Página Inicial



twitter

Facebook

  Notícia
|

 

CLOUD: 5 RISCOS LEGAIS ANTES DE CONTRATAR O SERVIÇO

04/05/2011

No ano passado, uma empresa global de fabricação e distribuição de alimentos, sediada nos Estados Unidos, mudou seu sistema de gestão de talentos, da área de recursos humanos, para um provedor na modalidade de software como serviço (SaaS). Mas quando advogados da companhia revisaram o contrato proposto, encontraram alguns problemas legais em potencial.

Um deles era que o fornecedor de SaaS operava também em data centers da Europa e do Canadá, além dos Estados Unidos. E esses dois locais regulam pesadamente informações pessoais. "Por se tratar de um sistema de recursos humanos, seriam muitas informações desse tipo", comenta a advogada especializada em terceirização Rebecca Eisner, uma das responsáveis por representar a companhia de alimentos.

O fornecedor também queria a flexibilidade de migrar as informações da companhia para quaisquer data centers com os quais ela conta no mundo, deixando a empresa sujeita às leis de qualquer país em que os dados viessem a trafegar ou estacionar.

Mas não havia caminho de volta. A organização estava comprometida com a ferramenta em SaaS, pois não estava ciente dos riscos legais. Dois meses de negociação depois, os dois lados entraram em um acordo.

"O fornecedor de SaaS não queria admitir sua falta de sofisticação nessas questões. Mas eles entenderam o nosso ponto", disse Eisner, uma das sócias na empresa de direito Mayer Brown. "Eles acabaram entendendo que se quisesse ter a companhia de alimentos como clientes - além de outras globais no futuro - precisaroa fornecer proteções mínimas. Então eles atenderam as principais questões", diz.

Se a empresa planeja ter operações na nuvem ou planeja fazer a mudança em breve, há cinco questões que não podem ser ignoradas:

1 - Privacidade
O setor de saúde, por exemplo, impede que informações pessoais de clientes de empresas que prestam serviços na área sejam revelados para terceiros, como aquelas que constam em prontuários médicos. Muitas empresas não encaram o ato de entregar essas informações para empresas de cloud computing como revelar essas informações, mas, no rigor da lei, a companhia pode estar infringindo regras regulatórias.

Em outros casos, como são os das empresas que lidam com informações financeiras, as regras pedem níveis específicos de segurança para manter os dados salvos, o que pode exigir que a empresa que tem relação direta com o cliente mantenha controle total sobre os dados. E, sem saber exatamente onde eles são armazenados, é mais uma regra que pode ser infringida.

Para se proteger, os clientes precisam conferir se os provedores são capazes de atender às regras e insistir que tudo seja muito em descrito no contrato. É uma proteção necessária para os negócios e os clientes da empresa.

2 - Conformidade com múltiplas jurisdições
Em um evento do instituto de pesquisas Gartner, nos EUA, um grupo de usuários chamou a atenção dos fornecedores de nuvem para uma questão importante: os provedores de serviço de cloud computing não fazem um bom trabalho ao explicar em quais jurisdições os dados serão alocados e quais requisitos legais o cliente do serviço precisa atender.

Segundo o grupo, os clientes de cloud têm o direito de entender quais questões legais envolvem o fornecedor para não cair na situação de ter dados abrigados em um local ou país sobre o qual não se sabe nada da legislação.

A União Europeia, por exemplo, têm uma das leis mais rígidas do mundo quando se trata de privacidade, complicadas de atender quando se trata de nuvem. Transferir dados para as nações da União Europeia é proibido a menos que haja uma certificação de que o país tem um nível adequado de proteção, sendo que poucos países contam com esse nível. E se os dados tiverem a ver com cidadãos da União Europeia, a preocupação deve ser ainda maior.

Por isso, os usuários de nuvem devem saber a localização do fornecedor e de seus servidores para determinar onde poderia sofrer com problemas jurídicos. Ninguém quer se ver em meio a uma disputa judicial em outro estado ou outro país pelo fato de ter descuidado desse aspecto.

3 - Mandados de busca
Um dos recursos mais assustadores das nuvem públicas é que dados de múltiplos clientes podem acabar no mesmo servidor. E caso um dos clientes sofra um processo que gere um mandado por buscas naquele servidor, todos os dados podem acabar se tornando inacessíveis para a companhia que não tem nada a ver com aquilo.

Isso já aconteceu no Texas, em 2009, quando o FBI ocupou dois data centers como parte da investigação de um cliente específico. Cerca de 220 servidores foram apreendidos, assim como roteadores, switchers, cabinetes de servidores e até mesmo cabos de energia. A imprensa norte-americana noticiou, na época, que não só o data center perdeu milhões de dólares em faturamento, mas muitos de seus clientes acabaram fechando ou ficando sob risco de falência por conta disso.

A empresa precisa ter um plano para minimizar esses riscos e garantias do data center de que as informações estão particionadas de forma a não afetar os dados dos outros clientes caso apenas um deles se envolva em uma questão judicial.

4 - Informações legais
O detentor de uma informação tem a obrigação de preservar qualquer dado que possa ser relevante em litígios, mantendo-o armazenado para propósitos legais. Um exemplo são as informações trabalhistas: se não tiver registro de todos os dados de seus funcionários, a companhia pode ser acionada legalmente para prestar informações caso sofra ação de um grupo de colaboradores. E a justiça pode ir diretamente ao provedor cloud, com um mandado judicial, de forma que a companhia perde o controle de toda a situação.

Além disso, buscar informações pode ser difícil se o provedor não tiver procedimentos muito bem documentados de armazenamento, facilitando a consulta futura.

Quando a justiça bate à porta, a empresa deve ter a capacidade de buscar os documentos exatos que importam ao pedido, para não sofrer com multas. E o contrato com o fornecedor de cloud deve ser capaz de prever isso com exatidão.

5 - Segurança da informação
Os métodos para proteger dados na nuvem, como criptografia, estão bem documentados. Mas há também riscos associados com a manutenção de todos os registros da companhia em uma localização, dando aos hackers um banquete tentador de informações. Alguns provedores já buscam enfrentar esse risco.

O modelo de segurança para o Google Apps, por exemplo, permite que pedaços separados dos dados sejam distribuídos a diversas localizações em todo o país. Se um hacker tivesse acesso a um data center, por conta de uma brecha, ele não teria as informações, apenas algumas peças de um gigante quebra-cabeça.

Outra questão: quem paga pelos custos associados a brechas de segurança na nuvem? O cliente normalmente espera que o fornecedor pague a conta, mas, em muitos locais, a empresa que armazena dados na nuvem é que é a responsável por notificar clientes na eventualidade de brechas. E é por isso que ela precisa que o fornecedor se comprometa, em contrato, a avisar de imediatos ocorrências de segurança. Além, é claro, de especificar muito bem de quem é a responsabilidade no caso de qualquer brecha.
 
 
 
 
Fonte: Computerworld

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar