Computação em Nuvem

Secretaria de Governo

DO ESTADO DE SÃO PAULO


SUMÁRIO

1       Resumo............................................................................................................................ 4

2       Introdução........................................................................................................................ 4

3       Conceito de Computação em Nuvem........................................................................... 5

3.1      Modelos de Implantação.......................................................................................... 6

3.2      Arquitetura da Nuvem.............................................................................................. 8

4       Questões Legais em Contratos................................................................................... 10

4.1      Proteção da Informação........................................................................................ 12

4.1.1         Privacidade....................................................................................................... 12

4.1.2         Segurança........................................................................................................ 12

4.1.3         Confidencialidade............................................................................................. 13

4.1.4         Criptografia....................................................................................................... 13

4.1.5         Auditoria............................................................................................................ 14

4.1.6         Compensação por Perda de Dados ou Uso Indevido..................................... 14

4.1.7         Subcontratados................................................................................................ 14

4.2      Responsabilidade................................................................................................... 15

4.2.1         Limitações da Responsabilidade...................................................................... 15

4.3      Desempenho.......................................................................................................... 15

4.3.1         Acordo de Nível de Serviço............................................................................. 15

4.3.2         Tempos de Resposta a Incidentes................................................................... 15

4.3.3         Flexibilidade do Serviço................................................................................... 16

4.3.4         Recuperação de Incidente............................................................................... 16

4.4      Rompimento do Contrato...................................................................................... 16

4.4.1         Rompimento por Conveniência e Indenizações.............................................. 16

4.4.2         Rompimento Padrão........................................................................................ 17

4.4.3         Direito de Rompimento pelo Provedor............................................................. 17

4.4.4         Transição do Serviço....................................................................................... 17

4.5      Outras Questões.................................................................................................... 17

4.5.1         Introdução de Código Fonte Nocivo................................................................ 17

4.5.2         Propriedade Intelectual..................................................................................... 17

4.5.3         Requisito de Realização de Atualizações........................................................ 17

5       Gerenciando o Contrato............................................................................................... 18

6       Uso do Guia................................................................................................................... 18

6.1      Análise de Riscos do Serviço, Sistema ou Informação........................................ 19

6.2      Classificação da Segurança do Serviço, Sistema ou Informação....................... 21

6.3      Categorização de Cláusulas Contratuais............................................................... 24

7       Conclusões e recomendações.................................................................................... 25

8       Anexos............................................................................................................................ 26

9       Referências.................................................................................................................... 26

 


1       Resumo

Este relatório técnico elaborado pela equipe d de consultoria do CPqD apresenta um guia referência de melhores práticas para contratação de serviços em nuvem com recomendações de cláusulas contratuais para uso na contratação de soluções em nuvem, pela Secretaria de Governo do Estado de São Paulo.

2       Introdução

Em virtude do crescimento da popularidade da internet, sendo ofertados cada vez mais serviços à sociedade de forma dinâmica, a Computação em Nuvem (ou somente “Nuvem” / ”Cloud” / ”Cloud Computing”) está se tornando um componente essencial para novos negócios e organizações, como um recurso estratégico para as organizações competirem no mercado.

Na administração pública não é diferente. No entanto questões críticas como segurança da informação e privacidade dos dados devem ser levadas em consideração no momento da contratação de qualquer serviço que manipule, armazene ou altere informações de propriedade do CONTRATANTE, seja este um serviço em nuvem ou não. Além dos requisitos técnicos, isto se dá através de contratos bem redigidos, que especifiquem de forma clara as responsabilidades de cada um dos atores envolvidos neste processo.

Uma das exigências deste tipo de contratação deve ser a garantia dos provedores de que seus sistemas de segurança atendem aos requisitos impostos pelo poder público. A segurança oferecida pelo provedor deve estar de acordo com as políticas exigidas pelo CONTRATANTE após uma análise e classificação criteriosa de riscos. Como Garantia ao CONTRATANTE, a contratação deve prever cláusulas de retorno da informação para o CONTRATANTE no caso de término da relação contratual, com o retorno adequado dos dados ou o seu descarte de forma segura, com garantias principalmente da confidencialidade das informações manipuladas e sua integridade.

A conformidade com as leis locais da CONTRATANTE é outro fator necessário, uma vez que os dados na nuvem poderão estar hospedados em outros países, onde as leis existentes podem entrar em conflito com os interesses públicos do governo brasileiro. Como exemplo pode-se citar o “Patriot Act”, vigente nos Estados Unidos, ou “Data Protection Directive” da União Européia, que restringe o fluxo de dados além das fronteiras da comunidade.

Além disso, auditorias pré-contratuais, monitoramento pós-contrato e testes de vulnerabilidades no sistema devem ser descritos na especificação de requisitos a serem cumpridos pelo provedor de nuvem.

Logo, de acordo com a Proposta Técnica PT 001/13, [Ref 1], a atuação desta consultoria deve envolver o levantamento de cláusulas contratuais que contemplem os seguintes assuntos importantes na contratação de serviços em nuvem:

As cláusulas contratuais propostas em Anexo I devem ser respaldadas por uma análise dos principais problemas e riscos existentes nos serviços em nuvem oferecidos no mercado atualmente.

A proposta deste guia de melhores práticas é assistir a Secretaria de Governo de São Paulo dos serviços em nuvem para contratação de forma segura e com menor risco.

3       Conceito de Computação em Nuvem

Segundo Gartner (2008) o termo Cloud Computing é adequado quando recursos relacionados de Tecnologia da Informação e Comunicação são fornecidos "como serviço" usando tecnologias de Internet para vários clientes externos.

O Instituto Nacional Americano de Padrões e Tecnologia (NIST), [Ref 4], define um modelo de Cloud Computing a partir de cinco características essenciais, três modelos de serviço e quatro modelos de implementação, conforme Figura 1:

Figura 1: Modelo NIST de definição de Computação em Nuvem

Segundo NIST as características essenciais são:

·         Autoatendimento Sob Demanda: Os recursos computacionais são provisionados automaticamente pelo provedor na demanda que os clientes necessitam sem requerer interação humana através de automações e definição de regras tais como: armazenamento de espaço de disco (HD) e etc.

·         Amplo Acesso a Rede: As redes de dados devem estar disponíveis para acesso via dispositivos móveis, como telefones celulares, laptops, e PDAs, da mesma forma que demais serviços de software tradicionais ou baseados em nuvem.

·         Pool de Recursos: Trata-se de recursos computacionais tais como: armazenamento, processamento, memória, largura de banda, e máquinas virtuais que são utilizados por múltiplos consumidores e por este motivo possibilita a divisão dos custos destes itens comuns entre os contratantes do serviço.

·         Elasticidade Rápida: Facilidade em gerir elasticamente as capacidades provisionadas, aumentando-as ou diminuindo-as conforme necessidade, em momentos de pico ou ociosidade.

·         Serviços Mensuráveis: O provedor e o cliente conseguem mensurar e otimizar a utilização de recursos, tais como: armazenamento, processamento, largura de banda e até contas de usuário ativas.

Há três modalidades de serviços em nuvem que são:

·         SaaS (Software como Serviço): É um tipo de computação em nuvem onde o sistema/software é oferecido em forma de serviço ou prestação de serviços. O software roda remotamente em um servidor na web. Não é necessária a instalação de cliente na máquina do cliente, basta conectá-lo pela internet. Neste tipo de serviço, paga-se um valor periódico somente pelos recursos utilizados e pelo tempo de uso. Os serviços SaaS mais comuns no mercado são Google Docs, Gmail e SalesForce.

·         PaaS (Plataforma como Serviço): Este tipo de cloud oferece um ambiente de desenvolvimento de aplicações. Ou seja: ações como compilar, desenvolver, depurar e testar passam a ser executadas na nuvem. A vantagem deste serviço é poupar custos, não alocar hardware desnecessariamente e poder de escalabilidade de forma simples sem ter que lidar com o ambiente físico diretamente. Alguns serviços que se encaixam nessa modalidade são: Google AppEngine e Force.com.

·         IaaS (Infraestrutura como Serviço): Refere-se à disponibilidade de uma infraestrutura computacional como um serviço.  A contratação deste serviço será a hospedagem em um datacenter apropriado e escalável e com as especificações necessárias para o momento atual. É cobrado de acordo com a utilização ou pela quantidade de recursos contratados. EC2, da Amazon e BlueCloud, da IBM, são serviços que se encaixam nessa modalidade.

3.1      Modelos de Implantação

Há quatro modelos de implantação a serem descritos a seguir, sendo os modelos de Nuvem Privada e Comunitária ter duas variações: provido pela própria organização ou provedor terceiro, segundo, [Ref 5].

·         Nuvem Privada: A infraestrutura é provida exclusivamente por uma única organização para múltiplos usuários internos da organização. Pode ser gerenciado e operado pela equipe de TI interno, Figura 2, ou através de um provedor externo que disponibiliza recursos exclusivos para a organização contratada com gerenciamento e operação, Figura 3.

Figura 2: Modelo de implantação nuvem privada, provido pela própria organização.

Figura 3: Modelo de implantação nuvem privada, provido por provedor terceiro.

·         Nuvem Comunitária: Na nuvem comunitária a infraestrutura é provida exclusivamente para uso de uma específica comunidade de usuários da organização. Ela pode ser gerenciada e operada pela equipe de TI da organização, conforme exemplo Figura 4, ou através de um provedor terceiro, conforme exemplo Figura 5.

Figura 4: Modelo de implantação nuvem comunitária, provido pela própria organização.

Figura 5: Modelo de implantação nuvem comunitária, provido por provedor terceiro.

·         Nuvem pública: A infraestrutura é aberta ao público em geral. É provido por um provedor terceiro que pode ser uma organização, comunidade acadêmica ou uma organização do governo, ou uma combinação deles, vide exemplo Figura 6.

 

Figura 6: Modelo de implantação nuvem pública

·         Nuvem híbrida: A infraestrutura neste modelo é uma combinação de dois ou mais modelos (privado, comunitário ou público) os quais mantém suas características, mas que possuem padrões de interface que possibilitem a portabilidade de aplicações e dados entre elas, por exemplo, virtualização e balanceamento de carga entre os modelos de nuvem.

3.2      Arquitetura da Nuvem

Baseado no conceito de nuvem, nos tipos de serviços e modelos de implantação pode-se entender a arquitetura, onde IaaS é o fundamento de todos os serviços de nuvem, ou seja a infraestrutura necessária para que os serviços trabalhem sobre ela. O PaaS é construído com base no IaaS, e SaaS por sua vez, sendo construído baseado no PaaS, como descrito no diagrama do Modelo de Referência, [Ref 5], Figura 7.

O IaaS inclui todos os recursos da pilha de infraestrutura desde as instalações até as plataformas de hardware que nela residem. Ela incorpora a capacidade de abstrair os recursos (ou não), bem como oferecer conectividade física e lógica a esses recursos. Finalmente, o IaaS fornece um conjunto de APIs que permitem a gestão e outras formas de interação com a infraestrutura por parte dos consumidores.

O PaaS trabalha em cima do IaaS e acrescenta uma camada adicional de integração com framework de desenvolvimento de aplicativos, recursos de middleware e funções como banco de dados, mensagens e filas, permitindo aos desenvolvedores criar aplicativos para a plataforma cujas linguagens de programação e ferramentas são suportadas pela pilha.

O SaaS por sua vez, é construído sobre as pilhas IaaS e PaaS logo abaixo, e fornece um ambiente operacional autocontido usado para entregar todos os recursos do usuário, incluindo o conteúdo, a sua apresentação, a(s) aplicação(ções) e as capacidades de gestão.

Consequentemente deve ficar claro que existem importantes compensações de cada modelo em termos das funcionalidades integradas, complexidade versus abertura (extensibilidade), e segurança. As compensações entre os três modelos de implantação da nuvem incluem:

·         Geralmente, o SaaS oferece a funcionalidade mais integrada, construída diretamente baseada na oferta, com a menor extensibilidade do consumidor, e um nível relativamente elevado de segurança integrada (pelo menos o fornecedor assume a responsabilidade pela segurança).

·         O PaaS visa permitir que os desenvolvedores criem seus próprios aplicativos em cima da plataforma. Como resultado, ela tende a ser mais extensível que o SaaS, à custa de funcionalidades previamente disponibilizadas aos clientes. Esta troca se estende às características e capacidades de segurança, onde as capacidades embutidas são menos completas, mas há maior flexibilidade para adicionar uma camada de segurança extra.

·         O IaaS oferece pouca ou nenhuma característica típica de aplicações, mas enorme extensibilidade. Isso geralmente significa menos recursos e funcionalidades integradas de segurança além de proteger a própria infraestrutura. Este modelo requer que os sistemas operacionais, aplicativos e o conteúdo possam ser gerenciados e protegidos pelo consumidor da nuvem.

Uma conclusão fundamental sobre a arquitetura de segurança é: quanto mais baixo na pilha (Figura 7) o prestador de serviços de nuvem encontra-se, mais recursos de segurança e gestão o CONTRATANTE deverá gerenciar.

No caso do SaaS, isso significa que os níveis de serviço, segurança, governança, conformidade, e as expectativas de responsabilidade do prestador de serviço estão estipuladas, gerenciadas e exigidas contratualmente. No caso de PaaS ou IaaS é de responsabilidade dos administradores de sistema do cliente gerenciar eficazmente o mesmo, com alguma compensação esperada pelo fornecedor ao proteger a plataforma e componentes de infraestrutura subjacentes que garantam o básico em termos de disponibilidade e segurança dos serviços. Deve ficar claro em qualquer caso que se pode atribuir / transferir a responsabilidade, mas não necessariamente a responsabilidade final.

Figura 7: Modelo de Referência

4       Questões Legais em Contratos

Em muitos países existem várias leis, regulamentos e outros mandatos públicos e de organizações privadas que protegem a privacidade dos dados pessoais e da segurança da informação e sistemas computacionais. Por exemplo, nos países da Ásia e Pacífico, Japão, Coréia do Sul, Austrália e Nova Zelândia, são adotados leis de proteção da informação que requerem um controle efetivo dos dados, tecnologias e medidas administrativas para proteger os dados de perda, alteração, violação e invasão, baseados no guia de privacidade e segurança do Organization of Economic Cooperation and Development (OECD), [Ref 6], e Asia Pacific Economic Cooperation’s (APEC).

O European Economic Area (EEA) promulgou leis de proteção a informação que segue os princípios da União Europeia de 1995, [Ref 7]. Estas leis definem obrigações e componentes de segurança sob responsabilidade dos provedores. Outros países da África (Marrocos e Tunísia) e também do Oriente Médio (Israel e Emirados Árabes Unidos) também adotaram leis similares baseados nos princípios do EEA.

Na América do Norte, Central e Sul alguns países também adotaram leis de proteção da informação. Estas leis incluem requisitos de segurança e obrigações dos controladores dos dados em manter a segurança independente de onde estão locados, especialmente quando transferidos para a responsabilidade de um provedor terceiro.

