csa brasil: aspectos jurídicos da computação em nuvem

1

Pict

ure

sour

ce: s

xc.h

u

Aspectos Jurídicos da Computação em Nuvem

Anchises M. G. de PaulaAndré SerralheiroWalter Capanema

2

• O que é Cloud Computing• Cloud Security Alliance • Aspectos Jurídicos• Tendências

Agenda

3

Pict

ure

sour

ce: s

xc.h

u

CLOUD COMPUTINGO que é a computação em nuvem

4

O que é a computação em nuvem (1)

fonte: sxc.hu

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.”

In “NIST Cloud Computing Standards Roadmap - Special Publication 500 291”‐

5

O que é a computação em nuvem (2)

fonte: sxc.huIn “Security Guidance for Critical Areas of Focus in Cloud Computing v3”

6

Pict

ure

sour

ce: s

xc.h

u

CLOUD SECURITY ALLIANCECloud Security Alliance e Capitulo Brasileiro

7

– Associação sem fins lucrativos– Reúne pessoas físicas e empresas– Oficializada em dezembro de 2008– +35mil membros, +130 membros corporativos– Presente em 23 países através de 30 Chapters locais (setembro/2012)

Cloud Security Alliance (CSA)

8

“Promover a utilização das melhores práticas para fornecer garantia de segurança dentro de Cloud Computing, e oferecer educação sobre os usos de Cloud Computing para ajudar a proteger todas as outras formas de computação.”

Missão

Pict

ure

sour

ce: s

xc.h

u

9

• Segundo Chapter oficial da CSA– Oficializado em 27 de

Maio de 2010

• Segue Missão e Objetivos da CSA Global– Promover a Segurança

em Cloud Computing– Promover pesquisas e

iniciativas locais

CSA Brasil

10

• Certificação “Certificate of Cloud Security Knowledge (CCSK)”– Exame online– Custo de USD $295.

• Treinamento– CCSK training– PCI Cloud training– GRC Stack training

Educaçãohttps://cloudsecurityalliance.org/education

https://ccsk.cloudsecurityalliance.org

11

Algumas das iniciativas de pesquisahttps://cloudsecurityalliance.org/research

12

“Este documento destaca algumas das motivações mais comumente apontadas como justificativas para a adoção de Computação em Nuvem, bem como alguns dos aspectos a serem considerados quanto a cada uma destas motivações. Com este documento a CSA Brazil Chapter pretende contribuir com gestores e tomadores de decisão quanto à decisão sobre a adoção de Computação em Nuvem em suas organizações.”

– Uelinton Santos, Luiz Augusto Amelotti, Filipe Villar, Eduardo Fedorowicz

Iniciativa de pesquisa: White Paper - Adoção de computação em Nuvem e suas motivações

https://chapters.cloudsecurityalliance.org/brazil/2012/08/17/white-paper-adocao-de-computacao-em-nuvem-e-suas-motivacoes/

13

Pict

ure

sour

ce: s

xc.h

u

ASPECTOS JURÍDICOSNormas e Regramentos

14

Contrato de prestação de serviços em que uma empresa/pessoa física (PROVEDOR) permite o uso de seus recursos computacionais (rede, servidores, espaço em disco, aplicações) por um CLIENTE.

Conceito

fonte: sxc.hu

15

Vai depender do modelo de negócio/cliente:

Legislação Aplicável

fonte: sxc.hu

B2B

B2C

Código Civil

Código de Defesa Consumidor

16

Contratos

fonte: sxc.hu

17

Contratos

fonte: sxc.hu

18

Contratos

fonte: sxc.hu

19

Responsabilidade Civil

fonte: sxc.hu

Código Civil

Código de Defesa Consumidor

Art. 14

Art. 927

20

Responsabilidade Civil: Código Civil

fonte: sxc.hu

"Art. 927. Aquele que, por ato ilícito (arts. 186 e 187), causar dano a outrem, fica obrigado a repará-lo.

Parágrafo único. Haverá obrigação de reparar o dano, independentemente de culpa, nos casos especificados em lei, ou quando a atividade normalmente desenvolvida pelo autor do dano implicar, por sua natureza, risco para os direitos de outrem."

21

Responsabilidade Civil: Código de Defesa do Consumidor

fonte: sxc.hu

"Art. 14. O fornecedor de serviços responde, independentemente da existência de culpa, pela reparação dos danos causados aos consumidores por defeitos relativos à prestação dos serviços, bem como por informações insuficientes ou inadequadas sobre sua fruição e riscos".

22

Responsabilidade Civil: Problema Jurisprudencial

fonte: sxc.hu

Suspensão preventiva de

conteúdo

STJ - Resp 1.316.921/RJ

23

Sistemanotice and take

down (NTD)

23

Responsabilidade Civil: Problema Jurisprudencial

24

Procedimento extrajudicial

24

Responsabilidade Civil: Problema Jurisprudencial

25

Se o provedor não fizer a suspensão preventiva

Responde solidariamente com o autor da ofensa

25

Responsabilidade Civil: Problema Jurisprudencial

26

Problemas Práticos:Extinção Unilateral no Contrato

“Se você deixar de cumprir ou a Apple suspeitar que você deixou de cumprir quaisquer disposições deste Contrato, a Apple, a seu exclusivo critério, sem aviso a você, poderá: (i) rescindir o presente Contrato e/ou sua Conta, e você permanecerá responsável por todos os montantes devidos sob sua Conta até e incluindo a data da rescisão e/ou (ii) revogar a licença do software, e/ou (iii) impedir o acesso ao Serviço iTunes (ou qualquer parte dele).”

27

Problemas Práticos:Exclusão de Responsabilidade

"You, and not Dropbox, are responsible for maintaining and protecting all of your stuff. Dropbox will not be liable for any loss or corruption of your stuff, or for any costs or expenses associated with backing up or restoring any of your stuff”.

28

Problemas Práticos:Acionar Empresa Estrangeira

Art. 88, Código de Processo Civil: "É competente a autoridade judiciária brasileira quando:(…)III - a ação se originar de fato ocorrido ou de ato praticado no Brasil."

29

Pict

ure

sour

ce: s

xc.h

u

TENDÊNCIASQue nuvens temos no horizonte?

30

Motivação:

• Privacidade

• Proteção de Dados

Regulamentações

fonte: sxc.hu

31

• Leis de Privacidade de Dados

• Padronização de ofertas de Cloud Computing

• Padronização da Segurança em Cloud Computing– “Trusted Cloud”– Assessement & Audit

Iniciativas Regulatórias Globais

fonte: sxc.hu

32

Iniciativas Regulatórias Globais

fonte: sxc.hu

• ISO/IEC working drafts– ISO/IEC 27017 –

Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002

– ISO/IEC 27018 - Code of practice for data protection controls for public cloud computing services

33

• PL 5344/2013, deputado Ruy Carneiro (PSDB-PB)– Relações entre usuários

e empresas fornecedoras

– Responsabilidade pelos dados

– “Neutralidade tecnológica e de rede”

Iniciativas Regulatórias no Brasil

fonte: sxc.hu

34

– Registro gratuito e de acesso público dos controles de segurança de diversos provedores de Cloud Computing;

– Relatórios de auto-avaliação sobre compliance com as melhores práticas publicadas pela CSA;

– Ajuda os usuários a avaliarem a segurança dos provedores de Cloud.

Iniciativa de pesquisa: CSA Security, Trust & Assurance Registry (STAR)

https://cloudsecurityalliance.org/star/

35

• Muitas nuvens a frente

• Sujeito a chuvas e trovoadas esporádicas

• Tenha sempre um guarda-chuva próximo

Previsão do Tempo

fonte: Wikimedia Commons

36

• Anchises de Paula – anchisesbr@gmail.com • André Serralheiro - serralheiro@gmail.com• Walter Capanema - contato@waltercapanema.com.br

• Cloud Security Alliancehttps://www.cloudsecurityalliance.org

• Cloud Security Alliancehttps://chapters.cloudsecurityalliance.org/brazil

• Twitter - @csabr• Fan Page - https://www.facebook.com/CSA.CapituloBrasil

Contato

37

Pict

ure

sour

ce: s

xc.h

u

OBRIGADOAnchises Moraes G. de PaulaAndré SerralheiroWalter Capanema