O documento discute a Cloud Security Alliance (CSA) e aspectos relacionados à segurança na nuvem. A CSA é uma associação sem fins lucrativos que promove as melhores práticas de segurança na nuvem através de educação, pesquisa e iniciativas locais. O documento também aborda aspectos jurídicos como contratos e responsabilidade civil na nuvem, bem como tendências como BYOD, Security as a Service e padronização global.

1. Cloud Security Alliance
Picture source: sxc.hu
Anchises Moraes G. de Paula
André Serralheiro
Walter Capanema
1

2. Agenda
• O que é Cloud Computing
• Cloud Security Alliance
• Aspectos Jurídicos
• Tendências
2

3. Picture source: sxc.hu
CLOUD COMPUTING
O que é a computação em nuvem
3

4. O que é a computação em nuvem (1)
“Cloud computing is a model for enabling ubiquitous,
convenient, on-demand network access to a shared pool of
configurable computing resources (e.g., networks, servers,
storage, applications, and services) that can be rapidly
provisioned and released with minimal management effort
or service provider interaction. This cloud model promotes
availability and is composed of five essential characteristics,
three service models, and four deployment models.”
In “NIST Cloud Computing Standards Roadmap - Special Publication 500‐291”
fonte: sxc.hu
4

5. O que é a computação em nuvem (2)
In “Security Guidance for Critical Areas of Focus in Cloud Computing v3”
fonte: sxc.hu
5

6. Picture source: sxc.hu
CLOUD SECURITY ALLIANCE
Cloud Security Alliance e Capitulo Brasileiro
6

7. Cloud Security Alliance (CSA)
– Associação sem fins lucrativos
– Reúne pessoas físicas e empresas
– Oficializada em dezembro de 2008
– +35mil membros, +130 membros corporativos
– Presente em 23 países através de 30 Chapters
locais (setembro/2012)
7

8. Missão
“Promover a utilização
Picture source: sxc.hu
das melhores práticas
para fornecer garantia
de segurança dentro de
Cloud Computing, e
oferecer educação
sobre os usos de Cloud
Computing para ajudar
a proteger todas as
outras formas de
computação.”
8

9. CSA Brasil
• Segundo Chapter oficial
da CSA
– Oficializado em 27 de
Maio de 2010
• Segue Missão e
Objetivos da CSA Global
– Promover a Segurança
em Cloud Computing
– Promover pesquisas e
iniciativas locais
9

10. Educação
https://cloudsecurityalliance.org/education
• Certificação “Certificate • Treinamento
of Cloud Security – CCSK training
Knowledge (CCSK)” – PCI Cloud training
– Exame online – GRC Stack training
– Custo de USD $295.
https://ccsk.cloudsecurityalliance.org
10

11. Algumas das iniciativas de
pesquisa
https://cloudsecurityalliance.org/research
11

12. Iniciativa de pesquisa: Security Guidance for
Critical Areas of Focus in Cloud Computing
– Estabelece um guia de recomendações para
adoptação segura e estavél das operações na
nuvem;
– Redifine dominios desde a ultima versão de forma
a enfatizar segurança, estabilidade e privacidade;
– Estabelece recomendações práticas e
requerimentos que podem ser mensurados e
auditados.
https://cloudsecurityalliance.org/research/security-guidance/
12

13. Iniciativa de pesquisa: CSA Security, Trust &
Assurance Registry (STAR)
– Registro gratuito e de acesso público dos controles
de segurança de diversos provedores de Cloud
Computing;
– Relatórios de auto-avaliação sobre compliance
com as melhores práticas publicadas pela CSA;
– Ajuda os usuários a avaliarem a segurança dos
provedores de Cloud.
https://cloudsecurityalliance.org/star/
13

14. Iniciativa de pesquisa: White Paper - Adoção de
computação em Nuvem e suas motivações
“Este documento destaca algumas das motivações mais
comumente apontadas como justificativas para a adoção de
Computação em Nuvem, bem como alguns dos aspectos a serem
considerados quanto a cada uma destas motivações. Com este
documento a CSA Brazil Chapter pretende contribuir com gestores
e tomadores de decisão quanto à decisão sobre a adoção de
Computação em Nuvem em suas organizações.”
– Uelinton Santos, Luiz Augusto Amelotti, Filipe Villar, Eduardo
Fedorowicz
https://chapters.cloudsecurityalliance.org/brazil/2012/08/17/white-
paper-adocao-de-computacao-em-nuvem-e-suas-motivacoes/
14

15. Picture source: sxc.hu
ASPECTOS JURÍDICOS
Normas e Regramentos
15

16. Conceito
Contrato de prestação de serviços em que
uma empresa/pessoa física (PROVEDOR)
permite o uso de seus recursos
computacionais (rede, servidores, espaço
em disco, aplicações) por um CLIENTE.
fonte: sxc.hu
16

17. Legislação Aplicável
Vai depender do modelo de
negócio/cliente:
fonte: sxc.hu
17

18. Contratos
Local dos dados
Backups e
recuperação de
CLÁUSULAS desastres
NECESSÁRIAS
Data retention
Quem vai ter
acesso e qual fonte: sxc.hu
tipo
18