No Japão, leis de proteção de dados requerem que setores privados façam a proteção de dados pessoais e de dados de segurança. Por exemplo, no setor médico e farmacêutico, onde é necessário que os profissionais da saúde sejam registrados nas associações de classe para que tenham acesso aos dados confidenciais dos pacientes.

Nos Estados Unidos existem muitas leis as quais as empresas que atuam neste país devem seguir. Por exemplo, as regras de segurança e privacidade da lei Gramm-Leach-Bliley (GLBA), [Ref 8], ou a lei de responsabilidade e portabilidade dos seguros de saúde (HIPAA), [Ref 9], requerem que as organizações obriguem as subcontratadas, em seus contratos, a usarem medidas de segurança adequadas no tratamento de dados pessoais privados. As agências do governo, como Federal Trade Commission (FTC) ou State Attorneys General têm mantido organizações responsáveis pelas atividades das subcontratadas. Outro exemplo a Payment Card Industry (PCI) Data Security Standards (DSS), [Ref 10], o qual certifica as transações de cartão de crédito em todo o mundo, possui requerimentos similares no controle de segurança e privacidade de dados.

A Tabela 1 apresenta exemplos de questões legais que interferem na transferência de dados pessoais para a nuvem ou o processamento destes dados na nuvem, segundo [Ref 13], ”Better Practice GuideNegotiating the cloud – legal issues in cloud coputing agreements”.

Tabela 1: Exemplos de questões legais na nuvem

Questão Legal

Descrição

Padrões Internacionais

Padrões como PCI DSS ou ISO 27001, [Ref 11], criam um efeito dominó, pois as companhias que estão sujeitas a estes padrões devem cumpri-las e assegurar que seus subcontratados também cumpram com as normas.

Regulações Internacionais

Muitos países adotaram leis de proteção aos dados conforme OECD e APEC. Nestas leis os controladores dos dados devem manter responsabilidade pela coleta e processamento dos dados pessoais, mesmo que sejam processados por subcontratados. Os controladores devem assegurar que os subcontratados tomem medidas de segurança técnicas e organizacionais para proteger os dados.

Obrigações Contratuais

Mesmo que atividades específicas não estejam reguladas por leis ou normas, as organizações podem incluir obrigações contratuais para proteger os dados pessoais de seus clientes, contatos ou empregados, para assegurar que os dados não sejam acessados, violados ou usados por terceiros. Estas obrigações podem resultar, por exemplo, termos e condições, declarações de privacidade da companhia postada no website da empresa.

Alternativamente, a companhia pode incluir no contrato de serviço dos provedores, cláusulas que garantam a proteção dos dados pessoais de seus clientes ou da companhia, limite de uso, exigir o uso de técnicas de criptografia, firewall e entre outros.

A organização deve assegurar que quando o dado está sob custódia de um provedor na nuvem, o provedor deverá cumprir com a sua política de privacidade ou termo de privacidade do contrato.

Proibição contra transferência de dados para outros países

Diversas leis em vários países proíbem ou restringem a transferência de dados para outros países. Em muitos casos isto é permitido caso os países ofereçam proteção e privacidade aos dados e informações pessoais.

Desta forma é importante que os CONTRATANTES dos serviços em nuvem saibam onde seus dados estão sendo locados, desta forma pode endereçar restrições específicas suportadas por lei ou mesmo cláusulas contratuais que restrinjam ou impeçam a transferência.

4.1      Proteção da Informação

4.1.1      Privacidade

Serviços em nuvem não têm necessariamente a privacidade invadida, mas o CONTRATANTE deve estar ciente que mover os dados para a nuvem significa que os dados estarão fora do seu controle e pode, em alguns casos, ser processados e armazenados fora do país de origem. Diferentes níveis de controle indireto dos dados são possíveis dependendo do tipo de serviço em nuvem e dos tipos de proteção selecionados no contrato, por exemplo, criptografia dos dados.

O CONTRATANTE dos serviços em nuvem precisa estar ciente das obrigações legais de privacidade e segurança dos dados quando for transferir seus dados para o provedor de serviços. Caso as questões de segurança não sejam obtidas por parte do provedor e os dados sejam confidenciais, não se considera apropriado a transferência destes dados para a nuvem.

O CONTRATANTE deve assegurar que o provedor será contratualmente proibido do uso dos dados que não seja para o propósito para o qual foi contratado.

O CONTRATANTE deve assegurar via contrato que o provedor de serviço proteja os seus dados, independente se o provedor esteja local no próprio país ou fora do país de origem do CONTRATANTE. Quando a operação do provedor ocorre fora do país, o CONTRATANTE deve se precaver se esta requisição poderá ser atendida em virtude da legislação local.

4.1.2      Segurança

Claramente uma questão significativa em qualquer serviço em nuvem, onde o provedor mantem ou tem acesso aos dados do CONTRATANTE, é a segurança dos dados. Esta questão é mais importante, na perspectiva do risco, quando os dados são sigilosos ou quando é transferido para fora do país do CONTRATANTE. Desta forma o CONTRATANTE deve desenvolver uma avaliação de risco para apoiar a decisão adotada e abordando os seguintes itens de segurança nos contratos de serviço em nuvem:

·         Armazenamento Físico dos dados: Dados armazenados e processados não devem ser armazenados fora do país do CONTRATANTE sem prévia aprovação do mesmo;

·         Segurança e Criptografia: será aplicado aos dados do CONTRATANTE sob custódia pelo provedor do serviço em nuvem;

·         Protocolos de Segurança: Os protocolos de segurança implementados pelo provedor devem impedir invasões e tentativas de acesso aos dados do CONTRATANTE e do próprio provedor, por pessoas não autorizadas;

·         Descarte de mídias ou equipamentos ou informações: O provedor de serviços deve garantir um processo de reutilização e alienação segura de equipamentos (conforme ISO 27001:2006 anexo A, A.9.2.6 e Anexo A item A.10.7) desta mesma norma;

·         Compartilhamento dos dados: o provedor deve garantir que os dados estão seguros e que o acesso à rede dos dados está conforme os controles do item A.11.4 da norma ISO 27001:2006;

·         Notificação de incidentes de segurança: O CONTRATANTE deve ter acesso aos relatórios e ser informado de eventuais incidentes de segurança, seguindo os padrões da norma ISO 27001:2006 anexo A, item A.13, “Gestão de incidentes de segurança da informação“;

·         Cópias de Segurança: Realizar backup periódico dos dados do CONTRATANTE e teste de retorno das informações em um hardware separado do operado pelo provedor, com restrições de acesso a fim de reduzir o risco de perda e violação dos dados do CONTRATANTE;

·         Requisito específico de segurança dependendo da natureza do serviço e sensibilidade dos dados.   

4.1.3      Confidencialidade

O CONTRATANTE deve definir obrigações contratuais para manter informações particulares confidenciais. Desta forma é importante que estas obrigações sejam transmitidas em circunstâncias em que o provedor esteja armazenando ou acessando este tipo de dados.

Em muitos casos o CONTRATANTE vai querer que o provedor siga um nível mínimo de confidencialidade, no entanto em caso de informações confidenciais o nível de proteção deve ser alto. O CONTRATANTE deve considerar nos contratos:

·         Que o provedor tenha um sistema de gerenciamento de segurança da informação (SGSI) baseado na norma ISO 27001:2006, [Ref 11], com seus devidos controles e atualizações como garantia da confidencialidade, integridade e disponibilidade;

·         A replicação de qualquer obrigação deve estar mencionada em contrato ou lei;

·         Para dados não confidenciais, definir requisitos que assegurem que o provedor esteja ciente do nível de confidencialidade requerido e obrigue-o a proteger de forma adequada;

·         Para dados confidenciais, obrigações mais detalhadas. Em casos de haver necessidade de proteção extra, pode ser apropriado:

o   Requerer que o provedor obtenha acordo de confidencialidade de seus funcionários;

o   Restrinja o acesso a estes dados por parte da equipe do provedor, limitando a alguns funcionários.

o   Tenha em suas práticas procedimentos de segregação de função, reduzindo assim o risco envolvido nas operações dos dados.

4.1.4      Criptografia

Ainda que a Lei de Acesso à Informação, [Ref 12], garanta ao cidadão o direito de acesso à informação sob guarda de órgãos e entidades públicas, a mesma lei estabelece ressalvas para aqueles cuja confidencialidade esteja prevista no texto legal, consideradas sigilosas. Assim, existem informações que por sua natureza exigem controles que garantam a sua confidencialidade, tais como informações pessoais que estão sob tutela do estado. Desta forma, ao tomar a decisão de adotar serviços em nuvem, um ente da administração pública deve precaver-se contra a perda e o roubo de dados.

Para este propósito, a criptografia e o gerenciamento de chaves apresentam-se como método eficiente e eficaz, fornecendo a proteção e acesso aos recursos protegidos. É um método não só recomendado, como também exigido por lei e regulamentos em determinados países.

Como forma de implementação, a recomendação é que se adote a um método de controle e garantia (criptografia, por exemplo) não só para os dados em trânsito (trafegados entre o CONTRATANTE e o provedor de nuvem), quanto para aqueles que estejam em repouso no ambiente do provedor, além de mídias de backup destes dados. Isto protegerá os dados contra acessos indevidos de outros locatários dos serviços de nuvem, de provedores maliciosos, perda ou roubo de mídias.

Para garantir o acesso aos dados criptografados por usuários legítimos e de direito, é fundamental que um processo de gerenciamento de chaves seja definido, com a criação de repositórios seguros de chaves, o acesso limitado a estes repositórios, e a adoção de soluções backup e recuperação de chaves. Neste processo o gerenciamento das chaves deve ser segregado do provedor onde os dados são hospedados, fornecendo maior garantia de confidencialidade.

Cabe ressaltar que, para a adoção de criptografia pela administração pública, a estipulação de tal tecnologia nos contratos deve assegurar a aderência a padrões existentes e reconhecidos no mercado, em conformidade com a legislação existente quando for o caso.

O modelo de serviço a ser contratado irá determinar de quem são as responsabilidades para garantir a criptografia de dados sigilosos em trânsito, em repouso e em backup. Por exemplo, para ambientes IaaS, em que os recursos computacionais estejam no CONTRATANTE, esta responsabilidade é do próprio CONTRATANTE, em casos que os recursos sejam fornecidos pelo provedor, esta responsabilidade fica a cargo do provedor. Para ambientes PaaS, a responsabilidade é semelhante ao do IaaS e para ambientes SaaS a responsabilidade fica a cargo do provedor.

4.1.5      Auditoria

Auditoria dos sistemas do serviço em nuvem é uma forma de verificar o cumprimento das normas e regras de segurança.

Contratualmente, o CONTRATANTE deve exigir:

·         Direito ao auditor geral e aos representantes do comité de auditoria do CONTRATANTE realizar auditoria;

·         Direito ao CONTRATANTE de nomear um auditor subcontratado, que pode ser um auditor que esteja na mesma localização do datacenter do provedor, a fim de reduzir custos e assegurar o cumprimento com as leis locais;

·         Caso tecnicamente possível, o CONTRATANTE ter o direito de monitorar remotamente o acesso a seus dados;

·         O provedor deve fornecer aos auditores independentes registros de desempenho, outros documentos que venham a ser requisitados pelos auditores.

4.1.6      Compensação por Perda de Dados ou Uso Indevido

É possível que os dados do CONTRATANTE sejam perdidos permanentemente pelo provedor de serviço em nuvem, devido a várias circunstâncias que podem ser técnicas ou erros de operação como também incêndio ou outros desastres. Similarmente, existe o risco de uso indevido dos dados por funcionários do provedor ou subcontratados.

Enquanto que a probabilidade de problemas como esses serem minimizados pelo provedor realizando backup dos dados, treinamento técnico e de segurança e manutenção preventiva, é importante que o CONTRATANTE inclua no contrato cláusulas no caso destes problemas ocorrerem, tais como:

·         Não existe exclusão de responsabilidade por parte do provedor, por perdas de dados por razões indiretas ou consequências de outros problemas ou atos;

·         Definir uma indenização a ser pago pelo provedor, proporcional à perda do dado ou uso indevido como resultado de uma negligência, ato ilegal ou errado ou omissão da equipe do provedor ou subcontratado;

·         Definir uma cobertura monetária por responsabilidade por perdas e danos que deve ser suficientemente alto para cobrir financeiramente o CONTRATANTE.

Alguns provedores adicionam aos seus contratos cláusulas em que “o provedor e suas afiliadas não serão responsáveis perante o contratante com relação a qualquer acesso desautorizado, alteração ou eliminação, destruição, dano, perda ou falha no armazenamento de quaisquer dos conteúdos do contratante, limitando a responsabilidade ao valor pago pelo contratante nos termos do contrato” [Ref 15].

4.1.7      Subcontratados

Um componente crítico para assegurar que o CONTRATANTE tenha a proteção adequada de seus dados é assegurar que todos os subcontratados do provedor sigam as mesmas obrigações legais que o provedor. Se isto não for feito, o CONTRATANTE pode não ter a proteção contratada com o provedor, e ter seus dados sob risco. Para tanto, o provedor de serviços deve seguir criteriosamente a ISO 27001:2006, [Ref 11], e seus objetivos de controle apresentados no item A.6.2 “Partes externas” da norma.

4.2      Responsabilidade

4.2.1      Limitações da Responsabilidade

Em comum com os contratos de TIC, os contratos de serviço em nuvem tipicamente procuram minimizar a responsabilidade dos provedores por qualquer perda, que inclui:

·         Exclusão de responsabilidade por razões indiretas ou consequências de outros problemas ou atos;

·         Definição de uma cobertura monetária baixa, equivalente a um ano de multa, ou em alguns casos excluir a responsabilidade completamente.

O CONTRATANTE deve procurar incluir cláusulas de cobertura monetária por responsabilidade do provedor que inclua os seguintes fatos:

·         Danos pessoais (incluindo doença e morte);

·         Perda ou danos à propriedade;

·         Descumprimento a obrigações de privacidade, segurança ou confidencialidade;

·         Violação de propriedade intelectual;

·         Atos ilegais ou omissões;

·         Perdas causadas por interrupção de serviço;

·         Perda de dados;

·         Uso indevido dos dados.

Alguns provedores adicionam aos seus contratos cláusulas em que “o provedor e suas afiliadas não serão responsáveis perante o contratante com relação a qualquer dano direto, indireto, emergente, especial, imprevisto ou multa devido à incapacidade de utilizar os serviços, rescisão ou suspensão do presente contrato, encerramento das ofertas de serviço, qualquer tempo inoperante não previsto ou programado” [Ref 15].

