Atualmente, num ambiente cada vez mais conectado e cada vez mais exposto, no qual as empresas exigem um nível de segurança cada vez maior, os fornecedores de serviços cloud devem ter em conta muitos fatores e responsabilidades.
Devemos ter em conta fatores não apenas relativos ao nível de serviço, mas também ao nível regulatório.
Todos estes fatores podem comprometer a qualidade do nosso serviço, bem como a sua segurança, e devemos sempre ter em mente que uma violação de segurança pode levar não só a perdas económicas ou até sanções, mas também a um impacto na imagem da empresa, que poderia, assim, levar à perda de confiança por parte dos nossos clientes.
Hoje em dia, o ativo mais importante das empresas são os dados, pelo que devemos garantir que o nosso modelo de negócio facilite a gestão e proteção desses ativos. A adesão a um quadro regulamentar e padrões de qualidade permite-nos cumprir muitas dessas necessidades. Além disso, contar com o apoio de uma entidade que garante, de alguma forma, que atendemos e até superamos, até certo ponto, os requisitos estabelecidos pela regulamentação é uma vantagem competitiva e uma garantia para as pequenas empresas de TI e para os seus clientes.
Imagem. Logótipo do CISPE
Como resposta a este problema, surgiu a nível europeu uma organização que visa garantir que os fornecedores de cloud cumpram um conjunto de boas práticas na prestação dos seus serviços.
O que é a CISPE?
O CISPE (Fornecedores e Serviços de Infraestrutura de Cloud da Europa) é uma coligação criada para dar aos fornecedores de serviços na nuvem europeus um código de conduta para proteção de dados (entre outras coisas) e, assim, garantir a conformidade com os regulamentos atuais: o Regulamento Geral de Proteção de Dados (RGPD).
Esta coligação é constituída por vários órgãos, entre os quais uma comissão encarregada de zelar pelo cumprimento das normas definidas por aquela entidade e de tratar das reclamações e queixas relacionadas com o incumprimento das obrigações dos sócios vinculados a esta coligação.
A adesão ao CISPE proporciona um certo suporte, uma vez que todas as empresas associadas devem cumprir os requisitos estabelecidos pelo CISPE em matéria de proteção de dados pessoais (RGPD).
Entre outras coisas, esta adesão garante que os clientes que quiserem contratar os seus serviços terão a certeza de que os dados armazenados ou processados pelo fornecedor não serão acedidos ou revendidos a terceiros e que os repositórios de dados estarão sempre exclusivamente na Área Protegida da União Europeia, bem como de acordo com os regulamentos atuais da mesma. Pertencer ao CISPE exige o cumprimento deste e de outros pontos.
Imagem. Logótipo do RGPD
O CISPE criou um código de conduta para proteção de dados no âmbito do RGPD que, embora tenha sido lançado antes da entrada em vigor da versão final do RGPD (25 de maio de 2018), está perfeitamente adaptado aos requisitos estritos da regulamentação de proteção de dados europeia, uma vez que trabalharam com o rascunho e a versão final antes de se tornar obrigatória.
Os pilares principais do CISPE
O principal objetivo do CISPE, embora não seja o único, é ajudar os fornecedores de infraestrutura cloud a cumprir os regulamentos atuais de proteção de dados na Europa, para manter os dados seguros. Para isso, são utilizadas uma série de recomendações (código de conduta) que o fornecedor de cloud deve cumprir, sendo auditado por um comité da referida entidade.
No quadro em que o CISPE trabalha, existem vários pilares fundamentais:
- A criação de um quadro que permita uma gestão útil e funcional do RGPD na União Europeia.
- Não permitir a migração de dados para fora da União Europeia.
- Proibir a reutilização dos dados.
- Proteger os cidadãos e ajudá-los a manter o controlo dos seus dados confidenciais e pessoais.
- Promover a adoção de critérios de sustentabilidade e minimização do impacto no meio ambiente, por parte dos fornecedores de cloud.
- Evitar monopólios e promover a diversidade e, portanto, a liberdade de escolha por parte dos clientes de serviços na nuvem.
Qual é a importância do CISPE?
A resposta a esta pergunta é, na verdade, bastante simples: permite identificar rapidamente os Fornecedores e Serviços de Infraestrutura na Cloud que cumprem as garantias de proteção de dados, e garante que os seus membros estejam comprometidos com a segurança e o processamento dos dados. A tudo isto devemos acrescentar o cumprimento de outras normas ambientais e o combate à concorrência desleal na Europa.
Vantagens para os clientes de um fornecedor cloud que cumpra com o CISPE.
