universidade federal do sul e sudeste do parÁ … · prof. dr. manoel ribeiro filho faculdade de...
TRANSCRIPT
i
UNIVERSIDADE FEDERAL DO SUL E SUDESTE DO PARÁ
INSTITUTO DE GEOCIÊNCIAS E ENGENHARIAS
FACULDADE DE COMPUTAÇÃO E ENGENHARIA ELÉTRICA
ASPECTOS DE SEGURANÇA EM CLOUD COMPUTING: Uma análise de
cláusulas contratuais com base no Projeto de Lei nº 5344/2013
LUCAS GUIMARÃES LEITE
Marabá
2015
ii
LUCAS GUIMARÃES LEITE
ASPECTOS DE SEGURANÇA EM CLOUD COMPUTING: Uma análise de
cláusulas contratuais com base no Projeto de Lei nº 5344/2013
Trabalho de Conclusão de
Curso como pré-requisito para
obtenção do título de Bacharelado em
Sistemas de Informação da
Universidade Federal do Sul e Sudeste
do Pará.
Orientador: Hirohito Diego Athayde
Arakawa
Marabá
2015
iii
LUCAS GUIMARÃES LEITE
ASPECTOS DE SEGURANÇA EM CLOUD COMPUTING: Uma análise de
cláusulas contratuais com base no Projeto de Lei nº 5344/2013
Trabalho de conclusão de
curso apresentado como pré-requisito
para obtenção do título de Bacharel em
Sistemas de Informação da
Universidade Federal do Sul e Sudeste
do Pará, submetido à aprovação da
banca examinadora composta pelos
seguintes membros:
Marabá, 09deDezembro de 2015.
____________________________________________________
Prof. MsC. Hirohito Diego Athayde Arakawa
Faculdade de Computação/UNIFESSPA - Orientador
____________________________________________________
Prof. Esp. Antônio Henrique da Mata Correa
Faculdade de Direito/ Faculdade Carajás - Examinador
____________________________________________________
Prof. Dr. Manoel Ribeiro Filho
Faculdade de Computação/UNIFESSPA - Examinador
Marabá
2015
iv
DEDICATÓRIA
Dedico este trabalho a minha família, foram eles que sempre me apoiaram
e incentivaram a estudar, e acompanharam no longo período de realização deste
curso, em especial meu irmão, meu pai e minha mãe Eliete Rodrigues, que foi
pessoa fundamental na minha formação tanto pessoal como acadêmica. Aos
amigos de forma direta e indiretamente que participaram na minha formação, e
também a minha namorada Núbia Montenegro, esta que sempre cobrou e me
incentivou a chegar até aqui.
Dedico também a ZSL, ou somente galera do fundão, que esteve comigo
durante estes longos 4 anos de curso.
v
AGRADECIMENTOS
Em primeiro lugar, agradeço ao professor orientador Hirohito, por ministrar
com excelência a disciplina de Legislação em informática no curso de Sistemas
de informação e principalmente por disponibilizar parte do seu tempo
semanalmente e me orientar para a realização deste trabalho, agradeço também
aos diversos professores que tive durante o curso, os quais tiveram papel
essencial na formação acadêmica e na passagem do conhecimento, por fim, aos
analistas do CTIC Regivaldo, Hugo, Marcelo e Vitor, que me deram a
oportunidade de um ótimo estágio dentro da instituição e sempre compartilharam
o conhecimento. Agradeço a todos.
vi
RESUMO
A computação em nuvem tem se tornado cada vez mais importante na vida
dos cidadãos e das empresas, os benefícios providos por esta tecnologia são
grandiosos, principalmente no setor empresarial, porém, ainda nota-se uma
grande imaturidade no que se refere a regulamentação do direito e muitas
dúvidas com relação a privacidade das informações. O presente estudo aborda a
segurança das informações armazenadas na Internet, por meio da computação
em nuvem, com foco no modelo Software como Serviço - SaaS, modelo no qual
atuam os serviços de armazenamento de informações em nuvem. Os aspectos
fundamentais de segurança em computação em nuvem serão apresentados de
forma classificada, dando ênfase especifica aos aspectos jurídico-contratuais, o
qual é foco deste estudo. Quanto a questões contratuais, apresenta definições e
conceitos sobre contrato e relacionando-as a cloud computing, expõe também a
classificação adequada de um contrato em “nuvem”, e analisa cláusulas
contratuais especificas como; disponibilidade, integridade, privacidade e
segurança dos dados por meio de uma breve análise do Projeto de Lei n
º5344/2013,
Palavras-Chave: Computação em Nuvem; Internet; Segurança de
Dados;Cláusulas Contratuais.
vii
ABSTRACT
Cloud computing has become increasingly important in the lives of citizens
and businesses, the benefits provided by this technology are great, especially in
the business sector, however, also notes a great immaturity as regards the
regulation of on legal aspects and many questions regarding the privacy of
information. This study addresses the security of information stored on the
Internet, through cloud computing, focused on SaaS - Software as a Service
model in which they operate cloud information storage services. The fundamental
aspects of cloud computing security will be presented in a classified form, giving
specific emphasis on contractual legal aspects, which is the focus of this study.
Regarding contractual issues, provides definitions and concepts of contract and
relating them to cloud computing, also exposes the proper classification of a cloud
contract, and its specific clauses like; availability, integrity, privacy, data security
through a brief analysis of a Brazilian Federal Billnº5344/2013.
Keywords: Cloud Computing; Internet; Data Security; Contractual Clauses.
viii
GLOSSÁRIO
API– Application Programming Interface
AWS – Amazon Web Service
CSP – Cloud Service Providers
DDOS – Distrubuted Denial of Service
EXT3 –Third Extended Filesystem
IAAS – Infrastructure as a Service
NIST – National Institute of Standards and Technology
NTFS – New Technology File System
PAAS – Platform as a Service
PL – Projeto de Lei
SLA – Service Level Agreement
SAAS – Software as a Service
TST –Tribunal Superior do Trabalho
UOL – Universo Online S.A
VPN – virtual private networks
TICS – Tecnologias de Informação e Comunicação
CC – Cloud Computing
TI – Tecnologia da Informação
ix
SUMÁRIO
INTRODUÇÃO ........................................................................................... 12
1. COMPUTAÇÃO EM NUVEM ............................................................ 14
1.1 Introdução ao capítulo ................................................................... 14
1.2 Aspectos conceituais da computação em nuvem .......................... 14
1.3 Características .............................................................................. 16
1.4 Modelos de Desenvolvimento ....................................................... 18
1.4.1 Nuvem Publica (Public cloud) .................................................. 18
1.4.2 Nuvem Privada (Private cloud) ................................................ 18
1.4.3 Nuvem Comunitária (Community Cloud) ................................. 19
1.4.4 Nuvem Hibrida (Hybrid Cloud) ................................................. 19
1.5 Modelos de Serviços ..................................................................... 19
1.5.1 Software como Serviço - SaaS ............................................... 19
1.5.2 Plataforma como Serviço- PaaS ............................................. 20
1.5.3 Infraestrutura como Serviço- IaaS ........................................... 20
1.6 Características de um Saas .......................................................... 20
1.6.1 Arquitetura multi-cliente ........................................................... 20
1.6.2 Aplicações configuráveis ......................................................... 21
1.6.3 Rápido desenvolvimento ......................................................... 21
1.6.4 Rápida atualização .................................................................. 22
1.6.5 Protocolos de integração abertos ............................................ 22
1.6.6 Funcionalidades Colaborativas ............................................... 22
1.6.7 Gerenciamento ........................................................................ 23
1.6.8 Disponibilidade ........................................................................ 23
1.7 Novos métodos de acesso a nuvem ............................................. 23
1.8 Armazenamento em Nuvem .......................................................... 24
x
2. SEGURANÇA EM CLOUD COMPUTING ......................................... 26
2.1 Introdução ao capítulo ................................................................... 26
2.2 Aspectos gerais de segurança em cloud computing ..................... 26
2.2.1 Segurança da Rede................................................................. 28
2.2.2 Interfaces ................................................................................. 29
2.2.3 Segurança de dados ............................................................... 30
2.2.4 Virtualização ............................................................................ 30
2.2.5 Governança ............................................................................. 31
2.2.6 Conformidade .......................................................................... 32
2.2.7 Questões Legais ..................................................................... 32
3. ASPECTOS JURÍDICO-CONTRATUAIS .......................................... 35
3.1 Introdução ao capítulo ................................................................... 35
3.2 Computação em nuvem no Brasil ................................................. 35
3.3 Contrato Jurídico ........................................................................... 36
3.3.1 Classificação dos Contratos em Cloud Computing ................. 37
3.3.2 Unilateral ................................................................................. 37
3.3.3 Bilateral ................................................................................... 38
3.3.4 Contrato Independente ............................................................ 38
3.3.5 Contrato de Adesão................................................................. 39
3.3.6 Contrato Paritário .................................................................... 39
3.3.7 Sacrifício patrimonial das partes. ............................................ 39
3.3.8 Solenidade dos Contratos ....................................................... 41
3.3.9 Aperfeiçoamento do contrato .................................................. 41
3.4 Contratos em clod computing com relação ao art. 3º, do PL Nº
5344/2013.............................................................................................. 41
3.4.1 Política de uso aceitável .......................................................... 42
3.4.2 Segurança do conteúdo armazenado ...................................... 43
xi
3.4.3 Dados cadastrais ..................................................................... 45
3.4.4 Solicitação de Terceiros e permissões .................................... 45
3.4.5 Privacidade dos dados ............................................................ 47
3.4.6 Obrigações do fornecedor ....................................................... 48
3.4.7 Responsabilidade das partes .................................................. 50
3.4.8 Contrato para modelo de serviço ............................................ 52
3.4.9 Rescisão contratual, devolução ou remoção do conteúdo ...... 53
4. CONCLUSÃO .................................................................................... 57
REFERENCIAS BIBLIOGRÁFICAS .......................................................... 61
12
INTRODUÇÃO
A informática vem se desenvolvendo graças a ampliação e constante avanço da
tecnologia. Cada dia mais as transações virtuais tornam-se importantes e essenciais
para a vida do cidadão e de empresas.
Na medida que o conhecimento tecnológico evolui, a ciência do direito também
deve evoluir e se adaptar as novas tendências da tecnologia, tendo assim o dever de
tentar resguardar e zelar pelo direito dos usuários e cidadãos que fazem uso de
diversos serviços. O que se deve observar é que diversas atividades tecnológicas
ainda encontram-se sem proteção legislativas, sendo amplamente utilizada por
usuários e empresários e pouco regulamentada pelo direito, resultando em
instabilidade e insegurança jurídica.
Uma destas tendências em ascensão é acloud computing ou computação em
nuvem, que é um tema atual e vem ganhando grande espaço no cenário
computacional no mundo inteiro, estando cada vez mais presente nas grandes, medias
e pequenas empresas, e também é bastante utilizada no dia a dia por muitos usuários
comuns.
A crescente utilização desta tecnologia muitas vezes passa despercebida pelo
cidadão,haja vista ser contratada especialmente pela pessoa jurídica a fim de diminuir
gastos. A computação em nuvem é uma alternativa mais barata ao empresário, na
medida em que não é necessário realizar altos investimentos em infraestrutura de
datacenters. Porém, o serviço requer cuidados especiais, tendo em vista a
necessidade deconfiar as informações a terceiros.
O que se deve observar acerca da cloud computing é que surge uma grande
problemática após a contratação deste tipo de serviço, a qual se trata da segurança da
informação dos clientes, estas informações serão armazenadas no provedor de
computação em nuvem, desta forma muitas vezes não se sabe a localização de
armazenamento e a legislação aplicável a manutenção do sigilo destas informações.
Estas questões no Brasil ainda não possuem regulamentação jurídica
especifica, apenas o Projeto de Lei n. 5.344/2013, que estabelece diretrizes gerais
para a promoção, desenvolvimento e exploração da atividade de computação em
nuvem no País, garantindo a possibilidade da adoção da computação em nuvem por
entidades de direito público ou privado de forma segura.
13
Deve-se observar que a computação em nuvem é uma tecnologia desfrutada
globalmente, que tem apresentado um enorme crescimento em sua utilização, e traz
consigo muitos benefícios para empresas e usuários.
Deste modo, a computação em nuvem veio para facilitar a vida dos usuários e
empresas que utilizam deste artificio, porém, seria seguro ao usuário utilizar serviços
de armazenamento de informações e dados pessoais comprometedores em um
ambiente, sendo que todos os ambientes computacionais são sujeitos a falhas? É
seguro confiar os dados e informações cruciais de uma empresa a terceiros? Os
usuários realmente aceitam esta inovação sem questionar sua segurança e
integridade? Ou as falhas se dão por despreparo do usuário para com a utilização
desta tecnologia.Desta feita, o presente estudo tem por objetivo analisar esta nova
tecnologia, e apresentar também questões jurídicas contratuais relacionadas a
segurança dos dados e informações armazenadas na cloud computing.
Desta feita, este trabalho é estruturado da seguinte forma:
O primeiro capitulo apresentará a fundamentação teórica do tema estudado,
descrevendo os diversos conceitos atribuídos para a computação em nuvem, modelos
de serviço, modelos de desenvolvimento e características de uma nuvem
computacional.
O segundo capítulo visa evidenciar os modelos nos quais os serviços de
armazenamento em nuvem trabalham,a classificação dos aspectos de segurança para
os modelos de serviço SaaS, PaaS e IaaS, e destacar os principais problemas de
segurança apresentados em um ambiente de computação em nuvem, especialmente
as características especificas do modelo de serviço SaaS.
O Capítulo terceiro apontará a situação da computação em nuvem no Brasil
atualmente, mostrando também definições sobre contrato, expondo a classificação dos
contratos utilizados em computação em nuvem, será também apresentada algumas
cláusulas importantesde diversos contratos, relacionando-ascom o art. 3º do PL nº
5344/2013, que dispõe sobre o contrato de armazenamento, guarda e depósito de
conteúdo.
14
1. COMPUTAÇÃO EM NUVEM
1.1 Introdução ao capítulo
O presente capítulo apresenta a computação em nuvem como nova tendência
tecnológica, como também define armazenamento de dados e expõe definições de
cloud computing apresentadas por diferentes autores. De um forma mais especifica,
este capítulo apresenta também as características de uma “nuvem”, assim como seus
modelos de desenvolvimento e modelos de serviço, por fim, em especial, evidencia o
modelo de serviço SaaS, modelo no qual atuam os serviços de armazenamento de
dados.
1.2 Aspectos conceituais da computação em nuvem
O termo computação em nuvem é relativamente recente, porém sua utilização
não é necessariamente nova, serviços de e-mail Gmail e Yahoo são exemplos de
serviços de armazenamento de informações em nuvem que são usados desde antes
do surgimento deste termo. Segundo Silva (2014, p. 12)atualmente o maior exemplo
de computação em nuvem é o Dropbox, que é um serviço de armazenamento e
compartilhamento dados, além do GoogleApps; Amazon; icloud; dentre outros.
Segundo Taurion (2009, p. 2), o termo computação em nuvem surgiu em 2006
em uma palestra de Eric Schmidt, da Google, empresa que gerencia datacenters. O
autor define computação em nuvem como “um conjunto de recursos como capacidade
de processamento, armazenamento, conectividade, plataforma, aplicações e serviços
disponibilizados na Internet”.
A computação na nuvem ou cloud computing é um novo modelo de computação
que permite ao usuário final acessar uma grande quantidade de aplicações e serviços
em qualquer lugar e independente da plataforma, bastando para isso ter um terminal
conectado à internet.
A cloud computing é um método de proporcionar um conjunto compartilhado de
recursos de computação que inclui aplicativos, plataformas de armazenamento, redes,
desenvolvimento e implantação bem como os processos de negócios
15
Esta nova ambientação computacional utiliza a internet como forma de
comunicação do usuário final com o servidor remoto1 o usuário pode ter acesso às
seus dados e informações ou até mesmo serviços inteiros disponibilizados em nuvem,
não importando onde o mesmo esteja localizado ou qual dispositivo ele esteja
utilizando, necessitando apenas de um terminal com acesso à internet.
A computação em nuvem hoje é uma tecnologia bastante utilizada tanto por
usuários comuns quanto por grandes empresas, e tem modificado e se aprimorado
cada vez mais no cenário da TI, e proporcionando inúmeras vantagens dentre elas o
compartilhamento de arquivos, serviços, aplicativos, plataformas e até recursos
computacionais. De acordo com Alecrim (2015, p. 4) a principal vantagem com a cloud
computing é que, muitos aplicativos, assim como arquivos e outros dados
relacionados, não precisam mais estar instalados ou armazenados no computador do
usuário ou em um servidor. Todo esse conteúdo passara a ficar disponível nas nuvens,
isto é, na internet. Logo esse modelo de armazenamento em nuvem acaba
preservando o consumidor de impasses relacionados a atualização, backup,
escalonamento, manutenção e etc.
ONational Institute of Standards and Technology (NIST) define a computação
em nuvem como um modelo que permite que um conjunto de recursos computacionais
possam ser fornecidos sob demanda, de modo que estes sejam fornecidos e liberados
como o mínimo de esforço do gestão ou interação do fornecedor (Mell; Grance, 2009,
p. 2). Já Vaquero et al. (2008, p. 1) define computação em nuvem como um grande
conjunto de recursos virtualizados (hardware, plataformas de desenvolvimento e/ou
serviços) de fácil utilização e acessíveis. Para Taurion (2011, p. 3), uma definição
simples pode ser “um conjunto de recursos como capacidade de processamento,
armazenamento, conectividade, plataformas, aplicações e serviços disponibilizados na
internet”.
De acordo com Cloud Security Alliance (CSA, 2011, p. 13) define cloud
computing como um modelo para permitir um conveniente acesso ubíquo sob
demanda à rede de um pool compartilhado de recursos computacionais configuráveis
(por exemplo, redes, servidores, armazenamento, aplicações e serviços). Essa
tecnologia tem o potencial para melhorar a colaboração, agilidade, dimensionamento e
1Máquina que disponibiliza um serviço, e este é acessado de uma rede local para uma rede externa.
16
disponibilidade e também fornece a redução de custos através da computação
otimizada e eficiente. Para o Amazon Web Service (2015)a "computação em nuvem",
por definição, diz respeito à entrega sob demanda de recursos de TI e aplicativos pela
Internet, com modelo de definição de preço conforme a utilização.
1.3 Características
A computação em nuvem é uma tecnologia disruptiva2 que tem o potencial para
melhorar a colaboração, agilidade, dimensionamento e disponibilidade, e fornece as
oportunidades de redução de custos através da computação otimizada e eficiente. O
modelo de nuvem prevê um mundo onde os componentes podem ser rapidamente
adaptados, provisionados, implementados, desativadas e escalados para cima ou para
baixo para fornecer um modelo de alocação e consumo on-demand.(CLOUD
SECURITY ALLIANCE, 2011)
Alecrim (2015, p. 4) apresenta diversos benefícios a partir da implantação de
uma infraestrutura em nuvem, os quais são:
Acesso as aplicações independente do sistema operacional ou equipamento
utilizado.
O usuário não precisa preocupar-se com a estrutura para a execução da
aplicação
Compartilhamento de informações e trabalho se tornam mais fáceis, pois
todos os usuários acessam os dados e aplicações do mesmo lugar: a
nuvem.
Alta disponibilidade, dependendo do fornecedor um servidor pode parar no
entanto os demais que fazem parte da estrutura continuam a oferecer o
serviço.
Controle de gastos; muitas aplicações são gratuitas, e quando não são, o
consumidor só paga pelos recursos e o tempo que foram utilizadas da
utilização do mesmo.
2 É um termo que descreve a inovação tecnológica, produto ou serviço que utiliza uma estratégia
disruptiva, em vez de evolucionária ou revolucionária, para derrubar uma tecnologia existente dominante no mercado.
17
Dependendo da aplicação, o usuário pode precisar instalar um programa
cliente em seu computador ou dispositivo móvel. Mas, nesses casos, todo ou
a maior parte do processamento (e até mesmo do armazenamento de
dados) é feito pelo provedor de computação em nuvem por meio da internet.
De acordo com o National Institute of Standards and Technology define o
modelo atual de computação em nuvem é composto por cinco características
essenciais;
Sob Demanda – Auto-Serviço(On-demand self-service). Característica na qual
fornece ao consumidor capacidade de computação a sua disposição, conforme a
necessidade, sem a imprescindibilidade de uma interação humana com a operadora
do serviço;
Amplo Acesso à Rede (Broad network access). Permite que as grandes
quantidades de recursos em nuvem possam ser acessados por um amplo número de
clientes heterogêneos (por exemplo, celulares, tablets, laptops, e estações de
trabalho);
Pool de Recursos (Resource Pooling).A rede pode compartilhar o espaço de
armazenamento e também pode compartilhar a memória, largura de banda e poder de
processamento. As empresas muitas vezes preferem terceirizar um serviço de nuvem
que lhes poupa tempo e dinheiro do que construir a sua própria infraestrutura;
Rápida Elasticidade (Rapid elasticity). Uma rede em nuvem pode se estender
ou contrair, isto de acordo com a demanda solicitada pelo cliente, passando a visão
ao consumidor de que os recursos são ilimitados e que pode ser adquirido em
qualquer quantidade e qualquer momento;
Serviço medido (Measured servisse). Uma vez que o usuário tem a opção de
requisitar e utilizar somente a quantidade de recursos e serviços que ele julgar
necessário, os serviços devem ser precificados com base em um uso de baixa
duração, como por exemplo, medido em horas de uso. Por esta razão, as nuvens
devem implementar recursos que garantam um eficiente comércio de serviços, tais
como tarifação adequada, contabilidade, faturamento, monitoramento e otimização do
uso. Esta medição de uso dos recursos deve ser feita de forma automática e de acordo
com os diferentes tipos de serviços oferecidos (armazenamento, processamento e
largura de banda) e prontamente reportada, permitindo uma maior transparência
comercial.
18
1.4 Modelos de Desenvolvimento
Quando se fala em computação em nuvem obtém-se a idéia de uma
abrangência global, porém essa abrangência não ocorre em todos os ambientes de
computação em nuvem. E cada ambiente é desenvolvido para atender um
determinado público, e apresenta características especificas e suas particularidades
em relação a restrição de acesso ao conteúdo, assim tornando alguns dos ambientes
mais restritos que outros que segundo (MELL; GRANCE, 2009) são divididas em
quatro modelos:
1.4.1 Nuvem Publica (Public cloud)
Neste modelo de implantação a infraestrutura de nuvens é disponibilizada para
o público em geral ou para grupos de indústrias (NIST,2009), o método de acesso da
nuvem é livre para os usuários, podendo ser acessado por qualquer um que conheça o
endereço. Desta forma não podem ser aplicadas restrições de acesso quanto ao
gerenciamento da rede, e muito menos, aplica técnicas de autenticação e
autorização.(CASTRO; SOUSA 2010).
Segundo (Taurion, 2009), a característica que diferencia as nuvens privadas é o
fato da restrição de acesso, pois a mesma se encontra atrás do firewall da empresa,
sendo uma forma de aderir à tecnologia, beneficiando-se das suas vantagens, porém
mantendo o controle do nível de serviço e aderência às regras de segurança da
instituição.
1.4.2 Nuvem Privada (Private cloud)
Modelo desenvolvido exclusivamente para uma única organização que
compreende vários consumidores. A implantação de uma nuvem privada permite que
esta seja administrada pela própria empresa ou por terceiros (CASTRO; SOUSA 2010,
p. 5). Neste modelo de implantação são empregadas políticas de acesso aos serviços.
As técnicas utilizadas para prover tais características podem ser em nível de
gerenciamento de redes, configurações dos provedores de serviços e a utilização de
tecnologias de autenticação e autorização (MELL; GRACE, 2009, p. 2).
19
1.4.3 Nuvem Comunitária (Community Cloud)
Os recursos neste modelo estão disponíveis dentro de um grupo de usuários
com finalidades comuns (e.g. grupo de universidades), e podendo ser gerenciado
internamente (por algum membro do conjunto) ou então por terceiros. As questões de
segurança aqui não são tão relevantes quanto no modelo privado, porém, como o
número de usuários é maior e estes podem não estar próximos uns dos outros, é
importante adotar uma solução de segurança de nível intermediário, ou seja,
mecanismos que sejam eficientes e consigam prover um nível de segurança
satisfatório.
1.4.4 Nuvem Hibrida (Hybrid Cloud)
A infraestrutura de nuvem é composta por duas ou mais infraestruturas distintas.
Estas continuam sendo entidades únicas, mas estão atreladas por características
padronizadas ou tecnologias proprietárias que permitem a portabilidade de dados e
aplicações. A complexidade da segurança necessária aqui é nivelada ao modelo de
desenvolvimento menos restrito (NIST,2009).
1.5 Modelos de Serviços
No interior da computação em nuvem, existem modelos que classificam os
serviço de acordo com a forma que é fornecido. Existem três modelos de acordo com
National Institute of Standards and Technology que são descritos por Mell; Grance
(2009, p. 2).
1.5.1 Software como Serviço - SaaS
O presente modelo oferece ao consumidor a capacidade de utilizar serviços
executados em uma infraestrutura em nuvem, não sendo necessário instalar o
software no computador do usuário, basta acessá-lo por meio da internet. Essas
serviços são acessadas a partir de uma interface3 desenvolvida para o cliente, como
um navegador.Assim, o objetivo é substituir as aplicações que rodam no computador,
por aplicações fornecidas por nuvem através da internet. Alguns exemplos de
3 Elemento que proporciona uma ligação física ou lógica entre dois sistemas ou partes de um sistema que não poderiam ser conectados diretamente.
20
software como serviço são as ferramentas de armazenamento de informações, ex:
DropBox, Google Drive e Icloud.
1.5.2 Plataforma como Serviço- PaaS
Esse modelo de serviço caracteriza-se pela entrega de uma plataforma para
desenvolvimento, teste e disponibilização de aplicativos web com a finalidade de
facilitar a implantação de aplicações sem os custos e complexidade de gerenciamento
do hardware. Um exemplo de PaaS é a plataforma Microsoft Azure.
1.5.3 Infraestrutura como Serviço- IaaS
Este modelo oferece infraestrutura computacional, como capacidade de
processamento, armazenamento e conectividade (geralmente em ambientes
virtualizados) como um serviço. O serviço IaaS possui algumas características básicas
como, fornecer uma interface única para administração da infraestrutura;
provisionamento dinâmico de serviços;alta-disponibilidade; e balanceamento de carga
de maquinas virtuais. É uma proposta de recursos de rede e infraestrutura totalmente
terceirizado. Um exemplo de IaaS é o Amazon EC2.
Além dos modelos já citados, Alecrim (2015), destaca outros serviços que são
utilizados no mercado para diferenciar os seus serviços. São eles:
Banco de Dados como Serviço (Database as Service) - O nome já deixa claro
que essa modalidade é direcionada ao fornecimento de serviços para armazenamento
e acesso de volumes de dados. A vantagem aqui é que o detentor da aplicação conta
com maior flexibilidade para expandir o banco de dados, compartilhar as informações
com outros sistemas, facilitar o acesso remoto por usuários autorizados, entre outros;
Ensaio como Serviço (Testing as a Service) - Oferece um ambiente apropriado
para que o usuário possa testar aplicações e sistemas de maneira remota, simulando o
comportamento destes em nível de execução.
1.6 Características de um Saas
1.6.1 Arquitetura multi-cliente
De acordo com Borges (et al, 2011), nesta arquitetura, todas as partes
compartilham uma estrutura comum e uma base de código que é mantida centralizada.
21
Desta forma, estando na mesma infraestrutura os fornecedores podem inovar
mais rapidamente, liberando novas versões mais corretas e com maiores
funcionalidades, e com isto economizar um valioso tempo de desenvolvimento que
anteriormente era gasto com a manutenção de inúmeras versões com código
desatualizado.
1.6.2 Aplicações configuráveis
Segundo Borges (et al, 2011, p. 2.), como aplicativos SaaS são dirigidos a uma
arquitetura multi-cliente, normalmente não suporta customização, de forma que, ao
contrário do modelo tradicional, não é possível um cliente alterar o código fonte4da
aplicação, o esquema do banco de dados ou as interfaces gráficas.
Porém, aplicações SaaS são projetadas para suportar configurações, que são
um conjunto de opções, parâmetros, que afetam as funcionalidade e aparência da
aplicação. Cada cliente pode ter seus próprios parâmetros para as opções de
configuração.
As aplicações que seguem os modelos de serviço Saas podem permitir que o
usuário forneça através de uma interface seu logotipo e ainda permite um conjunto de
cores embora não seja permitido alterar o layout das páginas diferente do que foi
projetado, essas especificidades são preservadas quando ocorrem uma atualização
(BORGES, et al 2011, p. 3)
1.6.3 Rápido desenvolvimento
Considerando que seguindo o padrão multi-cliente, de acordo com Borges
(2011, p. 4), como não há necessidade de configuração e manutenção do ambiente de
desenvolvimento, os desenvolvedores podem preocupar-se apenas com os detalhes
das regras de negócios, desta forma diminui-se o tempo de para o desenvolvimento e
como consequência, aumentar sua produtividade.
4É o conjunto de palavras ou símbolos escritos de forma ordenada, contendo instruções em uma das linguagens de programação existentes, de maneira lógica.
22
1.6.4 Rápida atualização
A rápida atualização acontece porque a hospedagem é centralizada, desta
forma, qualquer atividade de atualização realizada no servidor tornam-se visíveis,
porem de forma transparente a todos os clientes sem haver a necessidade da
reinstalação especifica no cliente.
Como a configuração é única, os testes do desenvolvimento também são mais
rápidos. Além disto, o provedor da solução pode ter acesso ao comportamento do
usuário dentro da aplicação, através de uma web analítica5, o que torna mais fácil
identificar áreas com necessidade de melhorias.
1.6.5 Protocolos de integração abertos
Visto que aplicações SaaS não podem acessar os sistemas internos de uma
empresa, elas precisam oferecer protocolos de integração bem como APIs6 que
possibilitem conexões através da rede.
A ubiquidade de aplicações SaaS e de outros serviços da internet, além da
padronização de APIs, aumentou o desenvolvimento de mashups, que são aplicações
que combinam dados, apresentação e funcionalidades de múltiplosserviços criando
então um serviço composto, fato este que aumenta a diferença para os softwares
licenciados visto que estes não são facilmente integrados fora do firewall7 da empresa.
1.6.6 Funcionalidades Colaborativas
Certamente inspirado no sucesso das redes sociais, aplicações SaaS podem
prover características que permitam os usuários colaborarem e compartilharem
informações.
Estas funcionalidades também podem ser utilizadas para identificar novas idéias
para melhorar o software. Uma colaboração, implícita ou explícita, entre usuário de
clientes distintos só é possível a partir de um software com hospedagem centralizada.
5É o processo de medição, coleta, análise e a produção de relatórios de dados de navegação e interação com o objetivo de entender e otimizar o uso dos sites e páginas na Internet. 6Conjunto de rotinas e padrões de programação para acesso a uma aplicativo de software ou plataforma baseada na web. 7 Software ou hardware que verifica informações provenientes da internet ou da rede, e as bloqueia ou permite que elas cheguem ao computador.
23
1.6.7 Gerenciamento
As aplicações SaaS são completamente gerenciadas pelo fornecedor, e acordos
SLA8, regem a qualidade, disponibilidade e suporte que o provedor deve prover para o
cliente.Algumas formas de gerenciamento essências para SaaS incluem o
provisionamento, funções de configuração, controle de pagamento, monitoração e
suporte.
1.6.8 Disponibilidade
Software como serviço permite o acesso e utilização dos softwares disponíveis
no mercado através de uma rede remota ou conexão à Internet.
Isso significa que o software não está instalado no computador do
assinante,mas sim no servidor do provedor de SaaS. Isso também faz com que o
software esteja disponível para o assinante a qualquer tempo e independentemente de
sua localização.
O SaaS ainda deve ser acessível por qualquer tipo de dispositivo
computacional, garantindo que todos possam ver as informações ao mesmo
tempo,sendo um desafio melhorar o acesso aos dados, de forma a tornar mais fácil o
gerenciamento de privilégios e o controle da utilização dos dados.
1.7 Novos métodos de acesso a nuvem
A computação em nuvem não é algo recente, já se tinha alguns serviços que se
aproximavam de computação em nuvem, porém não era algo que na época chamava
muito a atenção dos usuários, tudo por conta da tecnologia da época, já que não se
possuía poder computacional e nem tecnologias de redes avançadas como se tem
hoje, desta forma, o uso de serviços como de e-mail, se restringiam a computadores
desktops9.
A facilidade e mobilidade de compartilhamento e armazenamento de
informações proporcionadas pela computação em nuvem, emerge a necessidade que
os dispositivos também acompanhem este desenvolvimento para que possam acessar
8 Acordo firmado entre um fornecedor de serviços de TI e um cliente. 9 É frequentemente utilizado para designar um computador de mesa que não possui uma fácil mobilidade.
24
os aplicativos e ferramentas disponíveis. O que se destaca hoje em dia em relação a
mobilidade são os dispositivos moveis (Smartphones), que permitem grande
armazenamento de dados não importando o espaço geográfico, necessitando apenas
de acesso à internet.
O crescimento da utilização de smartphones e tablets é bem expressivo, devido
à grande facilidade de manuseio, transporte, capacidade de hardware e inúmeras
aplicativos disponíveis para auxílio do usuário. Estes dispositivos disponibilizam o
acesso à internet por meio de rede wireless e também rede de dados moveis, rede na
qual permite o acesso à internet em qualquer lugar de cobertura da operadora.
A variedade de dispositivos disponíveis de hardwares medianos à hardwares de
altos níveis no mercado é demasiada, mas além disso o que diferencia um aparelho de
outro, é também o sistema operacional utilizado, os mais utilizados no Brasil são
Android, iOS e WindowsPhone, cada um destes sistemas operacionais possui um
serviço próprio de armazenamento de dados em nuvem, com o objetivo de facilitar o
acesso e o armazenamento de fotos, arquivos de texto, documentos pessoais, entre
outros.
1.8 Armazenamento em Nuvem
A Internet tem se tornado cada vez mais acessível a todo tipo de público, e
ainda com o crescimento do uso de dispositivos moveis o crescimento de usuários da
internet aumentou exponencialmente. E este desenvolvimento fez com que as
empresas fornecedoras de serviços que até então era desenvolvido somente para
desktops, se viram inseridas em um novo mercado, sendo obrigadas a aderir esta
nova ambientação computacional. As empresas que disponibilizavam serviços online
na web foram obrigados a adaptarem seus serviços e adentrar no novo mercado de
desenvolvimento de aplicações para dispositivos moveis.
O mercado de aplicativos é demasiado, e estes existem para todos os gostos e
finalidades distintas, porém dentre esta variedade existem os que mais são utilizados
pelo público. Os aplicativos que dão acesso a sistemas de armazenamento de dados
em nuvem são muito apreciados por usuários de dispositivos moveis, devida a
facilidade de manuseio para salvar e recuperar arquivos na nuvem, necessitando
apenas de um terminal conectado à internet, e cada dia surgem mais destas
aplicações, que oferecem armazenamento de dados de forma distribuída com alta taxa
25
de disponibilidade, o que impulsiona cada vez mais os seus usuários a migrarem seus
dados para a nuvem.
De acordo Jobstraibizer (2014, p. 3)a popularização de pequenos dispositivos
móveis, como smartphones e tablets, e com o exponencial crescimento da quantidade
de pessoas que passaram a utilizar computadores virtualizados, sistemas
compartilhados e outros tantos recursos que a computação moderna nos proporciona,
aumenta-se também a preocupação dos usuários com itens como a segurança e o
armazenamento de dados. Tema este que será melhor analisado no próximo capítulo.
26
2. SEGURANÇA EM CLOUD COMPUTING
2.1 Introdução ao capítulo
Este capítulo apresenta a fundamentação teórica do presente trabalho,
apresentando conceitos e definições relacionados à segurança, que é dividida,
classificada e agrupada em categorias e subcategorias, e ressalta os maiores
problemas existentes em uma nuvem computacional em relação à segurança física,
logica e legal.
2.2 Aspectos gerais de segurança em cloud computing
A computação em nuvem e seus modelos tem se destacado como uma solução
para as demandas crescentes dos usuários dos serviços de tecnologia da informação:
serviços que estão cada vez mais confiáveis e de melhor desempenho, disponíveis
sempre que necessário,acessíveis de diferentes lugares via Internet e de diferentes
dispositivos, tais como computadores,celulares e tablets. Por este motivo, muitas
organizações tem optado por utilizar esta tecnologia, sendo que, em alguns casos
esses benefícios são obtidos por um custo inferior aos métodos tradicionais.
Porém a computação em nuvem no que diz respeito à segurança, traz consigo
uma série de desafios que necessitam ser analisados e endereçados por todos que
estão envolvidos no modelo (usuários e provedores de serviços). E em relação ao
provedor, a falta de entendimento e distração com as questões de segurança, podem
trazer reflexos negativos tanto para o usuário quanto para os mesmos. Como ocorreu
com o provedor de computação em nuvem AWS (Amazon Web Services) em abril de
2011,apresentou constantes falhas no serviço de computação em nuvem que afetou
grande maioria dos sites que utilizavam da sua infraestrutura, a empresa teve que
pedir desculpas publicamente aos clientes.(Gonzalez, et al, 2012, p. 29).
Outro exemplo de problema de segurança associado à computação em nuvem
foi o vazamento das senhas do Evernote em fevereiro de 2013, cujo impacto foi
percebido pelos 50 milhões de usuários registrados no serviço, que tiveram que trocar
suas senhas (CLULEY, 2013).
Porém, não se pode considerar que o modelo de computação em nuvem é
inteiramente inseguro. As ameaças à segurança estão diretamente relacionadas ao
27
ambiente online, independente ou não da adoção de um modelo de computação em
nuvem.
Mesmo que a computação em nuvem seja uma terceirização dos serviços de TI
(Tecnologia da Informação) e o provedor de cloud seja responsável pela segurança
dos dados, estas também devem ser responsabilidade do usuário contratante do
serviço, como Gonzales et. al. (2012, p. 30) afirma que, há responsabilidade tanto por
parte do usuário como do provedor e desse modo, nenhuma das partes é desprovida
totalmente de responsabilidades no âmbito de segurança.
Em relação aos modelos de serviço, Gonzales et. al. (2012, p. 30) afirma que as
responsabilidades pela segurança dos serviços executados em nuvens
computacionais mudam de acordo com o tipo de serviço e recursos oferecidos,ou seja,
para cada modelo de serviço, o cloud provider10 terá uma responsabilidade maior no
controle dos recursos de um determinado serviço. A figura 1 apresenta uma de forma
detalhada a quem diz respeito o controle dos recursos dependendo do modelo de
serviço, e disponibiliza também como se organiza o modelo tradicional sem a utilização
da computação em nuvem.
Figura 1 - Delimitação usual do controle dos recursos por modelo de serviço. Fonte: Segurança das nuvens computacionais: Uma visão dos principais problemas e soluções.
Pag. 31.
As perspectivas mostradas na figura 1 permitem identificar, de um modo geral,
as responsabilidades pelos recursos e, por consequência, pela sua segurança.Para
10 Provedor que oferece serviços de computação em nuvem.
28
(Jansen & Grance, 2011, p. 3), existe um frequente discussão sobre segurança da
nuvem em comparação com o modelo tradicional, e também sea empresa tem o
mesmo nível de segurança do cloud provider ou vice e versa.
Existem diversas instituições de pesquisa como a Cloud Security Alliance – CSA
(Simmonds, Rezek & Reed, 2011, p. 24) e a EuropeanNetwork and Information
Security Agency - Enisa (Catteddu & Hogben, 2009, p. 14) estas destacam diversos
problemas de segurança que precisam ser tratados no contexto de computação em
nuvem, não apenas para tornar as soluções mais seguras como também para
aumentar o grau de adoção da tecnologia tanto por parte do ambiente acadêmico
como também pelo mercado.
Com o objetivo de facilitar o estudo sobre a segurança em computação em
nuvem, se faz necessário classificá-los. A classificação empregada para esse fim
possibilita uma rápida identificação dos aspectos fundamentais de segurança e permite
identificar de maneira mais clara os esforços de pesquisa realizados em cada
categoria. A classificação apresentada está dividida em sete categorias (segurança de
rede, interfaces, segurança de dados, virtualização, governança, conformidade e
questões legais), que se subdividem em categorias menores (Gonzalez et al., 2012).
2.2.1 Segurança da Rede
Esta primeira categoria refere-se a problemas de segurança relacionados as
redes de comunicação e a interação entre os elementos, subdividindo-se em:
a. Transferências: arquiteturas distribuídas, compartilhamento de recursos
em larga escala e sincronização de máquinas virtuais implicam maior
fluxo de dados dentro da nuvem, o que requer a utilização de
mecanismos de proteção dessas informações (por exemplo, através de
VPN11) contra ataques que exploram vulnerabilidades nos meios de
comunicação;
b. Firewalls: oferecem proteção da infraestrutura do provedor da nuvem
contra ataques externos e também internos. Esses mecanismos de
controle de acesso também permitem isolamento, filtragem de endereços
11 Trate-se de uma rede privada construída sobre a infraestrutura de uma rede pública, é uma forma de conectar dois computadores utilizando uma rede pública.
29
e portas de acesso, prevenção de ataques de negação de serviço
(DDoS12) e detecção de procedimentos de análise de segurança;
c. Configurações de segurança: incluem configurações de protocolos13,
sistemas e tecnologias, de modo a oferecer diferentes níveis de
segurança e privacidade tanto para o provedor como para os seus
usuários.
2.2.2 Interfaces
As interfaces de acesso as nuvens são os meios pelo qual os usuários utilizam
para ter acesso ao serviço:
a. API: interfaces de programação (application programming interfaces) que
permitem a integração de sistemas e programas em termos de código.
Constituem um elemento fundamental para PaaS e IaaS, pois permitem o
acesso aos recursos virtualizados e aos sistemas oferecidos na nuvem e
que devem ser protegidos contra o uso malicioso ou indevido
b. Interface de administração: interfaces de acesso que permitem realizar a
administração/gerenciamento de recursos da nuvem. Isso representa o
gerenciamento de recursos de um IaaS, do desenvolvimento de
plataformas oferecidas por um PaaS, ou das aplicações e respectivas
configurações de um SaaS;
c. Interface de usuário: interfaces oferecidas ao usuário final para utilização
dos recursos e ferramentas oferecidos através da nuvem (o que
representa o serviço propriamente dito) e, que requerem, portanto, a
adoção de medidas de segurança adequadas.
d. Autenticação: interfaces de protocolos que possibilitam realizar a
autenticação para acesso à nuvem, por exemplo. A maioria dos serviços
utiliza métodos baseados em contas simples com usuário e senha e
estão mais suscetíveis a ataques cujas consequências são
12Constitui um ataque de negação de serviço distribuído, ou seja, um conjunto de computadores é utilizado para tirar de operação um ou mais serviços ou computadores conectados à internet. 13 Conjunto de regras sobre o modo como se dará a comunicação entre as partes envolvidas.
30
potencializadas pelo modelo de hospedagem múltipla (multi-tenant) e
pelo compartilhamento de recursos inerente ao modelo de nuvem.
2.2.3 Segurança de dados
Esta classificação está relacionada com a proteção dos dados, fazendo
referência com a confidencialidade, disponibilidade e integridade.Com base neste
conceito é possível destacar as seguintes subcategorias de mecanismos de segurança
de dados:
a. Criptografia: trata-se de um mecanismo essencial para a proteção de
dados sigilosos através de técnicas de cifragem, largamente empregado
em serviços e requerido por padrões legais e de mercado
b. Redundância: corresponde a um mecanismo básico para evitar a perda
de dados e garantir a disponibilidade de serviços. Para esse fim, ao
menos as informações críticas do negócio devem ser protegidas em
termos de integridade e disponibilidade
c. Descarte ou remoção dos dados: deve ser completo e definitivo, ao
contrário da maioria das técnicas disponíveis (por exemplo, Ext314,
NTFS15), que apenas removem as entradas dos índices do arquivo na
tabela de alocação do sistema de arquivos. Resquícios de dados podem
constituir um sério problema de segurança caso as informações sejam
sigilosas.
2.2.4 Virtualização
As técnicas de virtualização são empregadas para dividir e organizar os
recursos físicos da infraestrutura da nuvem, permitindo separá-los e distribuí-los entre
vários clientes através de serviços e aplicações instalados em cada máquina virtual.
Esta categoria subdivide-se em:
a. Isolamento: apesar de existir uma divisão lógica entre os recursos de
cada recurso virtualizado (por exemplo, máquina virtual), o hardware é
14 Sistema de arquivos mais utilizado no sistema operacional Linux. 15 Sistema de arquivos preferencial do sistema operacional Windows
31
essencialmente o mesmo. Consequentemente, é possível explorar
brechas de segurança que burlem o isolamento entre as máquinas,
possibilitando capturar dados de outras máquinas da nuvem;
b. Hypervisor: é o elemento de software responsável pela virtualização da
infraestrutura. As falhas de isolamento exploradas normalmente incluem
falhas de segurança desse elemento, permitindo o acesso ao espaço de
disco e à memória de outras máquinas;
c. Vazamento de dados: ao se explorar vulnerabilidades do hypervisor, é
possível acessar dados de outros usuários e máquinas, afetando,
portanto, a integridade e a confidencialidade dos mesmos;
d. Identificação de máquinas virtuais: refere-se à falta de controles de
identificação e autorização de máquinas virtuais e outras entidades da
nuvem;
e. Ataques entre máquinas virtuais: também denominados cross-VM
attacks, são tentativas de estabelecer canais de comunicação entre
máquinas virtuais para facilitar a obtenção de dados por vias não
autorizadas.
2.2.5 Governança
Esta categoria inclui problemas relacionados à perda de controle administrativo
e de segurança sobre os recursos e os dados à medida que decisões dessa natureza
(administrativa/ segurança) são incumbidas ao provedor da nuvem
a. Controle de dados: mover os dados para a nuvem significa perder
autonomia sobre eles. Embora o usuário tenha certo nível de controle
sobre seus arquivos e informações pessoais, o controle nunca é tão
assertivo quanto no caso de utilização local;
b. Controle da segurança: outro ponto da utilização de soluções em nuvem
é a perda de controle sobre os níveis de segurança adotados e as
respectivas configurações, de modo que o usuário passa a depender
integralmente das políticas adotadas pelo provedor.
c. Lock-in: está relacionado ao potencial de dependência de um
cliente/usuário em relação a um serviço em particular. Ao adotar o
serviço de nuvem, todo um modelo de negócio passa a depender desse
32
serviço. Caso o serviço seja descontinuado ou migrado, diversas
consequências em relação aos dados e processos de uma empresa ou
usuário em geral podem ser observadas.
2.2.6 Conformidade
Esta seção apresenta requisitos de conformidade com diferentes níveis de
serviço, disponibilidade, transparência e ainda segundo Gonzales et. al., (2012, p. 34)
sua divisão consiste em:
a. Nível de serviço ou Service Level Agréments(SLA): estabelece políticas
relacionadas a requisitos de disponibilidade de serviço e dos dados,
procedimentos de segurança a serem adotados e possíveis relações com
requisitos legais;
b. Disponibilidade: interrupções no fornecimento do serviço não são
exclusivas de serviços da nuvem, porém a dependência entre serviços
torna esse problema ainda mais grave;
c. Auditoria: as análises de segurança e disponibilidade de serviço são
baseadas em políticas de auditoria pré-estabelecidas. Métodos
transparentes e eficazes são necessários para avaliar as condições de
serviço, e normalmente são requisitos contratuais básicos;
d. Conformidade de serviço: trata de problemas relacionados às obrigações
contratuais estabelecidas para um serviço e seus usuários
2.2.7 Questões Legais
Apresentam-se aspectos relacionados a requisitos legais em geral. Aqui é
importante ressaltar que nem sempre todos os aspectos legais de um país são
aplicáveis a uma nuvem, visto que algumas nuvens possuem abrangência
internacional. Esta categoria subdivide-se em:
a. Localização dos dados: a localização precisa dos dados na nuvem é
incerta, os dados podem estar distribuídos em diversos centros
33
computacionais (por exemplo, data centers16), em diferentes países e sob
diferentes jurisdições. Essa situação pode gerar conflitos ao se moverem
dados de uma localização geográfica para outra;
b. E-Discovery: como resultado de uma decisão judicial, os dispositivos de
armazenamento podem ser recolhidos para análise forense em uma
investigação. Contudo, todos os usuários do serviço cujos dados estão
armazenados nesses dispositivos terão seus dados expostos,
comprometendo a confidencialidade dos mesmos;
c. Privilégios do provedor: o provedor do serviço tem controle parcial ou
total sobre sua infraestrutura, além de acesso físico ao hardware17.
Usuários internos maliciosos podem conduzir atividades que
comprometam gravemente a integridade e a confiabilidade do serviço
como um todo;
d. Legislação: problemas legais relacionados aos novos conceitos e
paradigmas introduzidos pelas tecnologias de computação em nuvem.
Figura 2 - Problemas da segurança da computação em nuvem agrupados por categoria. Fonte: Segurança das nuvens computacionais: Uma visão dos principais problemas e soluções.
Pag. 36
A figura 2 apresenta quais são os principais problemas de segurança de uma
nuvem computacional, mostrando seu agrupamento por categoria. Pode-se observar
que a maior parte dos problemas em cloud computing são gerados por questões
16 Centro de processamento de dados, é um ambiente projetado para concentrar servidores, equipamentos, processamentos, armazenamento de dados e ativos de rede. 17 Hardware é a parte física de um computador, disco rígido, drive de CD, placa mãe e etc.
34
legais, ou por ausência delas. Neste sentido o próximo capítulo abordará
especificamente contratos e cláusulas, e a situação em que é vivenciado a
computação em nuvem no Brasil atualmente.
35
3. ASPECTOS JURÍDICO-CONTRATUAIS
3.1 Introdução ao capítulo
O presente capítulo exibirá os conceitos e definições de contrato de forma
classificada, relacionando esta classificação com contratos recentes de cloud
computing. Além disso, será abordado as cláusulas essenciais com relação a
segurança das informações, constantes no art. 3º do PL Nº5344/2013 junto à análise
comparativa a diversos contratos de empresas do exterior e também brasileiras,
3.2 Computação em nuvem no Brasil
O país ainda vive em um atraso, a computação em nuvem já existe a algum
tempo, porém, o Brasil ainda não possui legislação adequada para regê-la, contando
apenas com o contrato, único artifício que garante obrigações entre as partes,
segurança jurídica e segurança informacional. Porém, mesmo ainda não possuindo
regulamentação, a computação em nuvem vem sendo bastante utilizada no Brasil.
No ponto de vista econômico, a cloud computing também não deixa a desejar, o
mercado de computação em nuvem no Brasil deve dar um bom salto dentro de alguns
anos, segundo uma pesquisa realizada pela empresa de consultoria Frost & Sullivan, a
expectativa é de que a receita vá de 328,8 milhões de dólares em 2013 para bons 1,1
bilhão de dólares até 2017. (GUSMÃO, 2014)
É importante que o Brasil regularize a computação em nuvem, de forma que
possa explorar economicamente e tecnologicamente esta nova tendência, isto é, não
somente no Brasil, mas como no mundo todo vem se expandindo e gerando lucros de
milhões com previsões de bilhões. Portanto,é fundamental um ambiente regulatório
adequado que não isole o Brasil, mas que garanta segurança jurídica aos cidadãos,
empresas e governo, de modo a promover a ampliação da nuvem computacional no
país e fazer do Brasil um espaço competitivo para acolher investimentos externos
neste domínio, sendo escolhido como país para a instalação de datacenters, assim
como estimular empresas brasileiras a se internacionalizarem por esta via. Isto é,
investir em computação em nuvem, é investir em tecnologia, o que com base no art.
218. Da Constituição Federal da Republica do Brasil de 1988, que dispõe sobre o
dever do estado em incentivar o desenvolvimento cientifico.
36
Art. 218 da CF/88 -O Estado promoverá e incentivará o desenvolvimento
científico, a pesquisa, a capacitação científica e tecnológica e a inovação.
Já existe no Brasil um projeto de lei que destina-se a regulamentar o direto na
cloud computing no país, este foi elaborado pelo deputado Ruy Carneiro, o projeto de
lei Nº5344/2013, dispõe sobre diretrizes gerais e normas para a promoção,
desenvolvimento e exploração da atividade de computação em nuvem no país.
Contudo, o projeto ainda não foi aprovado, sendo apenas o contrato jurídico o meio
utilizado que pode garantir obrigações e segurança legal aos usuários e provedores.
Por fim, se torna necessário um estudo especifico de contrato, e também classificá-lo,
afim de descobrir sua natureza, para assim, realizar uma breve comparação do art. 3º
do PL nº 5344/2013 com contratos já existentes no exterior e também no Brasil.
3.3 Contrato Jurídico
O conceito de contrato é tão antigo quanto o próprio ser humano, e nasceu a
partir do momento em que as pessoas passaram a se relacionar e viver em sociedade.
A palavra sociedade já traz a idéia de contrato, composição entra partes em busca de
uma finalidade que atenda aos interesses da coletividade.
Para Roppo (2009, p. 12) o conceito jurídico de contrato está intrinsecamente
ligado ao conceito social-econômico que lhe é dado – como instrumento que
operacionaliza a circulação de riquezas, ou seja, contrato é sinônimo de operação
econômica, mas como uma acepção mais ampla.
De acordo com Tartuce (2013. p. 518), “o contrato é um ato jurídico bilateral,
dependente de pelo menos duas declarações de vontade, cujo o objetivo é a criação, a
alteração ou até mesmo a extinção de direitos e deveres”.Segundo Rohrmann e
Machado e Campos (2009, p. 28)
O contrato é um ato jurídico, ou mais especificamente, um negócio jurídico, que se forma pelo acordo de duas ou mais vontades, com a finalidade de produzir efeitos jurídicos permitidos pelo ordenamento jurídico e desejados e perseguidos pelas partes”.
Em relação a validação dos contratos Tartuce (2013. p. 518) afirma que para
existir o contrato, seu objeto ou conteúdo deve ser lícito, não podendo contrariar o
ordenamento jurídico, a boa-fé, a sua função social e econômica e os bons costumes.
37
Dentro da computação em nuvem, se torna extremamente importante a
utilização de contrato para firmar-se uma relação entre ambas as partes. A relação
entre provedores de cloud computing e seus clientes pode acarretar conflitos,
principalmente por envolver serviços de tecnologia de ponta e segurança das
informações, principalmente nos contratos voltados a grandes empresas que devem
ser claros e bem redigidos. É importante ressaltar que os contratos de computação em
nuvem não estão previsto na legislação brasileira, desta forma, trata-se de um contrato
atípico que conforme Falci Cunha (2014, p. 30),
“O contrato de cloud computing não está previsto na legislação brasileira. Trata-se de um contrato atípico, desenvolvido de acordo com o entendimento realizado entre as partes, considerando sempre a autonomia da vontade dos envolvidos. Assim sendo, para melhor compressão do contrato em computação em nuvem é importante conhecer sua classificação.”
3.3.1 Classificação dos Contratos em Cloud Computing
Buscar a natureza jurídica de um contrato é o mesmo que classificar da forma
que se adeque as suas características especificas,que segundo Tartuce (2013, p. 521)
para se classificar um contrato é necessário buscar a natureza jurídica de um
determinado contrato é procurar classificá-lo dentre as mais diversas formas e
espécies possíveis (categorização jurídica).Assim como nos demais contratos
existentes, também é necessário classificar um contrato em computação em nuvem.
Quanto aos direitos e deveres das partes envolvidas, um negócio jurídico pode
ser unilateral, bilateral ou plurilateral. Em relação a computação, os contratos são
geralmente bilaterais.
3.3.2 Unilateral
Contratos unilaterais não se aplicam a computação em nuvem, uma vez que o
contrato unilateral visa gerar somente obrigações a uma das partes
envolvidas,conforme Tartuce (2013, p. 521) esclarece.
Contrato unilateral é aquele em que apenas um dos contratantes assume deveres em face do outro. É o que o corre na doação pura e simples: há duas vontade (a do doador e a do donatário),mas do concurso de vontades surgem deveres apenas para o doador; o donatário apenas auferirá vantagens. Também são exemplos de contratos unilaterais o mútuo (empréstimo de bem fungível para consumo) e o comodato
38
(empréstimo de bem infungível para uso). Percebe-se que nos contratos unilaterais, apesar da presença de duas vontade, apenas uma delas será devedora, não havendo contraprestação.
Portanto, apesar de um contrato ser um negócio jurídico entre duas partes, esta
classificação não se ajusta a um contrato de computação em nuvem, visto que o
contratante e o contratado em cloud computing devem possuir obrigações típicas de
contrato desde o nascimento deste.
3.3.3 Bilateral
Esta classificação se adéqua na computação em nuvem, uma vez existam
direitos e deveres para ambos envolvidos de forma harmoniosa. Ou seja basicamente
o contratado disponibiliza o serviço, garante segurança dos dados, disponibilidade,
integridade entre outros, e o contratante possui obrigações como bom uso, não utilizar
o serviço para fins maliciosos, obrigações financeiras em caso do serviço pago entre
outras obrigações. Deste modo, Tartuce (2013, p. 522) define:
Em um contrato bilateral os contratantes são simultânea e reciprocamente credores e devedores uns dos outros, produzindo o negócio de direitos e deveres para ambos os envolvidos, de forma proporcional. O contrato bilateral é também denominado sintagmático, pela presença do sinalagma, que é a proporcionalidade das prestações, eis que as partes de direitos e deveres entre si, são exemplos de contrato bilateral: compra, venda e locação.
3.3.4 Contrato Independente
Com relação a independência contratual, os contrato em computação em nuvem
são classificados como contrato principal ou independente, isto é, estes existem por si
só, não dependendo de outro contrato para poder existir. Para substanciar, Tartuce
(2013, p. 527) esclarece que um contrato principal existe por si só, não havendo
qualquer relação de dependência em relação a outro pacto.
Na cloud computing para que possa existir um contrato, é imprescindível apenas
a vontade de ambas as partes em consenso, não sendo necessário a dependência de
um outro contrato.
39
3.3.5 Contrato de Adesão
Quanto a negociação do conteúdo pelas partes, no contrato de adesão,
somente uma parte impõe o conteúdo a ser negociado no contrato, restando apenas a
outra parte, aceitar ou não os termos estipulados.
Tartuce (2013, p. 525), um contrato de adesão é aquele que uma parte, o
estipulante impõe o conteúdo negocial, restando à outra parte, o aderente, duas
opções: aceitar ou não o conteúdo desse negócio.
Para Falci (2014, p. 30), quando o contrato é firmado por consumidores finais
e/ou pequenas empresas, não existe a possibilidade de negociação das cláusulas
entre as partes, sendo considerado um contrato de adesão.
Dentro da computação em nuvem, o serviço pode ser disponibilizado de
diversas formas, geralmente nos contratos de adesão, o serviço provido pela empresa
é gratuito, porém, existem contratos de adesão não gratuitos, e estes são utilizados
geralmente por usuários e pequenas empresas.
3.3.6 Contrato Paritário
Em computação em nuvem esta classificação é aplicável em contratos para
grandes empresas ou instituições públicas, e ainda está relacionada com a negociação
do conteúdo, neste tipo de contrato é permitida que o conteúdo seja debatido entre os
envolvidos.
Para Tartuce (2013, p. 526), contrato paritário é aquele em que o conteúdo é
plenamente discutido entre as partes, o que constitui raridade no atual momento
contratual.
Com relação ao contrato paritário na computação em nuvem, para Falci (2014,
p. 30) quando o contratante é uma companhia de grande porte, existe maior abertura
para que as cláusulas sejam discutidas entre as partes, podendo-se assim ser
considerado como um contrato paritário.
3.3.7 Sacrifício patrimonial das partes.
O que se tem na teoria geral dos contratos em relação a sacrifício patrimonial
são dois tipos de classificação, que são os contratos gratuitos e onerosos, sendo o
contrato gratuito, quando apenas uma das partes proporcionou uma vantagem
40
patrimonial, sem qualquer correspectivo ou contraprestação, desta forma, para que um
contrato seja gratuito, é necessário que uma das partes tenha benefício patrimonial e a
outra sofra um sacrifício patrimonial.
Conforme Tartuce (2013, p. 522) apresenta em sua obra, o contrato gratuito é
aquele que onera somente uma das partes, proporcionando a outra uma vantagem
sem qualquer contraprestação.
Em contrapartida, no contrato oneroso a atribuição patrimonial é efetuada por
cada um dos contraentes, que tem por correspectivo a equivalente atribuição da
mesma natureza proveniente do outro. Portanto, para que o contrato seja oneroso é
preciso que cada uma das partes tenha simultaneamente uma vantagem de natureza
patrimonial e um sacrifício do mesmo tipo, Tartuce (2013, p. 522) define;
“Contrato oneroso é aquele que traz vantagem para ambos os contratantes, pois estes sofrem o mencionando sacrifício patrimonial. Ambas as partes assumem deveres obrigacionais, havendo um direto subjetivo de exigi-lo. Deste modo, passando a existir uma contraprestação, como a compra e venda”.
Estas classificações estão presentes nos contratos de computação em
nuvem.Existem os contratos gratuitos, onde o contratado oferece o serviço, que
geralmente é serviço de armazenamento de dados, serviço de e-mail e outros, e o
cliente somente faz uso dos serviços, portanto não havendo uma troca patrimonial
equivalente. No entanto, no contrato oneroso, há a troca patrimonial entre CSP18 e
cliente, no qual o contratado disponibiliza o serviço, assegura a disponibilidade do
serviço, garante o armazenamento das informações, a privacidade do conteúdo, e o
contratante tem a obrigação remunerá-lo financeiramente.
Encontram-se também em contratos de computação em nuvem que são
gratuitos que passam a ser onerosos com o tempo. Um exemplo que é bastante
comum em serviços de cloud computing é o cloud provider permitir a utilização do
serviço por 30 dias como um período de avaliação, desta forma, o cliente poderá optar
por aderir o serviço após os 30 dias, ou deixar de usá-lo, deste modo, em caso de
vinculo o contrato que antes era gratuito passa a ser oneroso. Como Falci (2014, p. 31)
aponta que:
18 Provedor de serviço em computação em nuvem.
41
[...] existem contratos que são firmados a título gratuito e que posteriormente passam a ser onerosos, como o do fornecedor de serviço que oferece o armazenamento de informações e a licença de uso de software por um período determinado. Durante esse tempo o cliente poderá avaliar o serviço e o programa oferecidos e, ao final, optar por se vincular ou não a ele, o que pode transformar o contrato em oneroso.
3.3.8 Solenidade dos Contratos
Os contratos em computação em nuvem são solenes, visto que, para sua
validade, é exigida determinada forma preestabelecida em lei, normalmente a escrita,
podendo ser por instrumento público, ou por instrumento particular. Tartuce (2013, p.
527), define contrato solene como aquele que é exigida solenidade pública.
De acordo com Falci (2014, p. 30), os contratos de cloud computing são
solenes, pois, para terem validade jurídica, devem obedecer à forma prescrita em lei. A
simples vontade das partes não basta para a sua formação.
3.3.9 Aperfeiçoamento do contrato
Contratos em cloud computing são ditos como contratos reais, em razão de os
contratos nesta área só passam a ter validade quando o serviço é entregue pelo
contratado, deste modo, enquanto não for entregue o serviço, é considerado como
promessa de contratar. Como afirma Falci (2013, p. 31), nos contratos reais, é exigida,
além do consentimento, a entrega do serviço (objeto do contrato). Antes da
disponibilização do serviço, considera-se como promessa de contratar.
Para Tartuce (2013, p. 523), um contrato real apenas se aperfeiçoa com a
entrega da coisa, de um contratante para o outro, antes da entrega da coisa tem-se
apenas uma promessa de contratar e não um contrato perfeito e acabado.
Quanto a classificação do contrato em computação em nuvem, nota-se que esta
é bem extensa, pelo fato de que a cloud computing ser muito ampla e extremamente
detalhada, tornando cada vez mais complexo o estudo jurídico sobre esta tecnologia.
3.4 Contratos em clod computing com relação ao art. 3º, do PL Nº 5344/2013
Para utilizar um serviço de computação em nuvem deve ser redigido um
contrato formal ou somente concordar com os termos de uso, para garantir uma
relação jurídica entre ambas as partes. Como visto, o contrato é um acordo entre duas
ou mais vontades, ele pode ser de adesão em caso de empresas pequenas ou pessoa
42
física e paritário para grandes empresas ou organizações públicas. Desta forma,
adquire-se uma maior segurança entre ambas as partes do contrato, caso as cláusulas
do mesmo não sejam respeitadas, cabe a parte que o fizer, o dever de indenizar, ou
seja, ressarcir o prejuízo sofrido a outra parte, entrando em vigor a responsabilidade
contratual.
3.4.1 Política de uso aceitável
Dentro de um contrato de um serviço em computação em nuvem, existem
diversas cláusulas para que seja estabelecida uma relação entre contratante e
contratado. À Política de Utilização Aceitavel (Acceptable Use Policy), ela geralmente
proíbe que o cliente utilize o serviço contratado para, por exemplo, fraudar, invadir
sistemas de terceiros, armazenar e/ou divulgar conteúdo pornográfico, difamatório,
discriminatório ou proibido por lei e realizar práticas como phishing19 e junk mail20.
Com a Política de Utilização o cloud provider busca excluir a sua responsabilidade
caso estes atos venham a ser praticados pelo seu cliente, de maneira que qualquer
pretensão judicial ou administrativa que objetive atingi-lo e/ou responsabilizá-lo será da
inteira e exclusiva responsabilidade do contratante, o que é correto, posto que a
empresa não pode se responsabilizar por uma má conduta de seus clientes,
principalmente em relação a utilização de material proibido por lei.
Um exemplo de cláusula em um contrato de uso aceitável apresentada no
contrato do Microsoft Azure (MICROSOFT CORPORATION, 2014):
1. Uso dos Serviços.
[...] b. Uso aceitável. Você pode usar o Produto somente de acordo com este Contrato. Você não poderá fazer engenharia reversa, descompilar nem contornar limitações técnicas do Produto, exceto nos casos permitidos pela lei aplicável, não obstante essas limitações. Você não poderá desabilitar, falsificar ou, de outra forma, tentar contornar qualquer mecanismo de cobrança que meça o uso que você faz do Produto. É vetado alugar, arrendar, emprestar, revender, transferir ou sublicenciar o Produto, ou qualquer parte dele, para ou por terceiros [...].
19É um tipo de golpe eletrônico cujo objetivo é o furto de dados pessoais, tais como número de CPF e dados bancários. 20Mensagens de correio electrónico, geralmente de carácter publicitário, enviadas com frequência e que
normalmente não apresentam interesse para o destinatário.
43
Está clausula está em conformidade com a Lei Nº 9.609/98, que diz respeito a
proteção da propriedade intelectual de programas de computador, tal como foi redigido
em contrato, não é permitida a alteração não autorizada (modificações no código fonte,
não comercialização por terceiros. Infrações as quais se cometidas pelo contratante
podem acarretar em negação do serviço, ou até mesmo pena ou multa dependendo da
infração cometida.
3.4.2 Segurança do conteúdo armazenado
Uma parte essencial de um contrato de computação em nuvem, e objeto central
deste trabalho, segurança do conteúdo armazenado em nuvem. Os provedores de
serviços em computação em nuvem devem garantir requisitos básicos da segurança
da informação, estes requisitos que darão ao contratante uma maior sensação de
segurança em relação a adesão do serviço. Para Planas (2012), dentre os requisitos
estão:
DISPONIBILIDADE: Certifique-se de que a informação está disponível e pode ser usar quando necessário. SIGILO: Certifique-se de que a informação está disponível apenas para pessoas autorizadas. INTEGRIDADE: Para garantir que as informações sejam completas, precisas e protegidas contra alterações não autorizadas. AUTENTICIDADE: Garantir a confiabilidade na geração da informação e intercâmbio entre diferentes locais.
CUMPRIMENTO: Certifique-se de que se adapte a lei [...]. RASTREABILIDADE: Garantir a possibilidade de verificar em que momento, quem fez o quê.”
A cláusula da disponibilidade é bastante abordada nos contratos para o cliente
empresarial, nela serão tratados assuntos como: tempo em que este serviço estará
disponível para ser acessado, 24 horas por dia e 7 dias por semana, e por quais
motivos o serviço pode se apresentar indisponível,clausulas sobre notificação para o
contratante, ou seja o cliente deve informado se caso o serviço esteja inacessível.
Assim é correto ao contratado deixar claro ao contratante um índice de disponibilidade
que varia de 97%a 99%, que este serviço pode se encontrar inacessível por motivos
de força maior, por exemplo: interrupção no fornecimento de energia por longas horas,
falta no fornecimento de internet, ou até mesmo por manutenção no serviço que possa
vir a acontecer. Logo, exemplifica-se este assunto com disposições do Contrato de
44
Hospedagem de Conteúdos de Internet na Modalidade de Cloud Computing do
provedor UOL (UNIVERSO ONLINE S.A., 2012)
CLÁUSULA OITAVA - CONDIÇÕES DA UTILIZAÇÃO DOS RECURSOS “8.1 Os Planos contratados estarão disponíveis 24 (vinte e quatro) horas por dia, 07(sete) dias por semana, podendo eventualmente haver interrupções ou suspensões dos mesmos, devido a: (a) manutenção de natureza técnica/operacional; (b) casos fortuitos ou força maior; (c) ações de terceiros que impeçam a utilização dos recursos; (d) falta de fornecimento de energia elétrica por longos períodos de tempo (blackout); (e) interrupção ou suspensão dos serviços das prestadoras de serviços de telecomunicações. Nas hipóteses anteriormente citadas, o UOL deverá, sempre que possível, informar ao CONTRATANTE sobre a possibilidade ou ocorrência de interrupções ou falhas. [...]”
Muitos cloud providers não permitem alterações contratuais com relação a
integridade do conteúdo, principalmente os que prestam serviço de forma não
remunerada, no máximo oferecem um serviço de backup21por um valor adicional.
Desta forma, se o cliente não possuir este pacote adicional de serviço de backup, os
provedores não se responsabilizaram por perdas de conteúdo.
É correto afirmar que os provedores não disponibilizam o serviço de backup
para os clientes que não pagam a adesão deste serviço, e também que estes podem
apresentar falhas na disponibilidade como foi citado anteriormente, porém, atualmente
os grandes cloud providers como Microsoft Azure, VM Ware, Amazon Web Service,
IBM e entre outros, fazem uso de uma novo tipo de arquitetura chamada computação
distribuída22, deixando de lado o padrão antigo de computação centralizada23.
Outro ponto positivo de alguns cloud providers, é que eles possuem vários
servidores conectados em rede, neste caso a distribuição é a nível global, ou seja, um
servidor assume o trabalho do outro em caso de possíveis interrupções, desta forma,
estes grandes provedores quase nunca ficam indisponíveis, garantindo o índice de
disponibilidade em praticamente 100%.
21 Termo em Inglês que significa cópia de segurança dos arquivos armazenados em um computador. 22Um sistema de computadores distribuídos consiste em vários componentes de software em vários computadores, mas executados como um sistema único. 23Sistema de computação que começou a ser utilizado no início da década de 70, no qual todos os processamentos e os dados são centralizados em um único computado.
45
3.4.3 Dados cadastrais
Quando é feito uso de um serviço de armazenamento em computação em
nuvem, geralmente é feita a solicitação dos dados pessoais do usuário, no entanto, se
usuário não aceita fornecer os dados, este não poderá fazer uso dos serviços. Caso
usuário aceite os termos, serão fornecidos dados como por exemplo: Nome, Data de
Nascimento, Identidade, Cpf, Cnpj, Endereço, Telefone e outros, afim de garantir maior
segurança jurídica, e estas informações precisam ser verdadeiras, para que possam
ser utilizadas em casos de solicitação judicial por autoridades públicas. O art. 3º. I,
dispõe sobre os dados referentes ao depositante e ao titular do conteúdo ou seu
detentor, seja pessoa física ou jurídica, indicado pelo depositante, que como exemplo
é apresentado no Contrato de Hospedagem de Conteúdos de Internet na Modalidade
de Cloud Computing do provedor UOL (UNIVERSO ONLINE S.A., 2012, p. 3)
3.1 O CONTRATANTE informará ao UOL todos os dados necessários para seu cadastramento, comprometendo-se a fornecer informações verdadeiras, corretas, atuais e completas sobre si mesmo, no momento do seu cadastramento, responsabilizando-se civil e criminalmente por estas informações.
