rpido ajustamento do mbito destes servios de acordo com os seus prprios requisitos e necessidades.Da perspectiva do cliente esta uma mudana radical, pois configura a passagem de um modelo tradicional baseado numa infra-estrutura para um modelo assente na aquisio de servios informticos. Os recursos informticos tornam-se disponveis on-demand da mesma forma que a electricidade, gua ou outras utilities. Esta mudana tem um impacto importante na avaliao e ponderao dos riscos informticos.

Os servios informticos disponibilizados na cloud vo desde o outsourcing dos principais processos empresariais centrais at servios de consumo simples como webmail. Este artigo lida apenas com o primeiro tipo de servios.

13


O modelo de riscos tradicionalOs riscos de operar infra-estruturas informticas so bem conhecidos. Os riscos chave incluem: disponibilidade da infra-estrutura, dados e processos, integridade da infra-estrutura informtica, confidencialidade e autenticidade dos dados e segurana das comunicaes.

Enquanto a infra-estrutura informtica operada internamente pela empresa, a anlise e a gesto dos riscos (que inclui a identificao, reduo, mitigao, proteco e contratao do seguro) continua a ser da competncia nica da empresa que utiliza os seus prprios recursos informticos. A prpria empresa gere estes riscos, normalmente celebrando acordos de manuteno e de licena com terceiros e por meio da contratao de um seguro de responsabilidade civil profissional.

O modelo de riscos da cloud Quando os processos e recursos informticos so obtidos na cloud como servios, os riscos possveis e toda a estrutura de riscos mudam consideravelmente.

Os riscos especficos so reduzidos substancialmente. Os fornecedores de servios cloud especializados so capazes de oferecer um servio com alto nvel de segurana informtica, alternativas de continuidade do negcio e planos de contingncia.

Ao mesmo tempo, surgem outros riscos, decorrentes do processo de sada e de transio em caso de cancelamento do contrato de servios cloud e do acesso aos dados e sistemas em caso de insolvncia do fornecedor de servios cloud (fornecedor cloud).

A operao de infra-estruturas informticas est sempre sujeita a riscos especficos.

14


Os mecanismos de gesto de riscos tambm mudam. Por exemplo, em vez de monitorizao directa de empregados e da infra-estrutura, so acordados com o fornecedor nveis de servio especficos, o que permite a avaliao e monitorizao da qualidade do servio.

Estas mudanas fundamentais no risco so frequentemente negligenciadas pelos clientes ao migrarem para a cloud, embora sejam cruciais para a anlise e avaliao de riscos, desenvolvimento de estratgias para evitar e mitigar esses riscos, assim como para definir os riscos restantes e determinar medidas eficazes de monitorizao e controlo.

Ao fornecer/adquirir servios cloud, a identificao de riscos pode-se realizar a diferentes nveis, principalmente:

atravs da prpria concepo dos servios (isto , identificao das

reas de influncia e mecanismos de monitorizao de riscos existentes).

Por exemplo: analisando o nvel de abstraco no qual os servios so fornecidos/adquiridos (infrastructure as a service; platform as a service; software as a service);

atravs da atribuio estatutria de riscos (particularmente impondo clusulas de responsabilidade estatutria); e

atravs de acordos contratuais, sendo um ponto chave para corrigir e ajustar a distribuio factual e estatutria dos riscos.

Contratos cloud Os servios cloud so frequentemente padronizados at uma certa medida; por motivos de natureza tcnica (utilizao da mesma plataforma/infra-estrutura) e tambm com a inteno de se obterem nveis de prestao de servios mais eficientes e baixar os custos das transaces. A base dessa relao est frequentemente espelhada em contratos padronizados (ou pelo menos documentos legais padronizados para aspectos de servio, suporte, manuteno e termos da licena) que definem os termos do tipo de servios, nvel de servios, disponibilidade do servio, recursos a utilizar e medidas correctivas. Se a avaliao e distribuio de riscos nestes contratos/acordos de servio padro (que so geralmente a base para relaes contratuais a longo prazo) no forem tratadas adequadamente desde o incio, tal pode resultar numa acumulao e agregao problemticas de riscos no fornecedor cloud, o que tem as suas prprias implicaes no fornecedor cloud, a comear pela proteco do seguro.

Isto pode resultar numa acumulao e agregao problemticas de riscos para o fornecedor cloud, o que apresenta as suas prprias implicaes de seguro para o fornecedor cloud

15


Influncia da lei alem nos contratos cloud Na Alemanha, servios cloud padronizados enfrentam dificuldades especficas relativamente atribuio contratual dos riscos. Isto deve-se ao facto de as leis sobre termos e condies gerais limitarem seriamente a liberdade contratual entre as partes envolvidas. Ao mesmo tempo, como j foi referido acima para servios padronizados desta natureza, o uso de contratos padronizados adequado e necessrio. Se so disponibilizados produtos padro assentes na mesma plataforma, h muito pouca margem para fazer variar contratualmente a atribuio de riscos entre clientes diferentes.

A dificuldade mais importante que as leis que respeitam aos termos e condies gerais no permitem uma atribuio livre dos riscos entre as partes, mas antes prev restries limitao especfica de responsabilidade por parte dos fornecedores (que frequentemente so recorrentes em outros pases). Consequentemente, os fornecedores e clientes esto limitados na personalizao dos acordos contratuais.

Se uma clusula dos termos e condies gerais do contrato no estiver em conformidade com os regulamentos legais, de acordo com a lei alem essa clusula, ou at o prprio acordo, pode ser considerada invlida e as disposies estatutrias legais substituem-na. Duas consequncias podem-se verificar:

1. Nem todos os acordos sobre riscos so possveis de celebrar atravs de contratos padronizados; os fornecedores devem assumir a responsabilidade por certos riscos, a menos que sejam feitos acordos alternativos laterais individualmente.

2. Tentativas de atribuir riscos recorrendo apenas aos termos e condies gerais entre as partes, pode levar um fornecedor a ser forado a assumir responsabilidade ilimitada, se os termos e condies gerais no satisfizerem as directivas estreitas das leis aplicveis. Sem dvida, isto no do interesse do fornecedor; mas no tambm do interesse dos clientes, j que existirem sistemas de distribuio nos quais os fornecedores j no podem ou conseguem controlar ou limitar certos riscos, poderiam levar a instabilidades a nvel sistmico e assim apresentar um risco significativo para todos os clientes desse fornecedor.

Tentativas de atribuir riscos nos Termos e Condies Gerais de um contrato entre as partes pode levar um fornecedor a ser forado a assumir responsabilidade ilimitada

16


17


ConclusoEvitar riscos, mitigar riscos, atribuir riscos e definir mecanismos de proteco contra riscos so reas intimamente interligadas, e esta inter-relao providencia diversas formas nas quais acordos aceitveis podem ser trabalhados entre as partes. Isto inclui o envolvimento dos seguradores de ambas as partes. No outsourcing tradicional (que de muitas formas um predecessor dos servios cloud) foram desenvolvidas com o tempo boas normas e boas prticas sectoriais. Certamente pode-se esperar o mesmo para os servios cloud.

18

03: EVENTOS RELEVANTES E PREJUZOS SEGURVEIS NA CLOUDCLOUD COMPUTING

No caso de um fornecedor cloud entrar em insolvncia, o contrato deve garantir ao cliente o direito de ter os dados transferidos de volta para si ou para um novo fornecedor.

19


03: eventos relevantes e prejuzos segurveis na cloudThomas Jansen, Partner, DLA Piper Munich

Mark OConor, Partner, DLA Piper London

Quando duas partes esto a negociar os termos de um contrato esto, ou pelo menos deveriam estar, a discutir sobre a transferncia de riscos e a perguntar-se quem dever suportar os efeitos dos riscos de eventos definidos. Que perdas podem resultar de certos eventos e quem deve ser o responsvel por elas? A alocao destas perdas pode ter um grande impacto nas responsabilidades assumidas pelo cliente e pelo fornecedor de servios cloud, tendo por sua vez um grande impacto na cobertura de seguro adquirida pelo ltimo. Afinal de contas, para compreender que tipo de seguro subscrever e qual a cobertura mais adequada, o fornecedor de servios cloud necessita de compreender contra que eventos e perdas se deve segurar.Existem, de facto, muitos eventos e potenciais prejuzos que devem ser acautelados em qualquer contrato de servios cloud, demasiados para conseguirmos analisar e rever nesta publicao. Portanto, resumimos alguns eventos e prejuzos que consideramos chave e sugerimos formas de lidar com

os mesmos. Para partes que estejam a considerar uma mudana para a cloud, sugerimos a realizao de um levantamento rigoroso, para as partes compreenderem as suas respectivas responsabilidades por eventos e prejuzos chave e at que ponto se podem segurar contra os mesmos.

O seu fornecedor cloud entra em insolvncia como reaver, transferir os dados e a tecnologia para um fornecedor alternativo.

Do ponto de vista jurdico, a soluo no difere muito dos conceitos tradicionais associados ao outsourcing.

O contrato deve conter clusulas de sada adequadas que garantam ao cliente o direito de ter os dados transferidos de volta para si ou para um novo fornecedor.

Do ponto de vista prtico, isto pode ser difcil, se o fornecedor cloud tiver feito o outsourcing do alojamento dos dados a um fornecedor terceiro. Neste caso, o cliente deve ter o direito de requerer os dados directamente do fornecedor terceiro.

20


O seu fornecedor cloud faz uma transferncia dos seus dados no autorizada em contraveno com as regras de proteco de dados e potencialmente outras normas regulamentares Do ponto de vista jurdico, a soluo

no difere muito dos conceitos tradicionais associados ao outsourcing.

O contrato deve conter clusulas adequadas que definam claramente mecanismos de proteco de dados relevantes e normas e nveis de servio relativos a segurana de dados.

O contrato deve conter direitos de monitorizao dos dados pelo prprio cliente.

Em caso de incumprimento de contrato, o cliente deve ter o direito de rescindir o contrato.


Nos casos em que um cliente esteja perante uma potencial responsabilidade por multas ou outras sanes, decorrentes de uma violao de normas ou regulamentos sobre proteco de dados por parte do fornecedor cloud, a responsabilidade do fornecedor cloud por tais danos no deve ser excluda ou por qualquer forma, limitada.

Os servios do seu fornecedor cloud so de m qualidade que medidas correctivas esto disponveis (dado que os termos contratuais cloud normais oferecem garantias muito limitadas e frequentemente no vinculam a nveis de servio)? Do ponto de vista jurdico, a soluo


Nestes casos preciso diferenciar entre servios cloud pblicos e servios cloud privados/do segmento corporate.

As ofertas de servios cloud pblicos podem ser adequadas apenas para aplicaes e dados padro no crticos e no complexos, j que os contratos de servios cloud pblicos normalmente no contm garantias e clusulas de nveis de servio favorveis aos clientes.

Geralmente, a situao diferente para ofertas de servios cloud a empresas. Tais servios e contratos normalmente so concebidos medida para clientes especficos e geralmente contm garantias e clusulas de nveis de servio adequadas e negociadas entre as partes.

Os contratos cloud pblicos normalmente no contm garantias e clusulas de nveis de servio que sejam favorveis aos clientes.

21


E se o fornecedor cloud no tiver implementadas medidas de recuperao suficientes em caso de desastre ou falha de servio? Do ponto de vista jurdico, a soluo


Os procedimentos e medidas de recuperao em caso de desastre ou falhas (incluindo obrigatoriedade de realizao de cpia de segurana) devem ser definidos e acordados contratualmente.




Nos casos em que um cliente esteja perante uma potencial responsabilidade por multas ou outras sanes, decorrentes de uma violao de normas ou regulamentos sobre proteco de dados por parte do fornecedor cloud, a responsabilidade do fornecedor cloud por tais danos no deve ser excluda ou por qualquer forma, limitada.