19. Contratos
Requisitos de
segurança e TI
Auditoria
externa
CLÁUSULAS
NECESSÁRIAS
Criptografia dos
dados
Tempo de
resposta para fonte: sxc.hu
recuperação
19

20. Contratos
Destino dos dados
com o fim do
contrato
Notificação sobre
invasão/exposição
CLÁUSULAS
NECESSÁRIAS
Terceiros podem
ter acesso aos
dados?
Provedor pode fonte: sxc.hu
utilizar os dados?
20

21. Responsabilidade Civil
Art. 927
Art. 14
fonte: sxc.hu
21

22. Responsabilidade Civil:
Código Civil
"Art. 927. Aquele que, por ato ilícito (arts. 186 e
187), causar dano a outrem, fica obrigado a repará-
lo.
Parágrafo único. Haverá obrigação de reparar o
dano, independentemente de culpa, nos casos
especificados em lei, ou quando a atividade
normalmente desenvolvida pelo autor do dano
implicar, por sua natureza, risco para os direitos de
outrem." fonte: sxc.hu
22

23. Responsabilidade Civil:
Código de Defesa do Consumidor
"Art. 14. O fornecedor de serviços responde,
independentemente da existência de culpa, pela
reparação dos danos causados aos consumidores
por defeitos relativos à prestação dos serviços,
bem como por informações insuficientes ou
inadequadas sobre sua fruição e riscos".
fonte: sxc.hu
23

24. Responsabilidade Civil:
Problema Jurisprudencial
Suspensão
preventiva de
conteúdo
STJ - Resp 1.316.921/RJ
fonte: sxc.hu
24

25. Responsabilidade Civil:
Problema Jurisprudencial
Sistema
notice and take
down (NTD)
25 25

26. Responsabilidade Civil:
Problema Jurisprudencial
Procedimento
extrajudicial
Suspensão
Preventiva Análise da
Reclamação
Reclamação Resposta
(24 h)
26 26

27. Responsabilidade Civil:
Problema Jurisprudencial
Se o provedor não fizer a
suspensão preventiva
Responde solidariamente
com o autor da ofensa
27 27

28. Problemas Práticos:
Extinção Unilateral no Contrato
Se você deixar de cumprir ou a Apple suspeitar que você
deixou de cumprir quaisquer disposições deste
Contrato, a Apple, a seu exclusivo critério, sem aviso a
você, poderá: (i) rescindir o presente Contrato e/ou sua
Conta, e você permanecerá responsável por todos os
montantes devidos sob sua Conta até e incluindo a data
da rescisão e/ou (ii) revogar a licença do software, e/ou
(iii) impedir o acesso ao Serviço iTunes (ou qualquer
parte dele).”
28

29. Problemas Práticos:
Exclusão de Responsabilidade
"You, and not Dropbox, are responsible for
maintaining and protecting all of your stuff.
Dropbox will not be liable for any loss or
corruption of your stuff, or for any costs or
expenses associated with backing up or restoring
any of your stuff”.
29

30. Problemas Práticos:
Acionar Empresa Estrangeira
Art. 88, Código de Processo Civil: "É competente a
autoridade judiciária brasileira quando:
(…)
III - a ação se originar de fato ocorrido ou de ato
praticado no Brasil."
30

31. Picture source: sxc.hu
TENDÊNCIAS
Que nuvens temos no horizonte?
31

32. BYOD
• Múltiplos dispositivos
• Acesso remoto aos Dados
• Guarda de Dados
• Múltiplas regras de
segurança
• Dispositivos de terceiros
fonte: sxc.hu
32

33. Security as a Service (SecaaS)
• Security Solutions
fornecidas como e para
as Cloud Computing
– Novas soluções
– Novos paradigmas
– Dependencia dos Cloud
providers
fonte: sxc.hu
33

34. Global Regulatory Framework
• Padronização de ofertas
de Cloud Computing
• Padronização da
Segurança em Cloud
Computing
– “Trusted Cloud”
– Assessement & Audit
fonte: sxc.hu
34

35. Global Regulatory Framework
• ISO/IEC working drafts
– ISO/IEC 27017 – Guidelines
on information security
controls for the use of
cloud computing services
based on ISO/IEC 27002
– ISO/IEC 27018 - Code of
practice for data protection
controls for public cloud
computing services
fonte: sxc.hu
35

36. Previsão do Tempo
• Muitas nuvens a frente
• Sujeito a chuvas e
trovoadas esporádicas
• Tenha sempre um
guarda-chuva próximo
fonte: Wikimedia Commons
36

37. Contato
• Anchises de Paula - adepaula@Verisign.com
• André Serralheiro - serralheiro@gmail.com
• Walter Capanema - contato@waltercapanema.com.br
• Cloud Security Alliance
https://www.cloudsecurityalliance.org
• Cloud Security Alliance
https://chapters.cloudsecurityalliance.org/brazil
• Twitter - @csabr
• Fan Page - https://www.facebook.com/CSA.CapituloBrasil
37

38. Picture source: sxc.hu
OBRIGADO
Anchises Moraes G. de Paula
André Serralheiro
Walter Capanema
38