Em relação a veracidade dos dados fornecidos pelo cliente, o provedor UOL em
seu contrato de cloud computing, ressalta que:
3.1.1 O CONTRATANTE deverá fornecer e manter somente dados verdadeiros, atualizados e completos, declarando-se ciente de que a utilização de dados falsos, inválidos, incorretos ou de terceiros, são de sua inteira responsabilidade, podendo acarretar a rescisão do contrato firmado entre o UOL e o CONTRATANTE e, consequentemente, o CANCELAMENTO IMEDIATO DO PLANO CONTRATADO, SEM PRÉVIA NOTIFICAÇÃO, e, ainda, caracterizar a prática de ato ilícito, sujeitando-o às penalidades previstas em lei.
3.4.4 Solicitação de Terceiros e permissões
Na cloud computing é muito comum o acesso aos dados por aplicações e
ferramentas de terceiros, geralmente existe uma relação entre aplicações de terceiros
e o serviço em nuvem, deste modo a aplicação solicita o acesso a alguns dados do
cliente para o ao provedor, e o provedor pergunta ao cliente se este autoriza fornecer
alguns ou todos os dados armazenados.
Em relação a privacidade e as permissões de acesso, o termo de uso do
Amazon Cloud Drive (AMAZON.COM) dispõe:
46
2. Uso do Serviço [...] 2.3 Nosso Uso de Seus Arquivos para Prestar o Serviço. Poderemos usar, acessar e reter Seus Arquivos para prestar o Serviço a você̂ e fazer valer os termos do Contrato, e você̂ nos dá todas as permissões de que necessitamos para tanto. Essas permissões incluem, por exemplo, os direitos de copiar Seus Arquivos para fins de segurança, modificar Seus Arquivos para possibilitar o acesso em diferentes formatos, e acessar Seus Arquivos para prestar suporte técnico. A Amazon respeita sua privacidade e Seus Arquivos estão sujeitos a notificação de Privacidade em Amazon.com.br (AMAZON.COM [a]).
Para contratar um serviço em nuvem, o contratante precisa absorver a idéia que
seus dados e informações não serão mais individuais, ou seja, um certo grupo de
pessoas da empresa terão acesso a estas informações, visando uma melhor qualidade
do serviço, desta forma o contratante deve permitir que o contratado possa realizar
atividades como dar suporte técnico, copiar, modificar e realizar adaptações para
diversas plataformas, como foi exposto em cláusula no contrato. Na referente cláusula
a empresa ressalta que: por mais que tenham acesso aos arquivos e informações de
seus clientes, a Amazon respeita a privacidade dos usufruidores do serviço.
OPL nº 5344/2013 que visa regulamentar a computação em nuvem no Brasil,
em seu art. 3°, II, o qual faz referência ao contrato de armazenamento de dados em
nuvem, exige os dados ou definição de categorias de pessoas físicas e/ou jurídicas
autorizadas a receber, acessar, alterar ou de qualquer forma tratar o conteúdo,
inclusive aqueles responsáveis por realizar bloqueio e cancelamento de autorizações
ou adotar as decisões quanto às finalidades e modalidades de tratamento.
Art. 3º [...], III – a possibilidade do fornecimento a terceiros por meio de
transferência ou interconexão à base de dados do conteúdo total ou parcial, quando e
na forma especificamente autorizada;
Com base no art. 3º [...], II e III, que trata de solicitação de terceiros, a Amazon
Cloud Drive (AMAZON.COM) ressalta que:
1.4 Serviços de terceiros. O Serviço poderá permitir que você conceda acesso aos Seus Arquivos a websites, aplicativos e serviços de terceiros ("Serviços de Terceiros"), o que inclui a capacidade de fazer cópias, modificar ou excluir os Seus Arquivos, ou criar novos arquivos em seu nome. O uso e o armazenamento dos Seus Arquivos por Serviços de Terceiros serão regidos pelos termos e políticas de privacidade desses terceiros. A Amazon não assume responsabilidades ou obrigações em relação à forma como você usa os Serviços de Terceiros, ou em relação ao conteúdo, funcionalidade ou atos dos Serviços de Terceiros que você usar.
47
A veracidade dos dados do cliente é muito importante para a empresa, portanto,
é fundamental que todos os autorizados a realizarem alterações nos dados estejam
devidamente cadastrados, desta forma, após cada alteração realizada, será salvo
registro de quem à efetuou, por fim, garantindo que estes se responsabilizem por uma
possível quebra de integridade e autenticidade que possa ocorrer.
3.4.5 Privacidade dos dados
É essencial a exposição dos termos que tratam de permissões de acesso e a
terceiros em contrato, mesmo que a empresa não dê suporte técnico ao contratante e
não faça qualquer modificação nos arquivos e informações, estes estarão
armazenados nos servidores da empresa, o que faz com que estes estejam
disponíveis para acesso por alguns membros do cloud providers ou terceiros
devidamente autorizados. Assim, através de uma cláusula em contrato, o contratado
visa informar que os seus arquivos podem ser usados mas, que de forma alguma
serão fornecidos a terceiros (com exceção dos subcontratados da empresa ou que
seja exigido por lei ou autorizado pelo contratante), como apresentado na cláusula de
um Contrato do Microsoft Azure (MICROSOFT CORPORATION, 2014):
“2. Segurança, privacidade e proteção de dados. [...] e. Solicitações de terceiros. Nós não divulgaremos os Dados do Cliente a um terceiro (incluindo representantes legais, outra instituição governamental ou litigante civil; com exceção de nossos subcontratados), a menos que você nos instrua a fazê-lo ou a menos que seja exigido por lei. Caso um terceiro contate a Microsoft com uma demanda para Dados do Cliente, nós tentaremos redirecionar o terceiro para solicitá-los diretamente de você. Como parte deste esforço, nós poderemos fornecer suas informações de contato básicas ao terceiro. Se for obrigada a divulgar os Dados do Cliente a um terceiro, nós o notificaremos imediatamente e forneceremos uma cópia da demanda, a menos que seja legalmente proibida de fazer isso. Você é responsável por responder a solicitações por terceiros sobre o uso que você faz dos Serviços, como solicitações para retirar conteúdo de acordo com o Digital Millennium Copyright Act. [...] “
Grandes provedores de nuvem vão mais além em questões de privacidade dos
dados, estes admitem que o contratante escolha as regiões em que seu conteúdo seja
armazenado, assegurando que ele não possa ser transferido ou acessado por outras
48
áreas fora da região delimitada. Sobre este assunto, a AWS (AMAZON WEB
SERVICE, 2014) ressalta que:
3.2. Privacidade dos Dados [...] Você poderá especificar as regiões AWS nas quais seu conteúdo será armazenado e estará acessível aos usuários Finais. Não moveremos Seu Conteúdo das suas regiões AWS selecionadas, sem notificá-lo, salvo se exigido para observar as leis ou solicitações de entidades governamentais. Você concorda [...] [com] a transferência do Seu Conteúdo para as regiões AWS por você selecionadas.
No cenário computacional atual, diariamente nas grandes redes são detectados
ataques crackers24, e boa parte destes ataques são derivados de outros países, desta
forma, se o contratante não tiver interesse em disponibilizar um serviço ou acesso as
suas informações fora da sua região ou pais, é extremamente viável a utilização desta
opção presente no contrato, restringindo o acesso de outras regiões, e garantindo uma
maior privacidade dos dados.
Como foi apresentada na cláusula 3.2 da AWS, pode-se observar que uma das
formas em que a empresa utilizou para garantir a privacidade dos dados é limitar o
acesso ao conteúdo por regiões, desta forma, só é permitido o acesso ao conteúdo por
regiões autorizadas pelo contratante.
3.4.6 Obrigações do fornecedor
Em um contrato em computação em nuvem, devem ser especificados as
questões relativas à segurança, tempo que os dados estarão armazenados, de qual
forma e como estes dados serão tratados e o funcionamento operacional do serviço,
que são algumas das obrigações do fornecedor, como dispõe o inciso IV, do art. 3º, do
PL nº 5344/2013;
Art. 3º [...], IV - as características do serviço e em especial aquelas relativas à segurança dos seus dados, à possibilidade de optar por armazenamento ou não, ao tempo do armazenamento e condições, à possibilidade de tratamento do conteúdo e às características do funcionamento operacional do serviço, incluindo limitações no processo da contratação.
24São indivíduos mal intencionados que possuem grande conhecimento na área de informática, sendo
capazes de promover invasões e modificações em sistemas ou redes privadas em busca de dados e informações, e geralmente o termo cracker é confundido com o hacker.
49
O referido inciso está diretamente relacionado aos requisitos básicos de
segurança da informação, que são: disponibilidade, integridade e autenticidade. Na
cláusula 5.2 do contrato da UOL (UNIVERSO ONLINE S.A., 2012, p. 7), que visa
possibilitar a conexão dos servidores à Internet como forma de operacionalizar a
exibição do conteúdo do contratante, nos termos relativos ao plano contratado, está
em conformidade com o requisito básico da segurança da informação que é a
disponibilidade.
Em relação a segurança dos dados, no contrato da UOL (UNIVERSO ONLINE
S.A., 2012, p. 3), se comprometem em disponibilizar uma senha que funciona como
uma chave de identificação de acesso aos recursos, e afirma que está é sigilosa e
intransferível, e o contratante deve se responsabilizar pelo sigilo da mesma.
Em relação a segurança dos dados, o contratado se compromete em informar o
contratante caso ocorra acesso não autorizado ao seu conteúdo, como também auxilia
em caso de perdas ou danos aos dados, conforme cláusula presente no contrato da
IBM (INTERNATIONAL BUSINESS MACHINES, 2013):
Confidencialidade e Proteção de Dados
[...] A IBM concorda em comunicar ao Cliente qualquer acesso não autorizado de terceiros ao seu conteúdo de que tenha ciência, e envidar esforços razoáveis para remediar vulnerabilidades de segurança identificadas. Se o conteúdo do Cliente for perdido ou danificado, a IBM dará assistência ao Cliente na restauração do conteúdo ao serviço em Nuvem a partir de última cópia de backup do Cliente disponível em formato compatível.
Está cláusula é de extrema importância para garantir a proteção dos dados do
cliente, o contratado deve informar obrigatoriamente ao contratante de qualquer
acesso não autorizado que seja realizado por terceiros, visando reduzir
vulnerabilidades de segurança e manter os dados do cliente intactos, porem caso os
dados sejam danificados, a empresa se dispõe a dar assistência ao cliente, mas isto
em caso de danos causados impreterivelmente por terceiros.
No contrato deve conter também o tempo em que o serviço estará disponível, e
quando este poderá se apresentar indisponível em casos de força maior, por motivos
de desastres naturais, ou indisponível por motivo de manutenção programada.
O fornecedor deve atender aos requisitos exigidos pelo do comprador, ou seja,
com relação a infraestrutura, o contratante não pode fornecer uma infraestrutura que
ele mesmo não possui.
50
Art. 3º [...], V - responsabilidade do fornecedor do serviço e suas limitações: garantias que podem ser concedidas sobre o conteúdo objeto do armazenamento, guarda e depósito e recuperação deste, em especial sobre padrões de qualidade do serviço e latência.
O provedor UOL em seu contrato de cloud computing dispõe sobre obrigações
na cláusula 5.1, que o provedor deve prover equipamentos necessários para suportar
a infraestrutura contratada pelo contratante, bem como as licenças de software
necessárias ao funcionamento do sistema operacional.
3.4.7 Responsabilidade das partes
As responsabilidades devem existir por parte do contratado como também do
contratante, ambos tem o dever de atender os requisitos descritos em contrato para
que não haja uma possível resolução do mesmo. Assim como o art. 3º, VI –exige que
seja discutido em contrato a responsabilidade do contratante e do titular do conteúdo.
Abaixo a tabela apresenta algumas das responsabilidades dos envolvidos com
base no contrato da UOL (UNIVERSO ONLINE S.A., 2012);
Responsabilidades dos Envolvidos
Contratado Contratante
Prover os equipamentos
necessários para fornecer a
infraestrutura contratada.
Efetuar pontualmente os
pagamentos devidos ao
contratado. (Contrato oneroso)
Possibilitar a conexão dos
servidores com a internet,
garantindo a disponibilidade.
Não armazenar, compartilhar e
disponibilizar conteúdo ilícito ou
que viole a lei.
Envidar melhores esforços para
bloquear acessos indevidos e
lesivos ao servidor.
Não transmitir pela rede,
qualquer programa ou aplicação
de caráter ilegal.
Não fiscaliza o conteúdo,
garantindo a privacidade do
conteúdo armazenado,
É de caráter do contratante
gerenciar os servidores
contratados.
Notificar o cliente em caso de
manutenção programada ou
indisponibilidade do serviço.
Este deve assumir a
responsabilidade por todo o
conteúdo hospedado.
Tabela 1: Responsabilidade dos Envolvidos
51
Conteúdo do UOL (UNIVERSO ONLINE S.A., 2012.)
A forma de pagamento é essencial ser discutida, as questões como valores,
taxas, impostos, isenção fiscal, forma de pagamento mensal ou anual e datas de
vencimento, isto é, dependendo se o contrato for de adesão, não é permitida a
discussão das cláusula. Como o art. 3º, VII, exige que seja discutido em contrato.
Art. 3º [...], VII - forma e condições de cobrança e pagamento;
Sobre as taxas de serviço da AWS, estas são cobradas mensalmente e o
contratante é informado sobre aumentos pelo menos 30 dias antes do pagamento da
fatura mensal. A cláusula 5.1 do contrato da AWS (AMAZON WEB SERVICE, 2015, p.
4) apresenta estes termos.
5.1. Taxas de Serviço. Nós calculamos e faturamos as taxas e despesas mensalmente. Nós poderemos cobrar você por taxas contabilizadas mais frequentemente se nós suspeitarmos que a sua conta é fraudulenta ou sob risco de não pagamento. Você nos pagará as taxas e despesas aplicáveis pelo uso das Ofertas de Serviço, conforme descrito no Site AWS, utilizando uma das formas de pagamento que apoiamos. Todos os valores devidos nos termos do presente Contrato serão efetuados sem compensação ou reconvenção, e sem qualquer dedução ou retenção. As taxas e despesas de qualquer novo Serviço ou nova característica de Serviço vigorarão quando lançarmos taxas e despesas atualizadas no Site AWS, salvo se expressamente afirmarmos de outro modo em um aviso. [...]. Poderemos aumentar ou adicionar novas taxas e despesas para quaisquer Serviços existentes, enviando-lhe um aviso com no mínimo 30 dias de antecedência.