4.3      Desempenho

4.3.1      Acordo de Nível de Serviço

Acordo de nível de serviço é um modo importante de assegurar que o provedor entregue o nível de serviço negociado ou adquirido pelo CONTRATANTE. Isto é particularmente importante quando o serviço em nuvem é crítico para o negócio do CONTRATANTE ou de seus clientes. Há três elementos importantes em um regime efetivo de nível de serviço:

·         O nível de serviço selecionado deve ser relevante, ou seja, deve medir um desempenho que é importante ao CONTRATANTE;

·         O nível de serviço selecionado deve ser fácil de medir e auditar;

·         Em caso de incentivo ao provedor para atingimento dos níveis de serviço esperados, estes devem ser o suficiente para encorajar a melhoria de desempenho do provedor e atingir os níveis desejados. Por outro lado, caso haja créditos pagos pelo provedor ao CONTRATANTE em virtude de falhas nos níveis de serviço, não devem exceder certo valor que não prejudique a operação do provedor.

Alguns provedores adicionam aos seus contratos cláusulas de contrato de nível de serviço como “poderemos alterar, encerrar ou adicionar contratos de nível de serviço periodicamente” [Ref 15].

4.3.2      Tempos de Resposta a Incidentes

Quando uma interrupção em todo ou parte do serviço ocorre, é importante contratualmente impor ao provedor a resolução do incidente dentro do prazo contrato de NAS (Nível de acordo de serviço), sob risco de penalizações em caso destes tempos de resposta caírem abaixo da garantia de serviço acordada. O CONTRATANTE também poderá requerer categorizar tempos de resposta baseados na severidade das falhas.

4.3.3      Flexibilidade do Serviço

Uma das vantagens do serviço em nuvem é oferecer serviço com flexibilidade para ampliar ou reduzir os serviços em virtude da necessidade do CONTRATANTE, os níveis de serviço também variam com a demanda requerida, logo é importante que o CONTRATANTE considere alguns requisitos:

·         Obter tabela de preços do provedor e garantir que em eventual crescimento ou redução da demanda, o CONTRATANTE não pagará preços abusivos que estejam fora da tabela de preços do fornecedor;

·         Havendo mudança na demanda do CONTRATANTE definir como ocorrerá a implementação da alteração de demanda, reduzindo risco de impacto sobre o negócio do CONTRATANTE.

4.3.4      Recuperação de Incidente

Recuperação de incidente sempre é um ponto crítico a ser considerado nos serviços em nuvem, em virtude de afetar consideravelmente o negócio do CONTRATANTE, que espera que o serviço adquirido não tenha interrupção. Algumas ameaças para o negócio do CONTRATANTE são:

·         Interrupção nas redes de comunicação;

·         Falha no software ou hardware;

·         Falha na energia;

·         Desastres (incêndio, inundação, etc.) que impeçam a disponibilidade do serviço.

O CONTRATANTE deve considerar incluir proteções nos contratos para assegurar acesso aos serviços de forma ininterrupta. Por exemplo:

·         Assegurar que o provedor possua datacenter separados geograficamente com plano de recuperação de incidente;

·         Assegurar que o provedor é capaz de operar os serviços, sem interrupção, em caso de falhas de energia;

·         Assegurar que o provedor possua plano de recuperação de incidente e que seja divulgado e aprovado pelo CONTRATANTE;

·         Limitar o direito do provedor de suspender seus serviços em virtude de razão de força maior, mesmo em casos em que o plano de recuperação de desastre foi implantado;

·         Assegurar que os cronogramas de manutenção preventiva dos equipamentos do fornecedor não ocorram em horários em que o CONTRATANTE necessite acessar o serviço.

Alguns provedores adicionam aos seus contratos cláusulas em que “o provedor e afiliados não são responsáveis por qualquer atraso ou descumprimento de qualquer obrigação aqui pactuada, quando o atraso ou descumprimento advir de qualquer causa de força maior (ações trabalhistas, perturbações industriais nos sistemas elétricos ou telecomunicações, terremotos, tempestades ou outros elementos da natureza” [Ref 15].

4.4      Rompimento do Contrato

4.4.1      Rompimento por Conveniência e Indenizações

Como em todos os contratos do governo é importante considerar a inclusão de cláusulas de rompimento prévio do contrato, que permita que o CONTRATANTE encerre a qualquer momento por qualquer razão, havendo notificação com antecedência ao provedor.

Nestes casos de encerramento o CONTRATANTE deve considerar os pagamentos que devem ser aplicados na rescisão, no entanto deve ser valor apropriado que não seja para cobrir o lucro que será perdido pelo provedor.

4.4.2      Rompimento Padrão

O CONTRATANTE deve assegurar o direito de romper o contrato em casos de o provedor não cumprir com o acordo contratual, por exemplo, falhas na recuperação de incidente, má qualidade do nível de serviço, perda dos dados por negligência ou acidentes.

4.4.3      Direito de Rompimento pelo Provedor

A respeito do direito do provedor de romper o contrato, o CONTRATANTE deve considerar a necessidade de incluir cláusula para notificação prévia de um período de tempo suficiente para selecionar outro provedor adequado e não ficar sem seu serviço em operação.

4.4.4      Transição do Serviço

No momento da rescisão do contrato, a saída imediata do provedor pode ser um problema sério e causar prejuízos ao CONTRATANTE por falhas em seu serviço.

Se o CONTRATANTE realizar a transição do serviço para outro provedor ou trouxer de volta o seu serviço para seu próprio datacenter, é importante que o CONTRATANTE considere a inclusão de alguns requisitos ao provedor para realizar a transição:

·         O provedor deverá fornecer toda a assistência na transição incluindo recuperação de todos os dados em formato apropriado e aprovado pelo CONTRATANTE;

·         O provedor deverá fornecer um plano detalhado de transição para dar ao CONTRATANTE a confiança necessária que não terá seu serviço interrompido e vir a ter prejuízos;

·         O provedor não poderá remover ou apagar nenhum dado do CONTRATANTE sem expressa aprovação deste.

4.5      Outras Questões

Existe uma séria de outras questões legais que necessitam ser consideradas nos acordos de serviço em nuvem.

4.5.1      Introdução de Código Fonte Nocivo

Para que o provedor tenha garantias neste tema, devem ser observados pelo CONTRATANTE os controles do provedor conforme exige a norma 27001:2006 item A.10.4 “Proteção contra códigos maliciosos e códigos móveis”. Potenciais ameaças de danos aos dados e sistemas do CONTRATANTE, como por exemplo, vírus e código fonte malicioso, spyware ou malware, poderá ocorrer a qualquer momento e o CONTRATANTE necessita contratualmente que o provedor aplique proteções necessárias contra a entrada destes códigos nocivos e recuperar os dados, caso sejam perdidos ou danificados. Desta forma o CONTRATANTE deve considerar os potenciais impactos da ocorrência e incluir cláusulas no contrato em que impõe ao provedor assegurar a responsabilidade de remover vírus e código nocivo na ocorrência e assegurar a segurança de dados e sistemas.

4.5.2      Propriedade Intelectual

Da mesma forma o CONTRATANTE deve assegurar-se do cumprimento do item A.15 “Conformidade” da norma ISO 27001:2006 pelo provedor. O CONTRATANTE deve assegurar em contrato que não há transferência de propriedade intelectual ao provedor de nenhum dado, sistema ou aplicativo que esteja armazenado e sendo processado pelo provedor.

4.5.3      Requisito de Realização de Atualizações

O CONTRATANTE deve assegurar que todas as atualizações automáticas de software requerido pelos sistemas do provedor são consistentes e compatíveis com os sistemas do cliente.

Alguns provedores adicionam cláusulas nos seus contratos padrão que o provedor poderá “alterar, encerrar ou desaprovar qualquer ofertas de serviço (inclusive as ofertas de serviço como um todo) ou alterar ou remover características ou funcionalidades das ofertas de serviço periodicamente” [Ref 15].

