Your SlideShare is downloading. ×
CSA BRASIL:  Aspectos jurídicos da Computação em Nuvem
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

CSA BRASIL: Aspectos jurídicos da Computação em Nuvem

238
views

Published on

A crescente popularização da Computação em Nuvem resulta na necessidade de normatização e padronização da qualidade e segurança dessa nova tecnologia. É imperativo que as empresas, antes de celebrar …

A crescente popularização da Computação em Nuvem resulta na necessidade de normatização e padronização da qualidade e segurança dessa nova tecnologia. É imperativo que as empresas, antes de celebrar qualquer contrato a respeito de tal serviço, conheçam as regras tecnológicas e científicas, bem como os seus direitos e deveres legais. Nesta apresentação, discutirremos a necessidade de normas técnicas e regras jurídicas para apoiar as empresas no processo de contratação de serviços baseados na nuvem. Também apresentamos as principais iniciativas e projetos existentes nesta frente. Palestra criada por Anchises Moraes, André Serralheiro e pelo Dr. Walter Capanema, membros do capítulo Brasil da Cloud Security Alliance (CSA).

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
238
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Picture source: http://www.sxc.hu
  • Sumário: A crescentepopularização do conceito de Cloud Computing e suaadoçãopelasempresasresultananecessidade de normatização epadronização da qualidade e segurançadessa nova tecnologia. Éimperativoque as empresas, antes de celebrarqualquercontrato arespeito de talserviço, conheçam as regrastecnológicas e científicas,bemcomoosseusdireitos e devereslegais.Nestaapresentação, pretendemosdiscutir a necessidade de seestabeleceremnormastécnicas/científicas e regrasjurídicasparaapoiaras empresas no processo de contratação de serviçosbaseadosnanuvem,assimcomoapresentar as principaisiniciativas e projetosexistentesnestafrente.
  • Source: “NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”
  • Essential Characteristics: On-demand self-service. A consumer can unilaterally provision computing capabilities, such as server time and network storage, as needed automatically without requiring human interaction with each service’s provider. Broad network access. Capabilities are available over the network and accessed through standard mechanisms that promote use by heterogeneous thin or thick client platforms (e.g., mobile phones, laptops, and personal digital assistants [PDAs]). Resource pooling. The provider’s computing resources are pooled to serve multiple consumers using a multi-tenant model, with different physical and virtual resources dynamically assigned and reassigned according to consumer demand. There is a sense of location independence in that the customer generally has no control or knowledge over the exact location of the provided resources but may be able to specify location at a higher level of abstraction (e.g., country, state, or datacenter). Examples of resources include storage, processing, memory, network bandwidth, and virtual machines. Rapid elasticity. Capabilities can be rapidly and elastically provisioned, in some cases automatically, to quickly scale out and rapidly released to quickly scale in. To the consumer, the capabilities available for provisioning often appear to be unlimited and can be purchased in any quantity at any time. Measured Service. Cloud systems automatically control and optimize resource use by leveraging a metering capability at some level of abstraction appropriate to the type of service (e.g., storage, processing, bandwidth, and active user accounts). Resource usage can be monitored, controlled, and reported, providing transparency for both the provider and consumer of the utilized service. Service Models: Cloud Software as a Service (SaaS). The capability provided to the consumer is to use the provider’s applications running on a cloud infrastructure. The applications are accessible from various client devices through a thin client interface such as a Web browser (e.g., Web-based email). The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, storage, or even individual application capabilities, with the possible exception of limited userspecific application configuration settings. Cloud Platform as a Service (PaaS). The capability provided to the consumer is to deploy onto the cloud infrastructure consumer-created or acquired applications created using programming languages and tools supported by the provider. The consumer does not manage or control the underlying cloud infrastructure including network, servers, operating systems, or storage, but has control over the deployed applications and possibly application hosting environment configurations. Cloud Infrastructure as a Service (IaaS). The capability provided to the consumer is to provision processing, storage, networks, and other fundamental computing resources where the consumer is able to deploy and run arbitrary software, which can include operating systems and applications. The consumer does not manage or control the underlying cloud infrastructure but has control over