A contratação de um Fornecedor e Serviços de Infraestrutura na Cloud que pertençam ao CISPE deve proporcionar a tranquilidade de saber que estará em conformidade com os atuais regulamentos europeus de proteção de dados (publicados em 5 de março de 2016 e em vigor desde 25 de maio de 2018). Isto é uma indicação de que se trata de um fornecedor de confiança, que não só cumpre os regulamentos, mas foi também aprovado por uma organização que garante o cumprimento dos mesmos para além do que é estabelecido pela União Europeia.
Como já sabemos, desde que o RGPD foi lançado, em 2018, todas as empresas europeias devem cumpri-lo e, caso não o cumpram ou cometam infrações, podem estar sujeitas a sanções económicas significativas, que podem levar até à falência da empresa. Ter um fornecedor de cloud totalmente coberto nesse sentido significa que a nossa empresa possui alguma cobertura e garantias enquanto a esta questão.
Cumpro o RGPD se o meu fornecedor pertenece ao CISPE?
Para que possamos cumprir os requisitos do RGPD, devemos ter cobertos todos os seus aspectos, em todos os processos e contextos das nossas operações, e isso logicamente inclui os nossos sistemas informáticos, seja no local ou na nuvem.
É, portanto, obrigatório que o nosso fornecedor de serviços de infraestrutura na nuvem esteja em conformidade com os regulamentos europeus de proteção de dados e, de facto, pode ser uma vantagem, pois se pensarmos no modelo de gestão de riscos (ISO 31000), cada riscos tem diferentes opções de gestão:
- Aceitação.
- Mitigação.
- Transferência.
- Exploração.
- Eliminação.
E, neste caso, se contratarmos um fornecedor de serviços cloud que esteja em conformidade com o RGPD, o que faremos é transferir o risco, ajudando-nos a cumprir o GDPR.
Mas, cuidado! Ter contratado um fornecedor de serviços que pertença ao CISPE e, portanto, cumpra o RGPD, não nos isentará de muitos dos procedimentos associados à proteção de dados.
Cumpro a ISO/IEC 27001 se o meu fornecedor cloud pertence ao CISPE?
A norma ISO 27001 é a norma internacional para a segurança da informação e a ISO/IEC 27001 é a adaptação espanhola promovida pela UNE, que descreve os requisitos e boas práticas que devem ser aplicados e cumpridos para aplicar um sistema de gestão da segurança da informação. As empresas que cumprem esta ISO possuem uma grande vantagem competitiva, pois os clientes valorizam cada vez mais que as empresas tenham o selo correspondente.
A este respeito, várias autoridades europeias de supervisão e consultores de proteção de dados reconheceram a conformidade normativa da ISO 27001 como elemento determinante para demonstrar o interesse, investimento e esforço das empresas certificadas na tentativa de cumprir os regulamentos relativos à proteção de dados.
Da mesma forma, essa relação é em parte bidirecional, pois a conformidade com o RGPD ajuda no caminho para a certificação ISO 27001, em parte pelos procedimentos descritos para proteção de dados, estabelecimento de funções, mecanismos estabelecidos para lidar com violações, e em parte por ter estabelecido um processo de tratamento da informação.
Além disso, o caso descrito no RGPD em relação à gestão de riscos também se aplica à ISO/IEC 27001; Ter um fornecedor de serviços cloud que tenha uma metodologia de gestão de segurança e tratamento de incidentes permite uma atribuição ou transferência do risco.
Por tudo o que foi mencionado acima, fica claro que ter um fornecedor de infraestrutura cloud apoiado pela CISPE permite o cumprimento da referida ISO.
Conclusões:
A situação atual das empresas que trabalham com ativos de informação é bastante delicada, pois estão expostas a múltiplas ameaças difíceis de salvaguardar. Além disso, essas ameaças podem levar a sanções económicas e a perdas para a imagem da marca.
A contratação dos serviços de um Fornecedor de Serviços de Infraestrutura Cloud que seja membro do CISPE permite-nos ter a certeza de que os dados pessoais das nossas organizações e clientes estão a ser tratados da melhor forma possível.
Da mesma forma, permitem-nos alinhar-nos com várias certificações, regulamentos e normas de prestígio, como o RGPD e a ISO 27001.
Outras leituras recomendadas:
Após este artigo, acreditamos que pode ser interessante para si complementar a informação fornecida com leitura adicional, por isso deixamos-lhe estes links para sites de entidades reguladoras, normas, etc.
Esperamos que sejam úteis:
