O que é Soberania de Dados?

Soberania de dados é o princípio de que os dados estão sujeitos às leis e estruturas de governança do país ou jurisdição onde são coletados ou armazenados. Isso pode influenciar a capacidade de um governo de implementar autoridade legal sobre dados que residem fisicamente dentro de suas fronteiras, independentemente de onde a organização armazena os dados primariamente.

Isso é importante porque o conjunto de regras que rege seus dados não depende de onde sua empresa está localizada. É determinado por onde os dados são armazenados. A título de exemplo, uma empresa dos EUA que armazena registros de clientes em servidores baseados em Frankfurt está sujeita à lei da UE para esses registros, bem como à lei americana.

Estes três termos estão interligados, mas não são idênticos. A adesão à conformidade pode ser afetada por variações em sua aplicação.

•     Soberania de dados é um conceito legal. O direito de uma nação de regulamentar dados dentro do seu território. Aborda a questão “Quem tem jurisdição?”
•     Residência de dados é um requisito legal ou contratual que estipula onde os dados devem estar localizados geograficamente. Aborda a questão “Onde os dados residem?”
•     A localização de dados possui a forma mais rigorosa. Um requisito legal de que os dados sejam armazenados e processados dentro de um país, com restrições de transferência transfronteiriça. Isso aborda a pergunta: “Os dados podem ser transferidos para fora em alguma circunstância?”

Uma nuvem soberana é um serviço de nuvem projetado com base nas necessidades de soberania de dados de um país. Para garantir que governos, tribunais e corporações estrangeiras não possam obter dados sem a permissão do país anfitrião, as nuvens soberanas são operadas por entidades locais (ou por meio de parcerias rigidamente controladas), diferentemente das nuvens públicas padrão operadas por hiperescaladores globais.

•     Gerenciada e de Propriedade Local: Operada por uma empresa local ou uma joint venture onde os locais detêm a maioria.
•     Isolamento Jurisdicional: Regulamentações nacionais ou regionais onde os dados residem podem influenciar o processo de transferências de dados transfronteiriças.
•     Adequação Regulatória: São realizados em conformidade com leis nacionais, como GDPR, SecNumCloud da França ou o padrão C5 da Alemanha.

Riscos empresariais envolvem:

A soberania de dados não se trata apenas de atender a requisitos legais; ela também envolve ter os sistemas técnicos apropriados. Para realmente garantir a soberania, várias tecnologias devem ser combinadas:

1.   Plataformas de nuvem soberana referem-se a infraestruturas locais operadas dentro de limites legais e geográficos definidos, evitando assim a dependência de sistemas controlados por potências estrangeiras.
2.   Chaves de Criptografia Gerenciadas pelo Cliente (CMEK) fornecem à organização controle sobre as chaves de criptografia, potencialmente restringindo a capacidade do provedor de nuvem de descriptografar dados, mesmo em resposta a solicitações legais.
3.   Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK) são dois níveis diferentes de oferecer ao cliente a possibilidade de manter a chave. A nuvem tipicamente facilita as operações criptográficas, mas geralmente não descriptografa os dados.
4.   Controles de residência de dados são configurações que limitam a replicação ou o backup de dados a regiões específicas.
5.   A computação confidencial fornece suporte de hardware (por exemplo, através de Intel SGX ou AMD SEV) para proteger dados enquanto estão sendo processados, além de dados em repouso ou em trânsito.
6.   A arquitetura de confiança zero baseia-se na verificação constante da identidade e no princípio do menor privilégio para acesso.

A aplicação prática da soberania de dados pode envolver considerações complexas. As principais preocupações são categorizadas em três áreas-chave:

1.   Custo. O custo associado à construção soberana Infraestrutura em Nuvem é distinto daquele de uma padrão nuvem pública.
2.   Gestão. Organizações que operam em múltiplas jurisdições têm que seguir diferentes conjuntos de regras em cada país.
3.   Leis. Sistemas jurídicos soberanos podem acomodar interpretações divergentes, e soluções técnicas podem não constituir uma resposta universalmente aplicável.

Outras áreas de consideração incluem:

•     Em contraste com os hiperescaladores globais, a quantidade de provedores menores em conformidade soberana pode estar associada à sua oferta de funcionalidades.
•     Diferenças no desenvolvimento de padrões entre países podem influenciar a criação de uma postura de conformidade global consistente.