Segurança na Nuvem

O que é Soberania de Dados?

Q: O que é uma "Nuvem Soberana"?

Uma nuvem soberana é um serviço de nuvem concebido com base nas necessidades de soberania de dados de um país. Para garantir que governos, tribunais e empresas estrangeiras não possam obter dados sem a permissão do país anfitrião, as nuvens soberanas são operadas por entidades locais (ou através de parcerias rigorosamente controladas), ao contrário das nuvens públicas padrão geridas por hiperescaladores globais. · Gerida e Propriedade Local: Operada por uma empresa local ou uma joint venture onde os locais detêm a maioria. · Isolamento Jurisdicional: Regulamentações nacionais ou regionais onde os dados residem podem influenciar o processo de transferências de dados transfronteiriças. · Conformidade Regulatória: São criadas em conformidade com as leis nacionais, como GDPR, o SecNumCloud da França, ou o padrão C5 da Alemanha.

Q: Quais são os riscos de negócio da não conformidade com as leis de Soberania de Dados?

Riscos empresariais envolvem: Categoria Valor comercial da conformidade com a Soberania de Dados. Alinhamento regulatório A conformidade está associada a uma potencial redução de multas e sugere práticas de governança estabelecidas. Elegibilidade de contratos O cumprimento dos requisitos locais de tratamento de dados permite a participação em contratos do setor público e da indústria regulamentada. Resiliência operacional Estratégias proativas de localização de dados minimizam a interrupção devido a mudanças regulatórias. Reputação As práticas de gestão de dados transfronteiriços relacionam-se com a confiança do cliente e as perceções do mercado. Flexibilidade legal e estratégica A presença de frameworks de conformidade bem estruturados pode ser associada às operações organizacionais (em múltiplas jurisdições).

Q: Quais tecnologias habilitam a Soberania de Dados?

A soberania de dados não se trata apenas de cumprir requisitos legais; também implica ter os sistemas técnicos apropriados. Para realmente fazer valer a soberania, várias tecnologias devem ser combinadas: 1. Plataformas de nuvem soberana referem-se a infraestruturas locais operadas dentro de limites legais e geográficos definidos, evitando assim a dependência de sistemas controlados por potências estrangeiras. 2. Chaves de Criptografia Gerenciadas pelo Cliente (CMEK) fornecem à organização controle sobre as chaves de criptografia, potencialmente restringindo a capacidade do provedor de nuvem de descriptografar dados, mesmo em resposta a solicitações legais. 3. Traga Sua Própria Chave (BYOK) / Mantenha Sua Própria Chave (HYOK) são dois níveis diferentes de oferecer ao cliente a posse da chave. A nuvem tipicamente facilita operações criptográficas, mas geralmente não descriptografa os dados. 4. Controles de residência de dados são configurações que limitam a replicação ou backup de dados a regiões específicas. 5. Computação confidencial fornece suporte de hardware (por exemplo, através de Intel SGX ou AMD SEV) para proteger dados enquanto estão sendo processados, além dos dados em repouso ou em trânsito. 6. A arquitetura de confiança zero baseia-se na verificação constante da identidade e no princípio do privilégio mínimo para acesso.

Autor: Ioana Grigorescu, Gerente de Conteúdo

Revisado por: George Ploaie, Diretor de Operações (COO)

O que é Soberania de Dados?

Soberania de dados é o princípio de que os dados estão sujeitos às leis e estruturas de governança do país ou jurisdição onde são coletados ou armazenados. Isso pode influenciar a capacidade de um governo de implementar autoridade legal sobre dados que residem fisicamente dentro de suas fronteiras, independentemente de onde a organização armazena os dados primariamente.

Isso é importante porque o conjunto de regras que rege os seus dados não depende de onde a sua empresa está localizada. É determinado por onde os dados são armazenados. Por exemplo, uma empresa dos EUA que armazena registos de clientes em servidores baseados em Frankfurt está sujeita à legislação da UE para esses registos, bem como à legislação americana.

Qual a diferença entre Soberania de Dados, Residência de Dados e Localização de Dados?

Estes três termos estão interligados, mas não são idênticos. A conformidade pode ser afetada por variações na sua aplicação.

Soberania de dados é um conceito legal. O direito de uma nação de regular dados dentro do seu território. Aborda “Quem tem jurisdição?”
Residência de dados é um requisito legal ou contratual que estipula onde os dados devem estar localizados geograficamente. Aborda “Onde os dados residem?”
A localização de dados possui a forma mais rigorosa. Um requisito legal que exige que os dados sejam armazenados e processados dentro de um país, com restrições de transferência transfronteiriça. Isso aborda a questão “Os dados podem ser movidos para fora do país?”

O que é uma "Nuvem Soberana"?

Uma nuvem soberana é um serviço de nuvem projetado com base nas necessidades de soberania de dados de um país. Para ter a certeza de que governos, tribunais e corporações estrangeiras não podem obter dados sem a permissão do país anfitrião, as nuvens soberanas são operadas por entidades locais (ou através de parcerias rigidamente controladas), ao contrário das nuvens públicas padrão operadas por hiperescaladores globais.

Gerido e de Propriedade Local: Operado por uma empresa local ou uma joint venture onde os locais detêm a maioria.
Isolamento Jurisdicional: Regulamentações nacionais ou regionais onde os dados residem podem influenciar o processo de transferências de dados transfronteiriças.
Adequação Regulatória: São feitos de acordo com as leis nacionais, como GDPR, SecNumCloud da França, ou o padrão C5 da Alemanha.

Quais são os riscos de negócio da não conformidade com as leis de Soberania de Dados?

Os riscos de negócio envolvem:

Categoria	Valor de negócio da conformidade com a Soberania dos Dados
Alinhamento regulatório	A conformidade está associada a uma potencial redução de multas e sugere práticas de governança estabelecidas.
Elegibilidade contratual	O cumprimento dos requisitos locais de tratamento de dados permite a participação em contratos do setor público e da indústria regulamentada.
Resiliência operacional	Estratégias proativas de localização de dados minimizam interrupções causadas por mudanças regulatórias.
Reputação	As práticas de gestão de dados transfronteiriças relacionam-se com a confiança do cliente e as perceções do mercado.
Flexibilidade jurídica e estratégica	A presença de estruturas de conformidade bem-estruturadas pode ser associada a operações organizacionais (em múltiplas jurisdições).

Quais tecnologias habilitam a Soberania de Dados?

A soberania de dados não se trata apenas de cumprir os requisitos legais; também implica ter os sistemas técnicos apropriados. Para realmente fazer valer a soberania, várias tecnologias devem ser combinadas:

Plataformas de nuvem soberanas referem-se a infraestruturas locais operadas dentro de limites legais e geográficos definidos, evitando assim a dependência de sistemas controlados por potências estrangeiras.
Chaves de Criptografia Gerenciadas pelo Cliente (CMEK) fornecem à organização controle sobre as chaves de criptografia, podendo restringir a capacidade do provedor de nuvem de descriptografar dados, mesmo em resposta a pedidos legais.
Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) são dois níveis diferentes de permitir que o cliente mantenha a chave. A nuvem tipicamente facilita as operações criptográficas, mas geralmente não descriptografa os dados.
Controles de residência de dados são configurações que limitam a replicação ou o backup de dados a regiões específicas.
Computação confidencial oferece suporte de hardware (por exemplo, através de Intel SGX ou AMD SEV) para proteger dados enquanto estão sendo processados, além de dados em repouso ou em trânsito.
A arquitetura de confiança zero baseia-se na verificação constante da identidade e no princípio do menor privilégio para acesso.

Quais são os desafios da Soberania de Dados?

A aplicação prática da soberania de dados pode envolver considerações complexas. As preocupações principais são categorizadas em três áreas-chave:

Custo. O custo associado à construção soberana infraestrutura de nuvem é distinto do de uma padrão nuvem pública.
Gestão. Organizações que operam em múltiplas jurisdições têm que seguir diferentes conjuntos de regras em cada país.
Leis. Sistemas jurídicos soberanos podem acomodar interpretações divergentes, e soluções técnicas podem não constituir uma resposta universalmente aplicável.

Outras áreas de consideração incluem:

Em contraste com os hiperescaladores globais, a quantidade de provedores menores em conformidade com a soberania pode estar associada às suas ofertas de recursos.
Diferenças no desenvolvimento de padrões entre países podem influenciar a criação de uma postura de conformidade global consistente.

Conclusão

Soberania de dados não é uma questão de conformidade, mas sim uma questão estratégica para as empresas. Compreender os seus componentes, a sua distinção da residência e localização de dados, e as tecnologias e estruturas organizacionais envolvidas, fornece às empresas uma base para prosseguir. Considerações de custo, fatores de complexidade e a probabilidade de erros são aspetos a avaliar.

O que é Soberania de Dados?

O que é Soberania de Dados?

Qual a diferença entre Soberania de Dados, Residência de Dados e Localização de Dados?

O que é uma "Nuvem Soberana"?

Quais são os riscos de negócio da não conformidade com as leis de Soberania de Dados?

Quais tecnologias habilitam a Soberania de Dados?

Quais são os desafios da Soberania de Dados?

Conclusão

Pronto para começar?