E se a falha provier do fornecedor de rede ou internet (sendo a cloud inteiramente dependente da internet)? Quem assume a responsabilidade? Do ponto de vista jurdico, a soluo


Usualmente, por um lado existe um contrato entre o fornecedor cloud e o seu cliente e por outro, existe uma relao contratual sob a forma de um subcontrato entre o fornecedor cloud e o fornecedor de rede.

Na relao entre o fornecedor cloud e o cliente, uma falha do fornecedor de rede seria considerada como uma falha do fornecedor cloud, com a consequncia de que o fornecedor cloud ser responsvel perante o cliente por quaisquer danos sofridos por este decorrentes de uma falha do fornecedor de rede.

Nos casos em que o cliente esteja perante uma potencial responsabilidade decorrente de uma violao por parte do fornecedor cloud, a responsabilidade do fornecedor cloud por tais danos no deve ser excluda ou por qualquer forma, limitada.

Existe um compromisso entre a aquisio de tecnologia via cloud e a segurana. Os clientes obtm aquilo por que pagam.

22


E em casos de ataque de negao de servio (DDoS Denial of Service Attack), violao da segurana etc. Quem assume a responsabilidade? Do ponto de vista jurdico, a soluo


O contrato deve conter clusulas adequadas que definam claramente mecanismos de proteco de dados relevantes e normas e nveis de servio relativos a segurana de dados.




Nos casos em que o cliente esteja perante uma potencial responsabilidade decorrente de uma violao por parte do fornecedor cloud, a responsabilidade do fornecedor cloud por tais danos no deve ser excluda ou por qualquer forma, limitada.

23


ConclusoDo ponto de vista jurdico, em muitos aspectos, as ofertas de servios cloud no diferem muito dos conceitos tradicionais associados ao outsourcing.

No se pode falar ainda da existncia de condies standard de contrato ou normativos de mercado porque o mercado est a evoluir, mas revelam-se algumas tendncias. Assiste-se uma taxonomia de estilos contratuais, desde os novos fornecedores (Salesforce, Google, Amazon, Memset, Rackspace etc.), que tendem a excluir grande parte, se no mesmo toda a sua responsabilidade; aos mais antigos ou tradicionais (Cisco, Fujitsu, IBM etc.), que esto menos interessados em partilhar ou alterar os seus termos contratuais; at aos fornecedores mais hbridos como a Microsoft, que, nos termos do seu mdulo Azure, se vincula a um nvel de servios, embora limitado, e oferece algumas das clusulas de contrato de TI mais standards.

Existe naturalmente um compromisso entre a aquisio de tecnologia via cloud e a segurana. Os clientes obtm aquilo por que pagam. A deciso ponderada pela necessidade dos clientes em pouparem dinheiro e pelo nvel de segurana a atribuir aos dados em questo. Portanto, dados que no sejam sensveis ou crticos podem ser externalizados para um fornecedor de servios cloud mais acessvel em termos de custos, mas que oferece pouco no que diz respeito assumpo de responsabilidades ou nveis de servio. Enquanto dados pessoais sensveis ou confidenciais, por exemplo, exigiro nveis de proteco via contrato mais aperfeioadas e detalhadas.

21 United Kingdom Alan Thomas

+44 (0) 207 448 6316 [email protected] hiscox.co.uk

2 USA Jim Whetstone

+1 312 239 6354 [email protected] hiscoxusa.com

3 France Charles Jamot

+33 680 70 19 34 [email protected] hiscox.fr

4 Germany Jens Krickhahn

+49 (0) 89 545801 100 [email protected] hiscox.de

5 Holland Yasin Chalabi

+31 (0) 20517 0732 [email protected] hiscox.nl

6 Portugal Vitor Vieira

+351 213 137 617 [email protected] hiscox.pt

7 Spain Jorge Cabellos

+34 9 15 61 5534 [email protected] hiscox.es

Subscritores de seguros e gestores de sinistros especializados em IT em 7 pases

Para mais informaes, favor contactar o responsvel local por seguros de IT:

1

3

45

67

Edição-n.1

Documents

Transcript of Edição-n.1