operating systems, storage, deployed applications, and possibly limited control of select networking components (e.g., host firewalls).Deployment Models: Private cloud. The cloud infrastructure is operated solely for an organization. It may be managed by the organization or a third party and may exist on premise or off premise. Community cloud. The cloud infrastructure is shared by several organizations and supports a specific community that has shared concerns (e.g., mission, security requirements, policy, and compliance considerations). It may be managed by the organizations or a third party and may exist on premise or off premise. Public cloud. The cloud infrastructure is made available to the general public or a large industry group and is owned by an organization selling cloud services. Hybrid cloud. The cloud infrastructure is a composition of two or more clouds (private, community, or public) that remain unique entities but are bound together by standardized or proprietary technology that enables data and application portability (e.g., cloud bursting for load balancing between clouds).
  • O Objetivo principal do capítulobrasileiroépromover o conhecimentoemSegurançapara Cloud Computing, através da divulgação das iniciativas da CSA (incluindo a tradução do material produzidopela CSA ) e promoveriniciativaslocais e a produção de conteúdo original, comopesquisas e artigos.
  • A CSA fornece a Certificação “Certificate of Cloud Security Knowledge (CCSK)”baseadanosrelatórios "Security Guidance for Critical Areas of Focus in Cloud Computing, V3” da CSA e "Cloud Computing: Benefits, Risks and Recommendations for Information Security" da ENISA (European Network and Information Security Agency)O Exameéfeito online. Maisinformaçõesem https://ccsk.cloudsecurityalliance.org
  • Neste slide estãolistadas as diversasiniciativas de pesquisaexistentesatualmente (Setembro/2012) na CSA.Osprincipaisdestaquessão:CSA Security Guidance, uma das iniciativaspioneiras no mercado de desenvolver um guiaespecíficosobresegurançaem Cloud Computing, queestáautalementenaterceiraedição. Cometarqueexisteumainiciativa de tradução do guiaparaportugues.Projeto STAR da CSA, que visa criar um baseline e um self-assessement p/ osprovedores de cloud, e tambémmencionar o surgimento da norma ISO.Participação com ABNT naconstrução da norma ISO…
  • mas da omissão do provedor de acesso, uma vez notificado pela vítima
  • Até que tenha tempo hábil para apreciar a veracidade das alegações, e confirmando-as, exclua definitivamente o perfil ou, tendo-as por infundadas, restabeleça seu livre acesso.O provedor não pode postergar por prazo indeterminado a análise.
  • Picture source: http://sxc.hu
  • Fonte da imagem: http://www.sxc.huStandard Cloud offeringsStandard security procedures
  • Fonte da imagem: http://www.sxc.hu09/04/2013: Projeto de Lei n. 5344/2013, peloDeputadoRuyCarneiro (PSDB-PB), que: "Dispõesobrediretrizesgeraisenormaspara a promoção, desenvolvimentoeexploraçãodaatividade de computaçãoemnuvem no País”http://www.camara.gov.br/proposicoesWeb/fichadetramitacao?idProposicao=570970
  • The Cloud Security Alliance (CSA) announces the launch of a new initiative to encourage transparency of security practices within cloud providers. The CSA Security, Trust & Assurance Registry (STAR) is a free, publicly accessible registry that documents the security controls provided by various cloud computing offerings, thereby helping users assess the security of cloud providers they currently use or are considering contracting with.CSA STAR is open to all cloud providers, and allows them to submit self assessment reports that document compliance to CSA published best practices. The searchable registry will allow potential cloud customers to review the security practices of providers, accelerating their due diligence and leading to higher quality procurement experiences. CSA STAR represents a major leap forward in industry transparency, encouraging providers to make security capabilities a market differentiator.CSA STAR will be online in Q4 of 2011. Cloud providers can submit two different types of reports to indicate their compliance with CSA best practices:The Consensus Assessments Initiative Questionnaire (CAIQ), which provides industry-accepted ways to document what security controls exist in IaaS, PaaS, and SaaS offerings. The questionnaire (CAIQ) provides a set of over 140 questions a cloud consumer and cloud auditor may wish to ask of a cloud provider. Providers may opt to submit a completed Consensus Assessments Initiative Questionnaire.The Cloud Controls Matrix (CCM), which provides a controls framework that gives detailed understanding of security concepts and principles that are aligned to the Cloud Security Alliance guidance in 13 domains. As a framework, the CSA CCM provides organizations with the needed structure, detail and clarity relating to information security tailored to the cloud industry. Providers may choose to submit a report documenting compliance with Cloud Controls Matrix.
  • Fonte da imagem: http://commons.wikimedia.org/wiki/File:NWS-IMET-deployed.jpg
  • Transcript