5       Gerenciando o Contrato

As principais questões que deve se levar em consideração no gerenciamento do contrato de serviço em nuvem são:

·         Em primeiro lugar, ter certeza que as cláusulas do contrato são apropriadas e razoáveis para o CONTRATANTE e provedor, caso não, negociar alterações dos termos;

·         Entender os termos do contrato e manter uma cópia impressa do contrato assinado;

·         Assegurar que os níveis de serviço assinados sejam executados e monitorar e auditar, levantando os problemas ao provedor, cobrando as medidas necessárias conforme contrato;

·         Estar preparado para auditar o provedor, particularmente se for um novo provedor. Como o serviço do CONTRATANTE estará sendo operado por um terceiro, é necessário acompanhar de perto para que sua reputação não seja manchada;

·         Manter uma boa relação com o provedor, tratando muitas vezes os pontos que não necessitam recorrer à justiça ou quebra de contrato;

·         Sempre que haja problemas referenciar ao contrato como forma de estar a par do acordo contratual;

·         Procurar ajuda legal para tratamento de questões contratuais que não estejam claras e que não saiba das leis jurídicas locais, principalmente se o provedor for de país estrangeiro.

6       Uso do Guia

Em alguns casos em que um serviço exclusivo é oferecido por apenas um provedor que detém software e hardware proprietário, o contratante deverá lidar com as questões legais do contrato proposto pelo provedor. Em outros casos o contratante é capaz de propor suas próprias condições contratuais.

No uso do guia o contratante deve estar ciente que:

·         Este guia investiga as questões legais principais dos contratos de serviço em nuvem. O CONTRATANTE, desta forma, deve revisar com cuidado os termos e cláusulas contratuais sempre com suporte jurídico;

·         Nem todas as questões legais relacionadas neste guia serão relevantes para cada serviço em nuvem. Algumas relacionadas à proteção da informação podem ser menos importantes no caso de o provedor não ter acesso aos dados do contratante.

Este guia pretende definir as etapas que as Secretarias do Governo de São Paulo devem seguir para que as cláusulas contratuais possam ser incluídas nos contratos de serviço em nuvem.

Primeiramente será definido um método para análise de risco de segurança de um serviço, sistema ou dados do Governo que será migrado para a nuvem. Esta análise de risco visa identificar os riscos, identificar cláusulas contratuais, as quais procuram minimizar a probabilidade de ocorrência dos riscos, apresentar um método de análise qualitativa, estratégia de resposta aos riscos e também identificação de ações as estas respostas selecionadas, com prazo, responsável e situação de cada risco. Vale reforçar que os riscos devem ser analisados pelos responsáveis do serviço. Além disso, vale reforçar que as ações de resposta aos riscos visam minimizar ou até eliminar a probabilidade e impacto de ocorrência do risco. No entanto é necessário que haja um acompanhamento e atualização dos riscos, a fim de que novos riscos sejam identificados. Este processo é importante e deve ser utilizado como lições aprendidas para futuras contratações.

Posteriormente serão definidos critérios para classificar a segurança da informação, em que o CONTRATANTE possa relacionar o serviço, sistema ou mesmo informação que deseja levar para a nuvem com critérios bem definidos de classificação. Por exemplo, uma informação que é crítica e não possa ser acessada, modificada ou mesmo apagada por pessoas não autorizadas, seria classificada de acordo com requisitos de confidencialidade, integridade e disponibilidade da informação.

Por último, a fim de atingir o propósito do guia, será realizado a categorização das cláusulas contratuais em grupos, utilizando também requisitos de confidencialidade, integridade e disponibilidade da informação, para que as Secretarias possam selecionar as cláusulas que se encaixem na classificação da informação. Para o exemplo acima, será categorizado um grupo de cláusulas contratuais que exprime a necessidade de resguardar a informação de acesso e manipulação indevida de pessoas não autorizadas.

Não necessariamente todas as cláusulas destes grupos necessitam ser selecionadas para o contrato, isto irá depender da necessidade específica de segurança por parte do CONTRATANTE e também do custo de adquirir no mercado serviço de um provedor forneça tudo que está no contrato.

As questões legais abortadas no capítulo anterior serviram de premissa para o levantamento das cláusulas contratuais relacionados no Anexo I.

6.1      Análise de Riscos do Serviço, Sistema ou Informação

A análise de risco de serviço, sistema ou informação do Governo, que muitas vezes é sigilosa e requer cuidados de segurança para não haver perda de confidencialidade e integridade, se torna cada vez mais importante quando migrado para os serviços em nuvem, uma vez que os provedores do mercado possuem infraestrutura que estão espalhados em vários países do mundo e muitas vezes não garantem a invasão, acesso e violação destes dados do CONTRATANTE.

É muito importante desta forma que os gestores dos serviços do Governo analisem os riscos de seus serviços serem migrados para a nuvem, quanto à identificação dos riscos, as análises de probabilidade e impacto, o planejamento das respostas e ações aos riscos e o monitoramento e controle das respostas a riscos. Por meio do gerenciamento dos riscos trabalha-se a redução da probabilidade e impacto de ameaças ou eventos negativos e aumento da probabilidade e impacto de oportunidades ou eventos positivos.

Neste trabalho, com base na metodologia CPqD de análise de risco, desenvolveu-se uma planilha de riscos, conforme Anexo II, em que são identificados potenciais riscos para contratação de serviços em nuvem, relacionando cláusulas contratuais do Anexo I que visam reduzir a probabilidade de ocorrência, no entanto não garante a eliminação destes riscos. A fim de que os gestores dos serviços do Governo possam realizar a análise dos riscos, a seguir são descritos os campos os quais precisam ser preenchidos, cujas células estão em cor Azul:

Na aba “Dados”, é requisitado o preenchimento do nome do serviço e dados de quem irá fazer a análise de risco.

Na aba “Análise de Riscos” existem os seguintes campos com as suas devidas descrições e explicações:

·         ID: Número de identificação do risco em ordem crescente;

·         Categoria: Áreas ou fontes de riscos enfrentados em contratos anteriores. Nesta planilha está sendo adotada a classificação do risco de acordo com as questões legais a serem considerados nas contratações;

·         Evento: Lista de identificação do risco pela classificação, a qual compreende os possíveis riscos elencados, cuja coleta pode ser feita através de brainstorming, entrevistas com membros da equipe, contratos de fornecedores, listas de riscos de contratações anteriores, lições aprendidas e etc. Nesta planilha foi feito um levantamento dos riscos de acordo com as questões legais a serem considerados nas contratações.

·         Anexo I - Itens da Cláusula Contratual Correspondente: Compreende as cláusulas contratuais do Anexo I selecionadas para os eventos de risco, que visam reduzir a probabilidade de ocorrência, mas não garantem a eliminação completa deste.

·         Tipo: Dois tipos possíveis: Ameaça ou Oportunidade

o   Ameaça: Se o evento de risco ocorrer traz um impacto negativo ao CONTRATANTE;

o   Oportunidade: Se o evento de risco ocorrer traz um impacto positivo ao CONTRATANTE, por exemplo, aumentar a possibilidade de reduzir custos de TI do CONTRATANTE, através de alocação de mais serviços na nuvem.

·         Probabilidade: Análise subjetiva dos riscos identificados, esta análise da probabilidade utiliza uma escala padrão, como Alta, Médio ou Baixa;

·         Impacto: Análise subjetiva dos riscos identificados, esta análise do impacto utiliza uma escala padrão, como Alta, Médio ou Baixa;

·         Exposição: Classificação automática do nível de exposição ao risco de acordo com a análise qualitativa da probabilidade e impacto, como se segue abaixo. Quanto maior o nível de exposição, maior a priorização do risco, ou seja, demandam respostas mais rápidas e devem ser monitorados a fim de garantir que as ações as respostas aos riscos foram tomadas e surtiram no efeito desejado.

Figura 8: Nível de exposição ao risco

·         Estratégia de Resposta ao Risco: Esta estratégia envolve a análise minuciosa das possíveis respostas e identificar a mais indicada para o evento de risco identificado.

Dentre as opções de estratégias de respostas a AMEAÇAS incluem:

o   Mitigar: Reduzir a probabilidade ou o impacto de uma ameaça, tornando-a um risco menor e removendo-a do alto da lista dos principais riscos. As opções para reduzir a probabilidade são analisadas separadamente das opções para reduzir o impacto. Qualquer redução fará uma diferença, mas a opção que mais reduzir a probabilidade e/ou o impacto deve ser a selecionada como a ação de mitigação. Por exemplo, reduzir a possibilidade de ataques de rackers através da inclusão de cláusulas de criptografia dos dados sensíveis e críticos do Governo;

o   Eliminar: Eliminar a ameaça eliminando a causa, por exemplo, evitar a possibilidade que os dados do CONTRATANTE sejam investigados pelos órgãos de justiça de outros países em que os dados possam estar alocados, impedindo que o provedor transfira ou processe esses dados em outros países;

o   Transferir: Tornar outra parte responsável pelo risco contratando garantias, desempenho ou terceirizando o trabalho. É aqui que o vínculo forte entre riscos e aquisições (contratos) começa. Desta forma é importante que a avaliação dos riscos ocorra antes de assinar um contrato e a transferência dos riscos é incluída nos termos e cláusulas contratuais. Por exemplo, transferir a responsabilidade pelo armazenamento e processamento dos dados, incluindo cláusulas de proteção dos dados, restringindo o acesso, violação ou perdas dos dados, com pena de multa.  

Dentre as opções de estratégias de respostas a OPORTUNIDADES incluem:

o   Explorar (oposto de eliminar): Adicionar trabalho ou mudar o projeto para que a oportunidade ocorra. Por exemplo, explorar a oportunidade de melhoria dos níveis de serviço acima aos níveis requisitados, adicionando bónus por desempenho ao contrato de serviço;

o   Melhorar (oposto de mitigar): Aumentar a possibilidade (probabilidade) e/ou impactos positivos do evento de risco. Por exemplo, aumentar a possibilidade de reduzir custos de TI do CONTRATANTE, através de alocação de mais serviços na nuvem;

o   Compartilhar: Alocar a propriedade da oportunidade a um terceiro (criando uma parceria ou um empreendimento conjunto) que seja mais capacitado para concretizar a oportunidade. Por exemplo, contratar o fornecedor para desenvolver e operar um sistema em nuvem, que propicie melhores resultados ao CONTRATANTE.

Uma estratégia de resposta a AMEAÇAS e OPORTUNIDADES é:

o   Aceitar: A aceitação ativa pode envolver a criação de planos de contingências para serem implementados se o risco ocorrer e alocação de reservas de tempo e custos para apropriação do risco. A aceitação passiva deixa que ações sejam determinadas conforme necessário, se o risco ocorrer posteriormente. Exemplo de plano de contingência: incluir cláusulas contratuais de disponibilidade dos serviços e multas relativas a não cumprimento.

·         Ação: São as ações às estratégias de respostas aos riscos identificadas. Por exemplo, para a estratégia de mitigação, tem atrelado uma ou mais ações de mitigação para o evento de risco e assim por diante;

·         Responsável: Quem será responsável pela ação do risco selecionado;

·         Prazo: Data limite para tomar a ação do risco;

·         Status do Risco: Identificar qual o status atual do risco que pode ser:

o   Aberto: Risco ainda não foi tratado;

o   Eliminado: Risco tratado e foi eliminado da lista de risco;

o   Ocorrido: O risco aconteceu e a ação tomada ou não, não surtiu efeito;

o   Fechado: Risco tratado com sucesso, conforme ação.

6.2      Classificação da Segurança do Serviço, Sistema ou Informação

A perda de confidencialidade, integridade ou disponibilidade dos dados do CONTRATANTE resulta em uma variedade de impactos. O CONTRATANTE muitas vezes necessita entender a extensão da proteção dos dados que a nuvem oferece para que tome decisões racionais a respeito, por exemplo, dos serviços de armazenamento e processamento.

A classificação da informação se torna necessário para que se defina como essa vai ser tratada do ponto de vista de segurança também das necessidades de negócio. Por outro lado uma classificação errônea pode levar ao excesso de proteção, aumentando os custos da infraestrutura e suporte à informação, ou a falta de proteção adequada, que aumenta o risco e pode conduzir a perda da informação.

A seguir segue uma classificação da informação, baseada na importância e necessidade e também nos requisitos de confidencialidade, integridade e disponibilidade que a informação possui. Esta classificação foi adaptada da referência ITIL – Security Management, [Ref 14]. Nesta classificação definiram-se quatro critérios de classificação: Sem critério, Recomendável, Importante e Crítico de acordo com a exigência de segurança, quanto ao CID (confidencialidade, integridade e disponibilidade).

A partir desta classificação o dono da informação define qual critério se enquadra melhor para o nível de segurança necessário para seu negócio.


 


Tabela 2: Critério de classificação da informação

Exigência de Segurança

Sem critério

Segurança não é necessária

Recomendável

Certo grau de segurança é desejável

Importante

Segurança é necessária para a organização

Crítico

Segurança é critério primário, sem ela há impactos para a organização

Confidencialidade

(A informação somente pode ser acessada por

pessoas explicitamente autorizadas)

Pública

A informação pode ser publicada.

A divulgação não autorizada da informação não tem impacto na operação, nos ativos ou indivíduos da organização.

Protegida

Somente pode ser visto por um grupo seleto de pessoas.

A divulgação não autorizada da informação pode ter um efeito adverso limitado na operação, nos ativos ou indivíduos da organização.

Crucial

Somente pode ser visto por pessoas diretamente envolvidas.

A divulgação não autorizada da informação pode ter um efeito adverso sério na operação, nos ativos ou indivíduos da organização.

Obrigatória

Interesses do negócio podem ser gravemente afetados.

A divulgação não autorizada da informação pode ter um efeito adverso catastrófico na operação, nos ativos ou indivíduos da organização.

Integridade

(É a proteção contra modificação imprópria ou destruição, garantia e autenticidade da informação)

Passiva

Sem proteção necessária.

A modificação ou destruição da informação não tem impacto na operação, nos ativos ou indivíduos da organização.

Ativa

Os processos de negócio toleram alguns erros.

A modificação ou destruição da informação pode ter um efeito adverso limitado na operação, nos ativos ou indivíduos da organização.

Detectável

Um número mínimo de erros são permitidos.

A modificação ou destruição da informação pode ter um efeito adverso sério na operação, nos ativos ou indivíduos da organização.

Essencial

Processos de negócio não permitem erros.

A modificação ou destruição da informação pode ter um efeito adverso catastrófico na operação, nos ativos ou indivíduos da organização.

Disponibilidade

(A informação ou sistema de computador deve estar disponível no momento em que a mesma for necessária)

Desnecessária

Sem garantia de disponibilidade.

A interrupção de acesso ou uso da informação ou sistema de informação não tem impacto na operação, nos ativos ou indivíduos da organização.

Necessária

Indisponibilidade ocasional é aceitável.

A interrupção de acesso ou uso da informação ou sistema de informação pode ter um efeito adverso limitado na operação, nos ativos ou indivíduos da organização.

Importante

Em períodos de indisponibilidade há demora em processos.

A interrupção de acesso ou uso da informação ou sistema de informação pode ter um efeito adverso sério na operação, nos ativos ou indivíduos da organização.

Essencial

Indisponibilidade somente em ocasiões excepcionais.

A interrupção de acesso ou uso da informação ou sistema de informação pode ter um efeito adverso catastrófico na operação, nos ativos ou indivíduos da organização.


 

6.3      Categorização de Cláusulas Contratuais

Com base nos critérios adotados na classificação da informação acima, serão definidos os grupos de cláusulas contratuais divididos em: Básico, Recomendável, Importante e Crítico, onde:

·         As cláusulas selecionadas no grupo Básico são todas as cláusulas que estão representadas nos critérios de classificação da informação como Sem Critério;

·         As cláusulas selecionadas no grupo Recomendável são todas as cláusulas que estão representadas nos critérios de classificação da informação como Recomendável;

·         As cláusulas selecionadas no grupo Importante são todas as cláusulas que estão representadas nos critérios de classificação da informação como Importante;

·         As cláusulas selecionadas no grupo Crítico são todas as cláusulas que estão representadas nos critérios de classificação da informação como Critico.

Para fins de formação do contrato, as cláusulas dos grupos que comporão o contrato seguem as seguintes recomendações:

·         As cláusulas classificadas no grupo Básico podem ser consideradas como padrão para todos os contratos de todos os serviços;

·         Havendo seleção de cláusulas do grupo Recomendável, o contrato pode ser composto por estas cláusulas, mais as cláusulas do grupo Básico;

·         Havendo seleção de cláusulas do grupo Importante, o contrato pode ser composto por estas cláusulas, mais as cláusulas do grupo Recomendável e Básico;

·         Havendo seleção de cláusulas do grupo Crítico, o contrato pode ser composto por estas cláusulas, mais as cláusulas do grupo Importante, Recomendável e Básico.

Desta forma, com referência ao Anexo I – Cláusulas contratuais de serviços em nuvem, na tabela a seguir estão definidas as possíveis cláusulas que compõem os grupos definidos nesta seção.

Tabela 3: Relação das cláusulas contratuais do Anexo I por grupo de cláusulas

Grupos de Cláusulas Contratuais

Anexo I – Cláusulas contratuais de serviços em nuvem

Básico

3.1.1; 3.1.2; 3.1.3; 3.1.4; 3.1.5; 3.9.1; 3.9.2; 3.9.4; 3.9.5; 3.9.6; 3.9.7; 3.10.2; 3.10.3; 3.11.1; 3.16.3; 3.18.2; 3.18.3; 3.18.5

Recomendável

3.2.1; 3.5.1; 3.5.2; 3.7.3; 3.7.4; 3.7.5; 3.7.6; 3.7.7; 3.9.3; 3.9.5; 3.10.4; 3.10.5; 3.11.2; 3.11.3; 3.11.4; 3.11.5; 3.11.6; 3.11.7; 3.11.8; 3.12.1; 3.17.1; 3.17.2; 3.18.1; 3.18.4

Importante

3.2.2; 3.2.3; 3.3.1; 3.3.3; 3.3.4; 3.4.1; 3.7.1; 3.7.2; 3.8.3; 3.8.4; 3.10.1; 3.10.6; 3.10.7; 3.13.1; 3.13.2; 3.13.3; 3.13.4; 3.14.1; 3.16.2

Crítico

3.3.2; 3.4.2; 3.4.3; 3.4.4; 3.4.5; 3.6.1; 3.6.2; 3.6.3; 3.6.4; 3.6.5; 3.6.6; 3.8.1; 3.8.2; 3.13.5; 3.15.1; 3.15.2; 3.15.3; 3.15.4; 3.15.5; 3.15.6; 3.16.1

Com referência a esta tabela a Secretaria de Governo pode recomendar as cláusulas mais indicadas para serem utilizadas na contração de serviços em nuvem por todas as Secretarias do Governo de São Paulo. E assim avaliar se vale ou não a pena levar o serviço, sistema ou informação para a nuvem, balanceando o custo associado ao cumprimento dos critérios de segurança e os objetivos estratégicos da organização.

7       Conclusões e recomendações

Este guia busca apontar as questões críticas para contratação de serviços em nuvem, referenciando as cláusulas contratuais que podem ser utilizadas no contrato de tais serviços, para a implementação pela administração pública.

Devido à amplitude do tema, não se pretende esgotá-lo, mas sim oferecer uma referência para a criação de uma política que regulamente junto a Secretaria de Governo do Estado de São Paulo, a adoção de serviços em nuvem de forma segura e sistematizada, e garanta a qualidade, continuidade e melhoria contínua dos serviços prestados aos cidadãos.

Cada serviço ou ativo disponibilizado na nuvem necessita ser avaliado quanto aos requisitos de segurança: confidencialidade, integridade e disponibilidade e também níveis de controles de segurança adotado pelo provedor, como: criptografia, requisitos de auditoria, retenção de dados e recuperação de incidentes. Devem-se avaliar potenciais pontos de exposição das informações e operações sensíveis ao considerar mover aplicações ou serviços para a nuvem. A análise dos riscos de segurança dos serviços, sistemas e dados do Governo se tornam muito importante para decisão de migrar para a nuvem, além de avaliar termos e cláusulas contratuais a serem inseridos nos contratos de serviço do provedor.

Recomenda-se que serviços, sistemas ou informações que sejam estratégicos para o governo que não sejam migrados para nuvem, pois se atribui o controle do negócio a um terceiro, o que implica em um risco desnecessário as instituições do Governo.

Para tanto se torna importante conhecer as combinações e os modelos de implantações e serviços disponíveis e em constante evolução. Cada contexto organizacional exigirá uma análise para entendimento aprofundado dele e posterior decisão quanto ao tipo e modelo de computação em nuvem a ser implementado.

Desta forma, a construção de uma política de adesão à computação em nuvem em organizações públicas deve considerar as ponderações elencadas neste documento, para garantir reduzir o risco de contratações que não atendam as necessidades em termos de segurança, confidencialidade e privacidade, além de flexibilidade que o setor público exige.

8       Anexos

Anexo I – Cláusulas contratuais de serviços em nuvem

Anexo II – Planilha de análise de risco de serviço em nuvem

9       Referências

[Ref 1] Proposta Técnica PT 001/13 - Especificação de Contratação de Serviços em Nuvem

[Ref 2] Governo de São Paulo – Secretaria de Governo: Contrato SGP Nº: 014/2013

[Ref 3] Governo de São Paulo – Secretaria de Governo: Ordem de Serviço da Secretaria de Governo

[Ref 4] SP 800-145: The NIST Definition of Cloud Computing 

[Ref 5] SP 800-146: Cloud Computing Synopsis and Recommendations

[Ref 6] OECD, Guidelines for the Security of Information Systems and Networks — Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org

[Ref 7] Directive 95/46/EC of the European Parliament and the Council of 24 October 1995

[Ref 8] Public Law 106–102 106th Congress

[Ref 9] Public Law 104-191 104th Congress

[Ref 10]  Payment Card Industry (PCI) Data Security Standard

[Ref 11]  ABNT NBR ISO/IEC 27001:2006: Tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação – Requisitos

[Ref 12]  LEI Nº 12.527

[Ref 13]  Better Practice Guide – Negotiating the cloud – legal issues in cloud coputing agreements

[Ref 14]  ITIL – Security Management.

[Ref 15]  Contrato referência: Amazon Web Services