Aspectos Legais e Regulatórios

em Cloud Computing

Picture source: sxc.hu

Anchises Moraes
@anchisesbr @RSASecurity @BSidesSP
Walter Capanema
@waltercapanema
1
 Agenda

• O que é Cloud Computing

• Aspectos Jurídicos

• Novas Regulamentações
Source: sxc.hu

2
 Picture source: sxc.hu
CLOUD COMPUTING
O que é a computação em nuvem

3
O que é a computação em nuvem (0)

4
O que é a computação em nuvem (1)

“Cloud computing is a model for enabling

ubiquitous, convenient, on-demand network access
to a shared pool of configurable computing
resources (e.g., networks, servers, storage,
applications, and services) that can be rapidly
provisioned and released with minimal
management effort or service provider interaction.”

In “NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”

5
O que é a computação em nuvem (2)

6
O que é a computação em nuvem (3)

Infrastructure as a Service Provedor de

(IaaS) Computação
Software as a Service
(SaaS)
em Nuvem
Platform as a Service
(PaaS)

Cliente de
Computação
em Nuvem

fonte: sxc.hu 7
Receios para adoção da Nuvem

Fonte: ISACA, “Why Cloud Computing Should8

Be Part of Business Strategy”8(2015)
 Nuvem e Segurança

Benefícios de segurança: patches e

94% antivírus atualizados, proteção contra
spam, etc

91% Aumento na segurança da empresa

75% serviço
Melhorias em disponibilidade do

Fonte: Microsoft, “Small and midsize businesses cloud trust study: U.S. study results” 9
Nuvem e Segurança

10
 Picture source: sxc.hu
ASPECTOS JURÍDICOS
Normas e Regramentos

11
 Conceito

Contrato de prestação de
serviços em que uma
empresa/pessoa física
(PROVEDOR) permite o
uso de seus recursos
computacionais
(rede, servidores, espaço
em disco, aplicações) por
um CLIENTE.
fonte: sxc.hu

12
 Legislação Aplicável

Vai depender do modelo de

negócio / cliente:

fonte: sxc.hu

13
Responsabilidade Civil

Art. 927

Art. 14
fonte: sxc.hu

14
 Responsabilidade Civil:
Código Civil
"Art. 927. Aquele que, por ato ilícito (arts. 186 e
187), causar dano a outrem, fica obrigado a repará-
lo.

Parágrafo único. Haverá obrigação de reparar o

dano, independentemente de culpa, nos casos
especificados em lei, ou quando a atividade
normalmente desenvolvida pelo autor do dano
implicar, por sua natureza, risco para os direitos de
outrem." fonte: sxc.hu

15
 Responsabilidade Civil:
Código de Defesa do Consumidor

"Art. 14. O fornecedor de serviços responde,

independentemente da existência de culpa, pela
reparação dos danos causados aos consumidores
por defeitos relativos à prestação dos serviços,
bem como por informações insuficientes ou
inadequadas sobre sua fruição e riscos".

fonte: sxc.hu

16
 Marco Civil da Internet

• Lei nº 12.965
de 23 de Abril de 2014

• Direitos e garantias dos

usuários de Internet

17
 Marco Civil da Internet

Art. 7°, incisos VII a XI

VII – não fornecimento a terceiros de seus dados pessoais,
• Proteger a privacidade inclusive registros de conexão, e de acesso a aplicações de
internet, salvo mediante consentimento livre, expresso e
do usuário informado ou nas hipóteses previstas em lei;
VIII – informações claras e completas sobre coleta, uso,
armazenamento, tratamento e proteção de seus dados
– Dados pessoais e pessoais, que somente poderão ser utilizados para finalidades
que:
registros de acesso a) justifiquem sua coleta;
b) não sejam vedadas pela legislação; e
c) estejam especificadas nos contratos de prestação de
serviços ou em termos de uso de aplicações de internet;

• Exigência de termos de IX – consentimento expresso sobre coleta, uso,

armazenamento e tratamento de dados pessoais, que deverá
ocorrer de forma destacada das demais cláusulas contratuais;
uso claros X – exclusão definitiva dos dados pessoais que tiver fornecido
a determinada aplicação de internet, a seu requerimento, ao
término da relação entre as partes, ressalvadas as hipóteses
de guarda obrigatória de registros previstas nesta Lei;
XI – publicidade e clareza de eventuais políticas de uso dos
provedores de conexão à internet e de aplicações de internet;