    • 1. 1Picturesource:sxc.huAspectos Jurídicos daComputação em NuvemAnchises M. G. de PaulaAndré SerralheiroWalter Capanema
    • 2. 2• O que é Cloud Computing• Cloud Security Alliance• Aspectos Jurídicos• TendênciasAgenda
    • 3. 3Picturesource:sxc.huCLOUD COMPUTINGO que é a computação em nuvem
    • 4. 4O que é a computação em nuvem (1)fonte: sxc.hu“Cloud computing is a model for enablingubiquitous, convenient, on-demand network accessto a shared pool of configurable computingresources (e.g., networks, servers, storage,applications, and services) that can be rapidlyprovisioned and released with minimalmanagement effort or service provider interaction.”In“NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”
    • 5. 5O que é a computação em nuvem (2)fonte: sxc.huIn “Security Guidance for Critical Areas of Focus in Cloud Computing v3”
    • 6. 6Picturesource:sxc.huCLOUD SECURITY ALLIANCECloud Security Alliance e Capitulo Brasileiro
    • 7. 7–Associação sem fins lucrativos–Reúne pessoas físicas e empresas– Oficializada em dezembro de 2008– +35mil membros, +130 membros corporativos– Presente em 23 países através de 30 Chapterslocais (setembro/2012)CloudSecurity Alliance (CSA)
    • 8. 8“Promover a utilizaçãodas melhorespráticaspara fornecer garantiade segurança dentro deCloudComputing, eoferecer educaçãosobre os usos de CloudComputing para ajudara proteger todas asoutras formas decomputação.”MissãoPicturesource:sxc.hu
    • 9. 9• Segundo Chapter oficialda CSA– Oficializadoem 27 deMaio de 2010• Segue Missão eObjetivos da CSA Global– Promover aSegurançaem CloudComputing– Promoverpesquisas einiciativaslocaisCSA Brasil
    • 10. 10• Certificação“Certificateof Cloud SecurityKnowledge (CCSK)”– Exame online– Custode USD $295.• Treinamento– CCSK training– PCI Cloud training– GRC Stack trainingEducaçãohttps://cloudsecurityalliance.org/educationhttps://ccsk.cloudsecurityalliance.org
    • 11. 11Algumas das iniciativas de pesquisahttps://cloudsecurityalliance.org/research
    • 12. 12“Este documento destaca algumas das motivações maiscomumente apontadas como justificativas para a adoção deComputação em Nuvem, bem como alguns dos aspectos a seremconsiderados quanto a cada uma destas motivações. Com estedocumento a CSA Brazil Chapter pretende contribuir com gestorese tomadores de decisão quanto à decisão sobre a adoção deComputação em Nuvem em suas organizações.”– Uelinton Santos, Luiz Augusto Amelotti, Filipe Villar, EduardoFedorowiczIniciativade pesquisa: White Paper - Adoção decomputação em Nuvem e suas motivaçõeshttps://chapters.cloudsecurityalliance.org/brazil/2012/08/17/white-paper-adocao-de-computacao-em-nuvem-e-suas-motivacoes/
    • 13. 13Picturesource:sxc.huASPECTOS JURÍDICOSNormas e Regramentos
    • 14. 14Contrato de prestação deserviçosemqueumaempresa/pessoafísica(PROVEDOR) permite ouso deseusrecursoscomputacionais(rede, servidores,espaçoem disco,aplicações) por umCLIENTE.Conceitofonte: sxc.hu
    • 15. 15Vaidepender do modelo denegócio/cliente:LegislaçãoAplicávelfonte: sxc.hu
    • 16. 16Contratosfonte: sxc.huCLÁUSULASNECESSÁRIASLocal dos dadosBackups erecuperação dedesastresData retentionQuem vai teracesso e qualtipo
    • 17. 17Contratosfonte: sxc.huCLÁUSULASNECESSÁRIASRequisitos desegurança e TIAuditoriaexternaCriptografia dosdadosTempo deresposta pararecuperação
    • 18. 18Contratosfonte: sxc.huCLÁUSULASNECESSÁRIASDestino dos dadoscom o fim docontratoNotificação sobreinvasão/exposiçãoTerceiros podemter acesso aosdados?Provedor podeutilizar os dados?
    • 19. 19Responsabilidade Civilfonte: sxc.huArt. 14Art. 927
    • 20. 20Responsabilidade Civil:Código Civilfonte: sxc.hu"Art. 927. Aqueleque, poratoilícito (arts. 186 e187), causardano a outrem, fica obrigado a repará-lo.Parágrafoúnico. Haveráobrigação de reparar odano, independentemente de culpa,noscasosespecificadosem lei, ouquando aatividadenormalmentedesenvolvidapeloautor dodanoimplicar, porsuanatureza, riscoparaosdireitosde outrem."
    • 21. 21Responsabilidade Civil:Código de Defesa do Consumidorfonte: sxc.hu"Art. 14. O fornecedor de serviçosresponde,independentemente da existência de culpa,pelareparação dosdanoscausadosaosconsumidorespordefeitosrelativosàprestação dos serviços,bemcomoporinformaçõesinsuficientesouinadequadassobresuafruição e riscos".
    • 22. 22Responsabilidade Civil:ProblemaJurisprudencialfonte: sxc.huSuspensãopreventiva deconteúdoSTJ - Resp 1.316.921/RJ
    • 23. 23Sistemanoticeandtakedown(NTD)23Responsabilidade Civil:ProblemaJurisprudencial
    • 24. 24ReclamaçãoSuspensãoPreventiva(24 h)Análise daReclamação RespostaProcedimentoextrajudicial24Responsabilidade Civil:ProblemaJurisprudencial
    • 25. 25Se o provedor não fizer asuspensão preventivaResponde solidariamentecom o autor da ofensa25Responsabilidade Civil:ProblemaJurisprudencial
    • 26. 26ProblemasPráticos:Extinção Unilateral no Contrato“Se vocêdeixar de cumpriroua Applesuspeitarquevocêdeixou decumprirquaisquerdisposiçõesdesteContrato, a Apple, aseuexclusivocritério, semaviso a você, poderá: (i)rescindir o presenteContrato e/ousuaConta, evocêpermaneceráresponsávelportodososmontantesdevidos sob suaContaaté e incluindo a data da rescisão e/ou(ii) revogar a licença do software, e/ou (iii) impedir oacessoaoServiço iTunes (ouqualquer parte dele).”
    • 27. 27ProblemasPráticos:Exclusão de Responsabilidade"You, and not Dropbox, are responsible formaintaining and protecting all of your stuff.Dropbox will not be liable for any loss orcorruption of your stuff, or for any costs orexpenses associated with backing up or restoringany of your stuff”.
    • 28. 28ProblemasPráticos:AcionarEmpresaEstrangeiraArt. 88, Código de Processo Civil: "Écompetente aautoridadejudiciáriabrasileiraquando:(…)III - a ação se originar de fatoocorridoou deatopraticado no Brasil."
    • 29. 29Picturesource:sxc.huTENDÊNCIASQuenuvenstemos no horizonte?
    • 30. 30Motivação:• Privacidade• Proteção de DadosRegulamentaçõesfonte: sxc.hu
    • 31. 31• Leis de Privacidade deDados• Padronização de ofertasde Cloud Computing• Padronização daSegurançaem CloudComputing– “Trusted Cloud”– Assessement& AuditIniciativasRegulatóriasGlobaisfonte: sxc.hu
    • 32. 32IniciativasRegulatóriasGlobaisfonte: sxc.hu• ISO/IEC working drafts– ISO/IEC 27017 – Guidelineson information securitycontrols for the use ofcloud computing servicesbased on ISO/IEC 27002– ISO/IEC 27018 - Code ofpractice for data protectioncontrols for public cloudcomputing services
    • 33. 33• PL 5344/2013,deputadoRuyCarneiro(PSDB-PB)– Relaçõesentre usuários eempresasfornecedoras– Responsabilidadepelosdados– “Neutralidadetecnológicae de rede”IniciativasRegulatórias no Brasilfonte: sxc.hu
    • 34. 34– Registro gratuito e de acesso público dos controlesde segurança de diversos provedores de CloudComputing;– Relatórios de auto-avaliação sobre compliancecom as melhores práticas publicadas pela CSA;– Ajuda os usuários a avaliarem a segurança dosprovedores de Cloud.Iniciativade pesquisa: CSA Security, Trust &Assurance Registry (STAR)https://cloudsecurityalliance.org/star/
    • 35. 35• Muitasnuvens a frente• Sujeito a chuvas etrovoadasesporádicas• Tenhasempre umguarda-chuvapróximoPrevisão do Tempofonte: Wikimedia Commons
    • 36. 36• Anchises de Paula – anchisesbr@gmail.com• André Serralheiro - serralheiro@gmail.com• Walter Capanema - contato@waltercapanema.com.br• Cloud Security Alliancehttps://www.cloudsecurityalliance.org• Cloud Security Alliancehttps://chapters.cloudsecurityalliance.org/brazil• Twitter - @csabr• Fan Page - https://www.facebook.com/CSA.CapituloBrasilContato
    • 37. 37Picturesource:sxc.huOBRIGADOAnchises Moraes G. de PaulaAndré SerralheiroWalter Capanema