Com relação a imposto, o contrato da AWS ( AMAZON WEB SERVICE, 2015, p.
4) dispõe:
5.2 Impostos. Todas as taxas e despesas por você devidas não incluem impostos e tarifas aplicáveis, inclusive o IVA (VAT) e impostos de vendas pertinentes. Você nos fornecerá quaisquer informações por nós razoavelmente solicitadas para determinar se somos obrigados a cobrar o IVA, inclusive seu número de identificação do IVA. Se você fizer jus à isenção de quaisquer impostos sobre venda, uso ou operação similar, será responsável pelo fornecimento de certidões de isenção de impostos legalmente suficientes para cada jurisdição fiscal. Adotaremos as certidões de isenção fiscal às despesas sob sua conta, após a data em que as recebermos. Se qualquer dedução ou retenção for exigida por lei, você nos notificará e pagará quaisquer valores adicionais necessários para garantir que o valor líquido que recebermos, após quaisquer deduções e retenções, seja equivalente ao montante que receberíamos caso nenhuma dedução ou retenção fosse exigida. Ademais, você fornecerá documentação comprovando que os valores retidos e deduzidos foram pagos às autoridades ficais competentes.
52
A confidencialidade é uma das prioridades da computação em nuvem, o sigilo
dos dados dos clientes é fundamental para o sucesso da organização, e estes
necessitam ser tratados de forma que somente o titular, a empresa e terceiros que
tenham permissão de acesso possam visualizar as informações.
O projeto de lei nº 5344/2013, em seu art. 3º, VIII – explana que deve ser
descrito em contrato a forma de sigilo e confidencialidade adotada pelo contratado,
afim de esclarecer ao contratante a maneira que é tratado o sigilo dos dados
armazenados dentro da empresa.
Cada provedor adota medidas que acha necessárias para manter o sigilo das
informações do cliente, conforme AWS (AMAZON WEB SERVICE, 2015, p. 3) optou
por restringir o acesso aos dados de forma que somente estará acessível nas regiões
especificadas.
3.2 Privacidade dos Dados. Nós participamos dos programas de salvaguarda descritos na Política de Privacidade. Você poderá especificar as regiões AWS nas quais Seu Conteúdo será armazenado e estará acessível aos Usuários Finais. Não moveremos o Seu Conteúdo das suas regiões AWS selecionadas, sem notificá-lo, salvo se exigido para observar as leis ou solicitações de entidades governamentais.
3.4.8 Contrato para modelo de serviço
É possível que os contratos em computação em nuvem possam ser
modificados.Isto vai depender do modelo de serviço em que o cliente deseja obter.
Cada modelo de serviço possui características especificas que os diferem dos outros,
fazendo com que certas cláusulas não se adéquem a certos modelos, como esclarece
Planas (2012, p. 10):
“IaaS (Infraesctructura as a Service). Modelo de entrega, equivalente a contratar um servidor virtual completamente vazio. Único sistema disponível operando. Por conseguinte, todo o seu conteúdo irá ser o cliente. O CSP não pertence a qualquer direito. PaaS (Platform as a Service). Neste caso, além do SO geralmente ele incorpora um BB. DD. [Base de Dados], a programação de serviços públicos, "Serviço da Web", etc. Todos os aplicativos desenvolvidos pelo cliente com os ou outras ferramentas de programação que você adicionar, juntamente com seus dados associados, será a sua propriedade e não gerar quaisquer direitos a favor do CSP.
53
SaaS (Software as a Service). Neste caso, o cliente está limitado à utilização de um aplicação integrada a Cloud Computing. Para ambos será apenas sua propriedade, trabalho e dados em geral, uma loja.”
3.4.9 Rescisão contratual, devolução ou remoção do conteúdo
Uma questão importante a ser tratada é em relação ao armazenamento de
informações pós resolução25 de contrato, o cloud provider deve deixar claro no
contrato o que será feito com as informações armazenadas, assim o contratante terá
conhecimento do que pode acontecer e assim não ser surpreendido.
Sobre algumas dessas questões Winkler (2012) defende que:
“Dependendo da quantidade de dados envolvidos, você pode simplesmente movê-lo de volta a sua organização. Depois, você pode enviá-lo para o novo fornecedor. Você também pode considerar transferi-lo diretamente entre os dois fornecedores. Independentemente do método que você usa, você vai precisar para assegurar que os dados são seguros para cada uma das organizações, talvez usando criptografia para os dados enquanto está em trânsito. Você vai precisar de considerar cuidadosamente e gerenciar esses fatores ao desenhar, revisão e aprovação de um contrato com um provedor de nuvem. Você está entrando em um potencialmente relacionamento de longo prazo, então você vai precisar para assegurar que as expectativas e responsabilidades são suficientemente compreendidos”
Os provedores de nuvem, neste caso, poderiam apresentar opções como:
garantir ao cliente um prazo médio, fornecendo mais tempo para saber se o
contratante ainda renovará o contrato com a empresa, ou se irá aderir um novo cloud
providers, e também permitir que as informações possam ser importadas de um
provedor para outro, sem que sejam alteradas, danificadas ou acessadas por terceiros,
como aponta Valenzuela e Montoya (2012, p. 57):
Algumas companhias estabelecem em seus modelos contratuais, que a informação se manterá em seus servidores durante um tempo, em caso de que o cliente queira voltar a ativar o serviço ou em algum momento seja relevante para o cliente solicitá-la de novo ao provedor de serviço. Da mesma forma algumas empresas colocam que a informação deve ser devolvida ao cliente e, por conseguinte, é deixado em um servidor até o final, isto de graça, para que possam regressar por ela.
25 É a extinção do vínculo contratual em caso de inadimplemento de uma das partes envolvidas.
54
Tudo depende da forma em que termina o contrato. Amazon retira este benefício em caso de um termino de contrato por incumprimento contratual. Facebook, por sua vez, não elimina a informação dos seus servidores, e a deixa armazenada dentro de sua base de dados para uso posterior[...]. Isto não significa que seja um comportamento usual dos prestadores de serviço, pois alguns (talvez a maioria) tem a política de eliminar a informação no momento do termino do contrato.
Quando se trata de companhia com dados ultra-sensíveis, como as instituições
financeiras, pode ser definido que o contratante ou terceiro por ele indicado auditará o CSP ao
término do contrato, no sentido de verificar se todos os dados da companhia foram realmente
apagados como ajustado.
O prazo contratual de preservação do conteúdo do contratante pelo provedor pode ser
radicalmente reduzido caso ocorra violação do contrato ou de qualquer documento que dele faça
parte, como a política de uso.
Com relação ao não pagamento pelo serviço contratado por um determinado período, é
comum o contratado não se comprometer a manter o serviço prestado, incluído o
armazenamento dos dados e informações do seu cliente em nuvem.
Considerando que os contratos de computação em nuvem são contratos de terceirização
dos serviços, dentre eles o armazenamento e processamento de dados e/ou informações, o
contratante pode exigir que a empresa contratada cumpra as obrigações tributárias, trabalhistas e
previdenciárias previstas na legislação. Desta modo, o objetivo desta iniciativa é assegurar que o
inadimplemento pelo contratado de qualquer obrigação legal não recairá sobre o contratante,
como prevê, por exemplo, a Súmula 331, inciso IV do Tribunal Superior do Trabalho - TST, no
que tange às obrigações trabalhistas: “O inadimplemento das obrigações trabalhistas, por parte
do empregador, implica a responsabilidade subsidiária do tomador dos serviços quanto àquelas
obrigações [...]” (BRASIL, 2011). De acordo com Falci (2014, p. 85):
[...] as penalidades por quebra de contrato devem ser previstas contratualmente, como é o caso de fornecimento de informação à pessoa não autorizada e o não fornecimento da capacidade de serviço contratada. Um exemplo de penalidade é a compensação financeira pelos danos causados, o que em determinadas situações pode ser difícil de ser mensurado, podendo por vezes, o valor se apresentar extremamente elevado.
Quanto à cessão de direitos do contrato verificou-se que, no contrato da
Amazon ela não é admitida. Sobre isso dispõe o Contrato do Cliente
AWS(AMAZON.COM ):
55
13.8 Cessão. Você não cederá o presente Contrato, nem delegará ou sublicenciará quaisquer de seus direitos aqui estabelecidos, sem o nosso consentimento prévio e por escrito. Qualquer cessão ou transferência em violação a esta Cláusula 13.8 será nula. Sujeito ao acima exposto, este Contrato vinculará as partes, sendo revertido em benefício delas e de seus respectivos sucessores e cessionários.
No entanto, nos contratos da IBM, este admite a transferência de direitos e
obrigações exceto nos casos de fusão e aquisição (INTERNATIONAL BUSINESS
MACHINES, 2013):
[...] Não é permitida a transferência deste Contrato ou dos direitos e obrigações sob ele, incluindo autorizações para o Serviço em Nuvem, exceto para uma subsidiária ou a uma organização sucessora através de aquisição ou fusão. A transferência pela IBM em conjunto com a venda de parte do negócio da IBM que inclua o Serviço em Nuvem não está restringida.
A resolução contratual também é muito importante que seja tratado em contrato,
dado que, este pode se rescindir de diversas formas, e também por qualquer uma das
partes, seja por vontade própria ou por inadimplência das obrigações. Deste forma,
cabe ao contratado abordar qual será o destino do conteúdo após uma possível
resolução do contrato. O art. 3º, IX - exige que estas condições de rescisão e
encerramento do contrato, devolução e remoção de conteúdo estejam especificadas
em contrato.
O contrato pode ser encerrado por ambas as partes e a qualquer momento,com
relação a esta questão, o contrato da AWS (AMAZON WEB SERVICE, 2015, p. 5)
afirma que pode rescindir o contrato por qualquer motivo, sendo atribuída como
rescisão por conveniência.
“7.2 Rescisão. (a) Rescisão por Conveniência. Você poderá rescindir este Contrato por qualquer motivo: (i) enviando aviso e (ii) encerrando sua conta para todos os serviços para os quais fornecemos um mecanismo de encerramento de conta. Nós poderemos rescindir este Contrato por qualquer motivo, fornecendo-lhe aviso com 30 dias de antecedência.”
A rescisão pode ocorrer também por justa causa, ou seja, a inadimplência das
obrigações por qualquer uma das partes, pode acarretar em rompimento do contrato.
“(b) Rescisão por justa Causa. (i) Por qualquer das Partes. Qualquer parte poderá encerrar este Contrato por justa causa, mediante aviso prévio de 30 dias à
56
outra parte, se houver qualquer inadimplemento ou violação substancial deste Contrato pela outra parte, salvo se a parte inadimplente tiver sanado o inadimplemento ou a violação material no prazo de 30 dias do aviso prévio. (ii) De nossa parte. Nós também poderemos rescindir este Contrato imediatamente, mediante aviso (A) por justa causa, se qualquer ato ou omissão praticada por você ou por qualquer Usuário Final”
Mediante a qualquer rescisão de contrato, o cliente perdera todos os direitos
pactuados no contrato, e também deverá arcar com todas as despesas incorridas até a
data da rescisão, o provedor AWS (AMAZON WEB SERVICE, 2015, p. 6) garante que:
“7.3. Validade da Rescisão.
(i) todos os seus direitos aqui pactuados serão extintos imediatamente; (ii) você permanece responsável por todas as taxas e despesas incorridas até a data da rescisão, inclusive pelas taxas e despesas nas tarefas internas de processos concluídas após a data de rescisão; (iii) você devolverá imediatamente ou, se por nós instruído, destruirá todo o Conteúdo AWS em sua posse;”
Pode-se observar também que estes contratos são redigidos cuidadosamente,
visando atender todas as questões de segurança relacionadas a TI, como também a
segurança dos envolvidos no ato jurídico, proporcionando uma maior relação de
confiabilidade entre ambos, contudo, é importante analisar que o contrato em
computação em nuvem visa garantir direitos e deveres para o contratante e o
contratado, assegurando que os dois tenham obrigações jurídicas. Em países como o
Brasil, que ainda não possui regulamentação legal em cloud computing, o contrato se
torna o único recurso no qual os provedores e usuários desta tecnologia poderão
dispor de alguma segurança jurídica e também do cumprimento das obrigações.
Porém, já nota-se que o Brasil tem evoluído, além de possuir provedores que
atuam na área da computação em nuvem, existem também políticos interessados no
desenvolvimento e na regulamentação desta tecnologia no país. Visto que, além de
promover a facilidade de compartilhamento de informações e serviços e uma ampla
portabilidade de aplicações, apresenta também uma maior disponibilidade de
funcionamento. Por fim, a cloud computing tem gerado milhões e bilhões em lucros, e
vem se mostrando como o futuro da TI no mundo.
57
4. CONCLUSÃO
A computação em nuvem tem alterado o cenário computacional de uma forma
surpreendente. Como foi apresentado no estudo, ela é uma tecnologia disruptiva, se
propõe a substituir os métodos obsoletos de entrega de serviços, programas, jogos,
ferramentas e etc, e estes eram entregues através de CD’s, downloads e instalação
dos programas no computador. Hoje, com a cloud computing é possível ter acesso a
estes recursos sem a necessidade da instalação de programas no computador, deste
modo, o usuário somente necessita de um browser e conexão com a internet, sendo
tarefa dos cloud providers toda a administração dos serviços.
A popularização da computação em nuvem se deu por muitos motivos, além da
entrega diferenciada dos serviços, há também a alta disponibilidade, portabilidade das
aplicações, custo benefício, facilidade de acessar e compartilhar informações a
qualquer hora e lugar. Estes benefícios são apenas alguns de muitos outros possíveis
novos serviços que a cloud computing poderá prover no futuro para os usuários desta
tecnologia.
Segundo Ried e Holger (2011) o mercado de CC totalizou em 2011 US$ 40.7
bilhões e deverá atingir US$ 241 bilhões em 2020, um crescimento de 600% até 2020.
Para o setor de nuvem pública em 2011, o mercado registrou US$ 25 bilhões e a
tendência é que em 2020 gere mais de US$ 160 bilhões, conforme figura 3.
Figura 3: Taxa de crescimento de mercado de Cloud Computing Compreender e quantificar o futuro da computação em nuvem
58
Gantz e Toncheva (2012) destacam que este crescimento no mercado nas
nuvens gerará uma demanda global, criará mais de 14 milhões de novos empregos e
por ano até 2015.
Figura 4: Taxa de crescimento de oportunidades de trabalho relacionados a Cloud Computing Fonte: Gantz e Toncheva (2012, p. 2)
E outro dos fatores que contribuiu para este grande crescimento da computação
em nuvem a nível global, foram os dispositivos moveis, o trafego de dados utilizados
por estes dispositivos passaram 0.6 em 2011, para 6.9 ExaBytes em 2015 por mês.
Estima-se que até 2016 o trafego de dados terá um aumento de 3,9 EB. Como
apresenta a figura 5.
Figura 5: Aumento do trafego mundial de dados moveis. Fonte: Canaltech (2012).
59
Devido a esta grande facilidade de compartilhamento de informações e recursos
e a crescente utilização dispositivos moveis, que facilitam o acesso a esta tecnologia
inovadora, nota-se um aumento da preocupação com questões de segurança, não
somente lógica, como também segurança legal dos dados e informações armazenadas
em nuvem, sendo este o foco desta pesquisa.
É importante observar que o interesse nesta tendência teve início em 2005,
época em que foi criado o termo computação em nuvem, e este atingiu o ápice do
interesse público em 2011, porém, hoje este interesse já sofreu uma queda. Com base
no gráfico gerado pela ferramenta do Google Trends (2015).
Figura 6: Gráfico do interesse público sobre cloud computing. Fonte Google Trends.
Porém o que é preocupante é que as pessoas têm interesse na tecnologia, nos
recursos e benefícios providos por ela, e se esquecem de que para fazer uso, é
preciso seguir as normas e regras estabelecidas no contrato de adesão do serviço, e
este que visa garantir direitos e obrigações as partes envolvidas, porém, o problema é
que boa parte dos usuários nem se quer fazem uma leitura do contrato na hora de
aceitar o acordo, e somente direcionam-se ao “CONCORDO”, sem ter sequer idéia do
que o contrato tem abordado. Como apresenta a reportagem divulgada pela revista
Superinteressante os quais são 97%, segundo pesquisa da Universidade Stanford, os
usuários que pulam direto para o "concordo". Ou seja, de cada 100 cadastrados,
apenas 3 sabem o que podem e o que não podem fazer e quais seus direitos e
deveres, ou até mesmo estar ciente que não haja nenhuma cláusula abusiva em
contrato,o que é diferente quando se trata de grandes empresas, neste caso, a
60
avaliação contratual é bem detalhada, para que atendas os interesses e as obrigações
dos envolvidos.
Finalmente, a pesquisa destinou-se a apresentar as aspectos jurídicos
contratuais com relação a computação em nuvem no Brasil e no exterior, e
especificamente as cláusulas relativas as informações armazenadas na cloud
computing, e desmistificar o medo que ainda se tem com relação a segurança das
informações, pois, o perigo sempre existe, não importado se o servidor é local, externo
ou na própria máquina. Logo, a segurança das informações não cabe tão somente ao
provedor, mas também ao usuário.
O que se deve analisar é que, a computação em nuvem mudou a forma de
prover serviços, abriu portas para o futuro, que é um tanto incerto, pois a cada dia,
novas tecnologias de virtualização em nuvem tem surgido. O que se sabe é que,
grandes maquinas pessoais com finalidade de executar tarefas, rodar jogos ou
serviços, estão possivelmente com seus dias contados. Porém, chegará um ponto em
que os provedores de computação em nuvem praticamente terão posse de toda a
informação do mundo, os usuários não terão mais privacidade diante dos provedores,
porque tudo vai estar na nuvem, sendo um caminho no qual daqui a alguns anos,
deveremos decidir se realmente vale a pena ter toda esse compartilhamento e troca de
informações, para mais adiante não existir mais privacidade e sigilo.
Por questões como estas já citadas, os profissionais da área do direito, agora
mais do que nunca, devem andar em parceria com a TI, para buscar responder os
problemas legais ainda existentes no cenário da computação em nuvem no Brasil e no
mundo, além dos que possam vir a surgir futuramente.Contudo, o presente estudo visa
conscientizar o público alvo de que a computação em nuvem veio para mudar o
cenário das TICS, mas não só na computação, como também em todas as áreas do
conhecimento, e muitas empresas de diversos setores, tais como a industria
cinematográfica, laboratório médicos de biotecnologia, etc, já fazem uso da cloud
computing,não importando a área em que se atua, a computação em nuvem pode se
adaptar as necessidades e com certeza, trazer inúmeros benefícios aos seus usuários.
Sendo este trabalho uma tentativa de aproximar a TI com o Direito, e demonstrar que
estas duas profissões tem muito ainda a contribuir uma com a outra.
61
REFERENCIAS BIBLIOGRÁFICAS
ALECRIM, Emerson. Infowester.. O que é cloud computing. 2015. Atualizado em
2015. Disponível em: <http://www.infowester.com/cloudcomputing.php>. Acesso em:
18 abr. 2015.
ALONSO, Paulo Sérgio Gomes. Pressupostos da responsabilidade civil objetiva.São Paulo:
Saraiva, 2000.
AMAZON WEB SERVICE (United States). O que é a computação em nuvem? 2015.
Disponível em: <http://aws.amazon.com/pt/what-is-cloud-computing/>. Acesso em: 14
abr. 2015.
AMAZON.COM [a]. Termo de uso do Amazon Cloud Drive. 2014. Disponível
m:http://www.amazon.com.br/gp/help/customer/display.html?nodeId=201
376540>. Acesso em: 12 Julho. 2015.
ARAÚJO, Laíss Targino Casullo de; REIS, Sérgio Cabral dos. Responsabilidade civil
dos provedores de conteúdo de internet. Disponível em:
<http://ambitojuridico.com.br/site/?n_link=revista_artigos_leitura&artigo_id=10422&revi
sta_caderno=17>. Acesso em: 05 julho. 2015.
BARBOSA, Fernando. Mercado brasileiro de games on-line deve atingir US$ 2 bi
neste ano: SÃO PAULO. DCI (Diario Comercio Industria & Serviços). Disponível em:
<http://www.dci.com.br/servicos/mercado-brasileiro-de-games-online-deve-atingir-us$-
2-bi-neste-ano-id382932.html>. Acesso em: 05 maio 2015.
BARBOSA, José Pedro Marques. UPBox: Armazenamento na Nuvem para Dados
de Investigação da U.Porto. 2013. Disponível
em:<http://svn.fe.up.pt/attachments/download/6949/josebarbosa_dissertacaofinal.pdf>.
Acesso em: 18 maio 2015.
BORGES, H.P. et. al. Computação em Nuvem, Instituto Federal de educação,
Ciência e Tecnologia do Maranhão, 2011.
BRASIL. Súmula n. 331 do TST, de 27 de maio de 2011. Contrato de Prestação de Serviço.
Legalidade, 2011. Disponível em:<http://www3.tst.jus.br/jurisprudencia/Sum
62
ulas_com_indice/Sumulas_Ind_301_350.html>. Acesso em: 12 nov. 2015.
CANALTECH. Previsão: quantidade de dados móveis crescerá 18 vezes nos
próximos 5 anos: http://corporate.canaltech.com.br/noticia/mobile/Previsao-
crescimento-do-trafego-de-dados-moveis-ate-2016/ 2012. CISCO. Disponível em:
<http://corporate.canaltech.com.br/noticia/mobile/Previsao-crescimento-do-trafego-de-
dados-moveis-ate-2016/#>. Acesso em: 03 dez. 2015.
CARVALHO, Eduardo. 2014 – Cloud Computing é tendência para empresas de
todos os portes. 2014. Disponível em: <http://cio.com.br/opiniao/2014/04/11/2014-
2013-cloud-computing-e-tendencia-para-empresas-de-todos-os-portes/>. Acesso em:
04 maio 2015.
CASTRO, Rita de C. C. de; SOUSA, Verônica L. Pimentel de. Segurança em Cloud
Computing: Governança e Gerenciamento de Riscos de Segurança. 2010.
Disponível em: <http://www.infobrasil.inf.br/userfiles/26-05-S5-1-68740-Seguranca em
Cloud(1).pdf>. Acesso em: 20 abr. 2015
CATTEDDU, D.; HOGBEN, G. Benefits, Risks and Recommendations for
Information Security, novembro/2009.
CLOUD SECURITY ALLIANCE (United States) (Org.). SECURITY GUIDANCE FOR
CRITICAL AREAS OF FOCUS IN CLOUD COMPUTING V3.0. 2011. Disponível em:
<https://cloudsecurityalliance.org/guidance/csaguide.v3.0
.pdf>. Acesso em: 12 abr. 2015.
CLULEY, G. Evernote Hacked Almost 50 Million Passwords Reset After Security
Breach. Disponível em: nakedsecurity.sophos.com/2013/03/02/evernote-hacked-
almost-50-million-passwords-reset-after-security-breach. Acesso em: 15/08/2015.
FALCI SOUSA ROCHA CUNHA, Juliana. A empresa e a regulamentação da computação
em nuvem. 2014. 148 f. Dissertação (Mestrado) – Faculdade de Direito Milton Campos,
Alameda da Serra.
GANTZ, John F.; TONCHEVA, Anna. Cloud Computing’s Role in Job Creation,
Framingham, Massachusetts, USA, Março de 2012. Acesso em 03/12/2015
63
GILBERTSON, S. Lessons From a Cloud Failure: It’s Not Amazon, It’s You.
Disponível em:http://www.wired.com/business/2011/04/lessons-amazon-cloud-failure.
Acesso em:15/8/2015.
GONZALEZ, N.; et al. “A Quantitative Analysis of Current Security Concerns and
Solutions, Acesso em: 12 julho, 2015.
GUSMÃO, Gustavo. Receita de computação em nuvem no Brasil saltará para 1,1
bilhões de dólares até 2017. 2014. EXAME. Disponível em:
<http://exame.abril.com.br/tecnologia/noticias/receita-de-computacao-em-nuvem-no-
brasil-saltara-para-1-1-bi-de-dolares-ate-2017>. Acesso em: 12 nov. 2015.
INTERNATIONAL BUSINESS MACHINES - IBM. Contrato de serviço em nuvem IBM.
2013. Disponível em:<http://www-05.ibm.com/support/operations/files/p
df/csa_br.pdf>. Acesso em: 13 Julho. 2015.
JANSEN, W.; GRANCE, T. Guidelines on Security and Privacy in Public Cloud
Computing. Gaithersburg, National Institute of Standards & Technology, SP 800-144.
2011.
JOBSTRAIBIZER, Flávia. Conheça 12 sistemas de armazenamento em nuvem
gratuitos. 2014. Disponível em: <http://imasters.com.br/infra/cloud/conheca-12-
sistemas-de-armazenamento-em-nuvem-gratuitos/>. Acesso em: 11 maio 2015.
LENK, A. et al. What’s inside the Cloud? An architectural map of the Cloud
landscape. In: SOFTWARE ENGINEERING CHALLENGES OF CLOUD
COMPUTING, 2009. CLOUD.ICSE WORKSHOP ON, Washington, DC, USA. Anais. .
IEEE, 2009. p.23–31. (CLOUD ’09, v.0).
ROMERO, Luiz (Ed.). Não li e concordo. 2012. Superinteressante. Disponível em:
<http://super.abril.com.br/tecnologia/nao-li-e-concordo>. Acesso em: 03 dez. 2015.
MELL, P.; GRANCE, T. The NIST Definition of Cloud Computing. [S.l.]: National
Institute of Standards and Technology, Information Technology Laboratory, 2009.
64
MICROSOFT CORPORATION. Contrato do Microsoft Azure. 2014. Disponível em:
<http://azure.microsoft.com/pt-br/support/legal/subscription-agreement/>. Acesso em: 10
Julho.2015.
NORONHA, Fernando. Direito das obrigações. 2 ed. São Paulo: Saraiva, 2007. v. 1.
PLANAS, José Luis Colom. Cláusulas contractuales en entornos de cloud computing. 2012.
Disponível em: <http://www.aspectosprofesionales.info/2012/10/cl
ausulas-contractuales-enentornos-de.html>. Acesso em: 20 Julho. 2015.
RIED, Stefan; HOLGER, Kisker Sizing The Cloud: Understanding and quantifying
the future of cloud computing, USA, Forrester Research, 03 de Dezembro de 2015.
ROHRMANN, Carlos Alberto; MACHADO E CAMPOS, Miriam de Abreu. Os contratos
eletrônicos: um estudo histórico – comparativo dos direitos brasileiro e europeu.Revista da
Faculdade de Direito Milton Campos, Belo Horizonte, v. 18, p. 23-76, 2009.
ROPPO, Enzo. O contrato. Coimbra: Almedina, 2009.
SILVA, Diogo. Cloud Computing: Muito além do Armazenamento em Nuvem. 2015.
CloudMarket. Disponível em: <http://www.cloudmarket.com.br/blog/cl
oud-computing/cloud-computing-muito-alem-do-armazenamento-em-nuvem/>. Acesso
em: 05 maio 2015.
SILVA, Diogo. O Futuro de Cloud Computing é a InterCloud. 2015. CloudMarket.
Disponível em: <http://www.cloudmarket.com.br/blog/cloud-computing/o-futuro-de-
cloud-computing-e-a-intercloud/>. Acesso em: 06 maio 2015.
SILVA, Luciana Vasco da. A necessidade de regulação legislativa para utilização
do serviço de computação em nuvem. 2014. Âmbito Jurídico. Disponível em:
<http://www.ambito-juridico.com.br/site/?n_link=revista_artigos_leitura&artigo_id=15
186>. Acesso em: 10 ago. 2015.
TARTUCE, Flávio. Manual do direito civil. 3. ed. São Paulo: Método, 2013. 1445 p.
ISBN 978-85-309-4475-9
TAURION, Cézar. Computação em Nuvem: Uma coletânea de posts, 2011.
Disponível em: <http://www.smashwords.com/books/download/98138/1/latest/0/0/cl
65
oud-computing-uma-coletanea-de-posts.pdf >. Acesso em: 18 de Abr. 2015
UNIVERSO ONLINE S.A. UOL. Contrato de hospedagem de conteúdos de internet na
modalidade cloud computing. 2012. Disponível em:
<http://ferramentas.download.uol.com.br/uolhost/contratos/2012/01- 13/CONTRATO
%20DE%20HOSPEDAGEM%20DE%20CONTE%C3%9ADOS%20DE%20INTERNET%20N
A%20MODALIDADE%20CLOUD%20COMPUTING%20120608.pdf>. Acesso em: 14 Julho.
2015.
VAQUERO, L. M. et al. A break in the clouds: towards a cloud definition.
SIGCOMMComput. Commun. Rev., New York, NY, USA, v.39, n.1, p.50–55, Dec.
2008.
VOGELS, W. A head in the clouds - the power of infrastructure as a service. First
workshop on Cloud Computing and in Applications (CCA 2008), [S.l.], 2008
WINKLER, Vic J.R. Cloud computing: negotiating cloud contracts. 2012. Disponível
em:<http://technet.microsoft.com/en-us/magazine/jj149022.aspx>. Acesso em: 16 Julho. 2015.
66