18
 Marco Civil da Internet

Art. 11
Em qualquer operação de coleta, armazenamento,
• Aplicação da Legislação guarda e tratamento de registros, de dados pessoais ou
de comunicações por provedores de conexão e de
Brasileira aplicações de internet em que pelo menos um desses
atos ocorra em território nacional, deverão ser
obrigatoriamente respeitados a legislação brasileira e os
direitos à privacidade, à proteção dos dados pessoais e
ao sigilo das comunicações privadas e dos registros.
• Mesmo se o Provedor § 1º O disposto no caput aplica-se aos dados coletados
em território nacional e ao conteúdo das comunicações,
de Cloud tem sede no desde que pelo menos um dos terminais esteja
localizado no Brasil.
exterior § 2º O disposto no caput aplica-se mesmo que as
atividades sejam realizadas por pessoa jurídica sediada
no exterior, desde que oferte serviço ao público
brasileiro ou pelo menos uma integrante do mesmo
grupo econômico possua estabelecimento no Brasil.
(...)

19
 Marco Civil da Internet

• Dever de guarda de logs Art. 15

O provedor de aplicações de internet constituído na forma de
de aplicação pessoa jurídica e que exerça essa atividade de forma organizada,
profissionalmente e com fins econômicos deverá manter os
respectivos registros de acesso a aplicações de internet, sob sigilo,
em ambiente controlado e de segurança, pelo prazo de 6 (seis)
meses, nos termos do regulamento.
§ 1º Ordem judicial poderá obrigar, por tempo certo, os provedores

• Prazo de 6 meses
de aplicações de internet que não estão sujeitos ao disposto no
caput a guardarem registros de acesso a aplicações de internet,
desde que se trate de registros relativos a fatos específicos em
período determinado.
§ 2º A autoridade policial ou administrativa ou o Ministério Público
poderão requerer cautelarmente a qualquer provedor de
aplicações de internet que os registros de acesso a aplicações de
• Vale para Provedores de internet sejam guardados, inclusive por prazo superior ao previsto
no caput, observado o disposto nos §§ 3º e 4º do art. 13.
§ 3º Em qualquer hipótese, a disponibilização ao requerente dos
Aplicação que sejam registros de que trata este artigo deverá ser precedida de
autorização judicial, conforme disposto na Seção IV deste Capítulo.

pessoas jurídicas § 4º Na aplicação de sanções pelo descumprimento ao disposto

neste artigo, serão considerados a natureza e a gravidade da
infração, os danos dela resultantes, eventual vantagem auferida
pelo infrator, as circunstâncias agravantes, os antecedentes do
infrator e a reincidência.

20
 Marco Civil da Internet

Art. 19
Com o intuito de assegurar a liberdade de expressão e
• Provedor de Aplicação impedir a censura, o provedor de aplicações de internet
somente poderá ser responsabilizado civilmente por danos
só responde por decorrentes de conteúdo gerado por terceiros se, após ordem
judicial específica, não tomar as providências para, no âmbito
e nos limites técnicos do seu serviço e dentro do prazo
conteúdo de terceiro se assinalado, tornar indisponível o conteúdo apontado como
infringente, ressalvadas as disposições legais em contrário.
intimado judicialmente § 1º A ordem judicial de que trata o caput deverá conter, sob
pena de nulidade, identificação clara e específica do conteúdo
e nada fizer apontado como infringente, que permita a localização
inequívoca do material.
§ 2º A aplicação do disposto neste artigo para infrações a
direitos de autor ou a direitos conexos depende de previsão
legal específica, que deverá respeitar a liberdade de
expressão e demais garantias previstas no art. 5º da
Constituição Federal.
(...)

21
 Picture source: sxc.hu
NOVAS REGULAMENTAÇÕES
Que nuvens temos no horizonte?

22
 Regulamentações

Motivação:

• Privacidade

• Proteção de Dados

• Padronização de
serviços

23
 Iniciativas Regulatórias Globais

• Leis de Privacidade de
Dados
• Padronização de ofertas
de Cloud Computing
• Padronização da
Segurança em Cloud
Computing
– “Trusted Cloud”
– Assessement & Audit
fonte: sxc.hu

24
Privacidade de Dados no Brasil

• PL 4060/2012,
deputado Milton Monti
(PR-SP)

• MJ: Anteprojeto de lei

de proteção de dados
pessoais

fonte: sxc.hu

25
 Iniciativas Regulatórias no Brasil

• PL 5344/2013,
deputado Ruy Carneiro
(PSDB-PB)
– Relações entre usuários
e empresas
fornecedoras
– Responsabilidade pelos
dados
– “Neutralidade
tecnológica e de rede”
fonte: sxc.hu

26
 Iniciativas Regulatórias Globais

• Iniciativas da ISO/IEC

– ISO/IEC 27017:2015 –
Guidelines on information
security controls for the
use of cloud computing
services based on ISO/IEC
27002
– ISO/IEC 27018:2014 –
Code of practice for data
protection controls for
public cloud computing
services
fonte: sxc.hu

27
 ISO/IEC 27017

Guidelines on • Diretrizes que

adicionam e
Information Security complementam as
Controls for the use oferecidas na norma
of Cloud Computing ISO/IEC 27002
Services based on • Controles de segurança
específicos para
ISO/IEC 27002
ambientes em nuvem

28
 Exemplo - ISO/IEC 27017

Seção 6.1.1
Information security roles
and responsibilities

Fonte: http://www.iso27001security.com/html/27017.html 29
 Exemplo - ISO/IEC 27017

NBR 27002:2013
Seção 12.4.3 - Registros de eventos (log) de administrador e
operador
Controle
Convém que as atividades dos administradores e operadores do
sistema sejam registradas e os registros (logs) protegidos e analisados
criticamente, a intervalos regulares.
Diretrizes para implementação
As pessoas que possuem conta de usuário privilegiado podem ser
capazes de manipular os registros (logs) nos recursos de
processamento da informação que estão sob o seu controle direto,
sendo portanto necessário proteger e analisar criticamente os
registros (logs) para manter o controle dos usuários privilegiados.

Fonte: http://www.iso27001security.com/html/27017.html 30
 Exemplo - ISO/IEC 27017

Como vai ficar a NBR 27017

Seção 12.4.3 - Registros de eventos (log) de administrador e
operador
O controle 12.4.3, a diretriz de implementação associada e outras
informações especificadas na ABNT NBR ISO/IEC 27002 são aplicáveis. As
seguintes diretrizes específicas do setor também se aplicam.
Diretrizes para implementação de serviços em nuvem:
Cliente do serviço em nuvem Provedor de serviço em nuvem
Se uma operação privilegiada é delegada ao (nenhuma diretriz de implementação adicional)
cliente do serviço em nuvem, a operação e o
desempenho dessas operações devem ser
registradas. O cliente do serviço em nuvem deve
determinar se os recursos de registro fornecidos
pelo provedor de serviço em nuvem são
apropriados ou se o cliente do serviço em nuvem
deve implementar tais capacidades adicionais de
registro (log).

Fonte: http://www.iso27001security.com/html/27017.html 31
 ISO/IEC 27017

• Publicada em 30/11/2015
• 30 páginas
• http://www.iso.org/iso/catalogue_detail?csnumber=43757

32
 NBR 27017

• ABNT participou da
elaboração da norma
ISO/IEC 27017
www.abnt.org.br
• Versão Brasileira deve ir para
consulta nacional em breve (dez/2015):
NBR 27017 - Código de prática para controles
de segurança da informação com base na
norma ISO/IEC 27002 para serviços em nuvem

33
 CSA Security, Trust & Assurance
Registry (STAR)
• Avaliação da segurança
dos provedores de
Nuvem
– Auto-avaliação
– Auditoria e certificação
• Baseado nas melhores
práticas da CSA
– Cloud Controls Matrix
(CCM)

34
CSA Security, Trust & Assurance
Registry (STAR)

35
 Para onde vamos?

• Regulamentações Globais e Locais

• Privacidade x vigilância governamental
• Dependência da nuvem
• IoT

36
 Contato

• Anchises Moraes – @anchisesbr

• Walter Capanema – www.waltercapanema.com.br

• Cloud Security Alliance

https://www.cloudsecurityalliance.org
• Cloud Security Alliance Brazil
https://chapters.cloudsecurityalliance.org/brazil
https://www.linkedin.com/groups?gid=3079437
https://www.facebook.com/CSA.CapituloBrasil
Twitter - @csabr

37
 Picture source: sxc.hu
OBRIGADO
Anchises Moraes
Walter Capanema

38