Hiscox global

technology news
CLOUD COMPUTING

INSIDE
VIOLAO DE DADOS NA CLOUD
QUESTES DE TRANSFERNCIA E
AGREGAO DE RISCOS NA CLOUD
EVENTOS RELEVANTES E PREJUZOS
SEGURVEIS NA CLOUD

1 Edio
Primavera

NDICE
01: VIOLAO DE DADOS NA CLOUD
02: QUESTES DE TRANSFERNCIA E
AGREGAO DE RISCOS NA CLOUD
03: EVENTOS RELEVANTES E
PREJUZOS SEGURVEIS NA CLOUD

Introduo
Bem-vindo primeira edio da Hiscox
Global Technology News.
Quando decidimos publicar uma newsletter
regular, queramos atrair alguns dos
melhores especialistas em tpicos chave
que afectam o sector das Tecnologias
de Informao; tpicos do interesse de
empresas e utilizadores de tecnologia e
de consultores. Todos os trimestres, a
Hiscox Global Technology News solicitar
a especialistas do mundo inteiro que
apresentem ideias inovadoras sobre
tpicos tcnico-jurdicos actuais de
interesse para um pblico generalizado.
Qual o melhor tpico para iniciar do que
falar de cloud computing (computao
em nuvem)? Muita coisa foi escrita sobre
este tpico recentemente, grande parte
a tentar definir o que cloud computing.
Na realidade, um conceito relativamente
simples, que provavelmente tornou-se
mais complexo do que devia ser.
Deixando de lado esse debate especfico,
h grandes benefcios e srios riscos
associados com a cloud e ainda no foi
encontrado o equilbrio ptimo para os
riscos entre fornecedor de servios cloud e
os seus clientes.

esta dinmica dos riscos existentes entre

o cliente e o fornecedor de servios cloud
e como as partes respondem a isso que
inspirou esta primeira edio da Hiscox
Global Technology News.
Focamos trs reas de interesse: 01:
Violao de dados na cloud, 02: Questes
de transferncia e agregao de riscos na
cloud e 03: Eventos relevantes e prejuzos
segurveis na cloud.
Contmos nesta edio com o apoio
da nossa rede global de advogados
especializados em tecnologia e as suas
contribuies versam sobre as questes
mais amplas associadas ao tema desta
edio, assim como sobre o impacto
dessas questes nas leis locais. Os nossos
especialistas so dos E.U.A., Alemanha e
Reino Unido.
Agradecemos-lhes pela sua preciosa e
contribuio.
Boa leitura.

Vitor Vieira

CLOUD COMPUTING

01: Violao de
dados na cloud
David Navetta, Esq., CIPP
Partner, InfoLawGroup LLP

No incio de 2011 mais que bvio que cloud computing no uma moda
passageira, mas sim um modelo de computao que se est a tornar ubquo.
Cloud computing oferece aos seus utilizadores uma grande quantidade de
vantagens incluindo maior eficincia, escalabilidade instantnea e optimizao
de custos. Contudo, estas vantagens so contrabalanadas com a perda de
controlo das organizaes sobre as suas operaes informticas quando
dependem de um fornecedor cloud para a operacionalizao de processos
chave. As questes que surgem desta perda de controlo tornam-se mais
relevantes quando pensamos em violao de dados e maior nvel de
responsabilidades na cloud.

A operacionalizao

de infra-estruturas
informticas est
sempre sujeita a riscos
especficos

01:

VIOLAO DE DADOS NA CLOUD

CLOUD COMPUTING

Os desafios da violao de dados na

cloud
Quando um cliente aceita colocar os
seus dados sensveis na cloud, ele est
totalmente dependente dos processos de
segurana e mecanismos de resposta a
incidentes do fornecedor de servios para
responder a uma situao de violao
de dados. Esta questo levanta muitos
problemas fundamentais.

Os interesses de quem vm em
primeiro lugar?
Quando uma organizao sofre uma
violao dos seus dados ou propriedade
intelectual, claro que esta organizao
vai investigar e gerir o incidente de acordo
com os seus prprios interesses como
prioridade. Ela tem controlo total sobre os
seus sistemas e sobre os dados residentes
neles e pode tomar decises que protejam
os seus interesses de uma perspectiva
comercial e de responsabilidade. Na cloud
este cenrio muda. Se um fornecedor de
servios cloud sofrer qualquer forma de
ataque que exponha os dados particulares
dos seus clientes, os seus interesses
podero no ser (e provavelmente com
muita frequncia no so) os mesmos
dos seus clientes. Considerando que o
fornecedor de servios enfrenta potenciais
responsabilidades, a sua forma de lidar
com uma situao de violao de dados
visar a proteco dos seus prprios
interesses.

Ceder o controlo da

gesto e processamento
de dados uma deciso
muito sria.
6

Os clientes de cloud computing podem

no ter o controlo ou acesso aos sistemas
que normalmente teriam nas suas prprias
organizaes, a fim de investigar, reunir
provas e remediar a violao de dados.
Os fornecedores de servio cloud podem
tender a ocultar certas informaes dos
seus clientes para se protegerem. Alm
disso, j que com a crescente utilizao,
muitas clouds servem mltiplos clientes
nos mesmos computadores ou redes,
os fornecedores podem favorecer os
interesses de alguns clientes sobre os de
outros. Um cliente grande, importante e
lucrativo pode receber um tratamento mais
favorvel que clientes mais pequenos no
caso de uma violao da segurana.

Planeamento de resposta a incidentes

na cloud
Um outro desafio significativo relacionado
com a violao de dados na cloud o
prprio procedimento de resposta ao
incidente por parte do fornecedor. Antes
de entrarem na cloud, os clientes devem
investigar os procedimentos de resposta a
incidentes do seu fornecedor de servios
cloud, de forma a compreenderem como
sero geridas situaes de violaes
de dados. O que constitui uma violao
de dados? Que mtodos e tecnologia
so utilizados para impedir e detectar
uma violao da segurana? Como as
violaes so investigadas pelo fornecedor
de servios e quais os critrios que
determinam que violaes so escaladas
para nveis superiores de resoluo, a fim
de serem geridas de uma forma apropriada
para o risco que apresentam? As empresas
que realizarem esta anlise devem estudar
as suas prprias polticas internas e
compar-las com as do fornecedor cloud
para assegurar que so semelhantes. Alm
disso, crucial que as polticas de resposta
a incidentes do fornecedor cloud e do

01:

VIOLAO DE DADOS NA CLOUD

cliente se assemelhem o mais possvel.

As medidas de resposta a incidentes
do fornecedor cloud devem integrar-se
totalmente nos pontos chave definidos
pelo cliente, de forma que o cliente receba
a informao que necessita para iniciar os
seus prprios procedimentos de resposta
a incidentes (na realidade, se o plano
de resposta a incidentes do cliente for
bom, levar em conta a coordenao e
cooperao do fornecedor de servios
cloud.).

Pericias e e-discovery na cloud.

Um terceiro desafio relaciona-se com
a capacidade do cliente de ordenar
uma investigao pericial quando o seu
fornecedor cloud sofre uma violao de
dados. Se ocorrer uma violao interna em
um cliente, no incomum esse cliente
contratar peritos (ou utilizar recursos
internos) para realizar uma investigao
da violao dos dados. Os objectivos de
uma investigao pericial podem variar,
mas frequentemente incluem analisar a
fonte da violao e eliminar os agentes
da mesma, identificar quais os dados que
podem ter sido comprometidos e medir
o mbito da exposio da organizao e
pesquisar, recolher e preservar informaes
que possam ser relevantes como meios de
prova numa eventual aco judicial.
A informao obtida atravs de uma
investigao pericial extremamente
importante em muitas situaes de
violao de dados. Por exemplo, pode
ser necessria uma avaliao pericial para
uma empresa avaliar (ou limitar) as suas
obrigaes de notificao em caso de
violao de dados pessoais confidenciais.
A informao inferida de uma avaliao
pericial pode ser crucial para a defesa no
mbito de um processo judicial ou para
instaurar um processo judicial contra

outra parte. Se tiverem sido violados

dados relativos a nmeros de cartes
bancrios, pode ser exigido que um
cliente permita que um Qualified Incident
Response Assessor (QIRA) (seleccionado
pelo VISA ou Mastercard) realize uma
percia aos sistemas violados. O no
cumprimento desta exigncia pode resultar
no pagamento de multas e penalidades
e na suspenso de aceitao de cartes
como meios de pagamento. Alm disso, o
facto de uma organizao no conseguir
preservar e efectuar o levantamento pericial
de dados e informaes que possam ser
relevantes no mbito de um processo
judicial (por ex: para conseguir a suspenso
de um processo) pode ser prejudicial para
a capacidade de uma organizao se
defender em tribunal.
As avaliaes periciais normalmente exigem
que os investigadores acedam fisicamente
no local aos computadores violados, e
as medidas necessrias para a obteno
de dados por mtodos periciais podem
interromper ou dificultar a utilizao dos
sistemas.
Num contexto de cloud computing,
o fornecedor cloud pode no permitir
que os seus clientes acedam (fsica ou
remotamente) aos seus servidores ou
realizem de outra forma um exame pericial
dos seus sistemas aps uma violao de
7

CLOUD COMPUTING

dados. Alguns fornecedores cloud so

peremptrios ao no permitir a realizao
de exames periciais aos seus servidores,
alegando que estes so partilhados por
diversas entidades, e que a anlise pericial
de dados desses servidores exporia a
informao confidencial dos demais clientes
(possivelmente em violao de um acordo
de no divulgao ou outras obrigaes
legais de confidencialidade) ou afectaria
a disponibilidade dos sistemas para os
demais clientes. O risco potencial de
diversos clientes simultaneamente exigirem
realizar as suas prprias percias, como
consequncia de uma violao de dados,
outra razo que justifica a no autorizao
de investigaes periciais. Alm disso,
como indicado acima, um fornecedor cloud
pode limitar a capacidade dos seus clientes
de investigarem uma violao de dados, a
fim de proteger os seus prprios interesses
e limitar potenciais responsabilidades. Esta
questo de muito difcil resoluo.

O problema da multi-existncia de
mais de um fornecedor de cloud
No contexto cloud, frequente que o
fornecedor de servios contratado por
uma entidade (o fornecedor directo) no
o fornecedor cloud que na realidade
vai processar, armazenar e transmitir os
dados do cliente (o fornecedor terceiro).
O exemplo clssico o fornecedor de
SaaS (Software-as-a-Service), que aloja
o seu software numa cloud que se pode
designar de Infrastructure-as-a-Service.
Nestas configuraes especiais, o
fornecedor terceiro que o responsvel
ltimo pelos dados pode no ter qualquer
relacionamento contratual com o cliente
de servios cloud (cliente cloud) e este
pode no ter nenhum direito sobre o
anterior, numa situao de violao de
dados. No existindo essa relao entre
fornecedor terceiro e cliente cloud, torna-se
8

difcil todo o processo de investigao da

capacidade de resposta a incidentes dos
demais fornecedores cloud a jusante. Alm
disso, mesmo se o fornecedor directo tiver
aceitado certos compromissos contratuais
relativos a responsabilidades em caso de
violaes de dados, se este no tiver obtido
os direitos correspondentes do fornecedor
terceiro, o anterior pode no ser capaz de
cumprir essas promessas. Finalmente, os
problemas de conflito de interesses e de
autorizaes de acesso para realizao de
percias (conforme mencionados acima)
podem ser agravados ainda mais neste tipo
de situaes. Se j difcil obter acesso
a um fornecedor directo mesmo quando
existe um contrato, ento quando esse
contrato no existe, esse acesso pode ser
praticamente impossvel.

Resoluo de violao de dados num

contrato cloud
Ento o que pode fazer um potencial
cliente cloud para resolver estas
questes? Um contrato bem redigido
pode ajudar? Obviamente, a resposta
sim: obter direitos contratuais que
resolvam estas questes pode ser muito
til. Contudo, nunca demais realar, que
as promessas feitas no papel devem ser
reforadas por um processo cuidadoso
de devida diligncia para assegurar que o
fornecedor cloud pode realmente cumprir
as promessas a que se est a vincular,
relativas violao de dados e resposta a
incidentes. De certeza o cliente cloud no
gostar de descobrir que o seu fornecedor
cloud fez promessas vs, no meio de
um litgio a respeito de de violao de
dados. Dito isto, os clientes cloud devem
considerar antecipadamente negociar
e incluir nos contratos as disposies a
seguir descritas relativas a violaes de
dados na cloud:

01:

VIOLAO DE DADOS NA CLOUD

Procedimentos de resposta a incidentes.

O cliente cloud deve procurar que o
fornecedor cloud aceite o cumprimento de
certos procedimentos. Estes procedimentos
devem corresponder ou integrar-se com
os procedimentos internos de resposta a
incidentes do prprio cliente. Obrigaes
especficas de resposta a violao de dados
podem incluir obrigaes de:
realizar investigaes imediatas aps
uma violao de dados;
atenuar e remediar uma violao de
dados; garantir aviso imediato ao cliente
(dentro de x horas);
fornecer relatrios por escrito sobre o
desenvolvimento da situao relativa
violao de dados;
reter certas informaes relevantes
para uma investigao de violao de
dados (incluindo registos de acesso,
planeamentos, auditorias a sistemas,
registos e relatrios);
e documentar as providncias
correctivas.
Obrigaes de preservar dados. Se
ocorrer uma violao de dados ou se um
litgio parecer iminente, deve-se iniciar um
procedimento de suspenso de servio e
preservar os dados relevantes. O contrato
deve exigir que o fornecedor cloud inicie
essa suspenso e proceda preservao
dos dados se estes eventos tiverem lugar. O
cliente deve tambm procurar obter o direito
de conduzir a sua prpria investigao e ter
o seu processo de preservao de dados
em relao aos sistemas do fornecedor
cloud.
Direitos de avaliao pericial. O cliente
cloud deve procurar obter o direito de
realizar uma investigao pericial do
fornecedor cloud se este sofrer uma
violao de dados. Se isso no for possvel,

esta obrigao deve ser assumida pelo

fornecedor cloud, com obrigaes adicionais
de fornecer relatrios e informao
constantes sobre o desenvolvimento da
violao de dados.
Limitaes relativas a fornecedores
cloud terceiros. O contrato pode limitar
o recurso a terceiros por parte de um
fornecedor cloud directo para gesto de
dados. Podem ser acrescentadas condies
especficas para impedir que um fornecedor
directo fornea dados a um fornecedor
terceiro sem o consentimento prvio do
cliente. Se forem utilizados fornecedores
terceiros, o contrato dever impor uma
obrigao sobre o fornecedor directo
de realizar uma investigao prvia para
assegurar que o fornecedor terceiro pode
cumprir com as obrigaes acordadas pelo
fornecedor directo. O cliente pode tambm
exigir clusulas contratuais que requeiram
que o fornecedor cloud directo imponha
obrigaes contratuais sobre terceiros,
que sejam idnticas ou semelhantes s
que o fornecedor directo acordou com
o cliente e que permitiro em caso de
violao de dados, que o fornecedor directo
cumpra com as suas prprias obrigaes.
Com a incluso destes termos, o cliente
cloud poder ter maior controlo e maior
capacidade de resposta a uma violao de
dados sofrida por um fornecedor terceiro.

Um cliente de

servios cloud no
deseja descobrir que
o seu fornecedor fez
promessas vs.
9

CLOUD COMPUTING

Prejuzos por violao de dados.

Em ltima anlise, as condies mais
importantes do contrato so as que
estabelecem que parte ser responsvel
pelos prejuzos causados se um fornecedor
cloud sofrer uma quebra da segurana.
Os clientes devem negociar condies
de contrato que prevejam o pagamento
de indemnizaes pelo fornecedor cloud
que efectivamente sofreu a quebra de
segurana. Isto pode ser na forma de uma
clusula de indemnizao que exija que o
fornecedor indemnize o cliente por todas
as reclamaes e prejuzos decorrentes
de uma violao da segurana dos dados.
Podem ser acrescentadas clusulas que
exijam que o fornecedor cloud indemnize
despesas adicionais relacionadas com
notificaes a terceiros da violao de
dados, incluindo despesas jurdicas,
despesas de expedio, de monitorizao
de crditos ou com a contratao de
centros de atendimento. Os clientes
devero tambm analisar, e potencialmente
alterar, clusulas contratuais de limitao
de responsabilidades e exonerao
pelo pagamento de danos indirectos ou
consequenciais. Estas clusulas limitam a
responsabilidade do fornecedor de servios
por violao ou quebra de contrato e os
clientes cloud podem ao invs, pretender
negociar clusulas de responsabilidade
ilimitada por violaes de dados (ou
pelo menos, com limites mais altos de
responsabilidade por tais violaes). De
notar que as aces em caso de violaes
de dados ou quebras de servio devem
ser cuidadosamente articuladas com
as compensaes por uma violao de
contrato, e que se um contrato no tiver
clusulas de responsabilidade significativas
que imponham responsabilidades ao
fornecedor, podem estar limitadas partida
a eficcia destas aces ou obrigaes.

10

01:

VIOLAO DE DADOS NA CLOUD

Concluso
Entrar na cloud e ceder o controlo
sobre a gesto e processamento de
dados uma deciso muito sria.
As questes que surgem relativas
violao de dados ilustram os desafios
que os clientes de cloud computing
enfrentam quando as coisas correm
mal no ambiente cloud. Antes de tomar
uma deciso de trabalhar com um
fornecedor de servios cloud, crucial
que os clientes faam uma anlise
profunda dos riscos e, se esses riscos
forem aceitveis, imprescindvel
control-los no contrato. As empresas
que se lanam na cloud com base
apenas no preo e cedem controlos
significativos podem ver-se em srios
problemas quando ocorrerem eventos
como violaes de dados.

11

CLOUD COMPUTING

02: Questes de
transferncia e agregao
de riscos na cloud
Dr Carsten Schulz,
Taylor Wessing, Hamburg

Cloud computing refere-se a

aplicaes, hardware e servios
de software disponibilizados por
fornecedores atravs da internet.
Isto permite que os clientes usem
apenas os recursos informticos que
realmente necessitam e possibilita o
rpido ajustamento do mbito destes
servios de acordo com os seus
prprios requisitos e necessidades.
Da perspectiva do cliente esta uma
mudana radical, pois configura a
passagem de um modelo tradicional
baseado numa infra-estrutura para um
modelo assente na aquisio de servios
informticos. Os recursos informticos
tornam-se disponveis on-demand da
mesma forma que a electricidade, gua
ou outras utilities. Esta mudana tem
um impacto importante na avaliao e
ponderao dos riscos informticos.
Os servios informticos disponibilizados
na cloud vo desde o outsourcing dos
principais processos empresariais centrais
at servios de consumo simples como
webmail. Este artigo lida apenas com o
primeiro tipo de servios.

12

02:

QUESTES DE TRANSFERNCIA E AGREGAO DE RISCOS NA CLOUD

A operao de

infra-estruturas
informticas est
sempre sujeita a
riscos especficos.

O modelo de riscos tradicional

O modelo de riscos da cloud

Os riscos de operar infra-estruturas

informticas so bem conhecidos. Os
riscos chave incluem: disponibilidade
da infra-estrutura, dados e processos,
integridade da infra-estrutura informtica,
confidencialidade e autenticidade dos
dados e segurana das comunicaes.

Quando os processos e recursos

informticos so obtidos na cloud
como servios, os riscos possveis
e toda a estrutura de riscos mudam
consideravelmente.

Enquanto a infra-estrutura informtica

operada internamente pela empresa, a
anlise e a gesto dos riscos (que inclui
a identificao, reduo, mitigao,
proteco e contratao do seguro)
continua a ser da competncia nica
da empresa que utiliza os seus prprios
recursos informticos. A prpria empresa
gere estes riscos, normalmente celebrando
acordos de manuteno e de licena
com terceiros e por meio da contratao
de um seguro de responsabilidade civil
profissional.

Os riscos especficos so reduzidos

substancialmente. Os fornecedores
de servios cloud especializados so
capazes de oferecer um servio com
alto nvel de segurana informtica,
alternativas de continuidade do negcio
e planos de contingncia.
Ao mesmo tempo, surgem outros
riscos, decorrentes do processo
de sada e de transio em caso
de cancelamento do contrato de
servios cloud e do acesso aos dados
e sistemas em caso de insolvncia
do fornecedor de servios cloud
(fornecedor cloud).

13

CLOUD COMPUTING

Os mecanismos de gesto de riscos

tambm mudam. Por exemplo, em vez de
monitorizao directa de empregados e
da infra-estrutura, so acordados com o
fornecedor nveis de servio especficos, o
que permite a avaliao e monitorizao da
qualidade do servio.
Estas mudanas fundamentais no risco
so frequentemente negligenciadas pelos
clientes ao migrarem para a cloud, embora
sejam cruciais para a anlise e avaliao de
riscos, desenvolvimento de estratgias para
evitar e mitigar esses riscos, assim como
para definir os riscos restantes e determinar
medidas eficazes de monitorizao e
controlo.
Ao fornecer/adquirir servios cloud, a
identificao de riscos pode-se realizar a
diferentes nveis, principalmente:
atravs da prpria concepo dos
servios (isto , identificao das

Isto pode resultar

numa acumulao
e agregao
problemticas
de riscos para o
fornecedor cloud,
o que apresenta
as suas prprias
implicaes de
seguro para o
fornecedor cloud
14

reas de influncia e mecanismos de

monitorizao de riscos existentes).
P
or exemplo: analisando o nvel de
abstraco no qual os servios so
fornecidos/adquiridos (infrastructure as
a service; platform as a service; software
as a service);
atravs da atribuio estatutria de
riscos (particularmente impondo
clusulas de responsabilidade
estatutria); e
atravs de acordos contratuais, sendo
um ponto chave para corrigir e ajustar
a distribuio factual e estatutria dos
riscos.

Contratos cloud
Os servios cloud so frequentemente
padronizados at uma certa medida; por
motivos de natureza tcnica (utilizao
da mesma plataforma/infra-estrutura) e
tambm com a inteno de se obterem
nveis de prestao de servios mais
eficientes e baixar os custos das
transaces. A base dessa relao est
frequentemente espelhada em contratos
padronizados (ou pelo menos documentos
legais padronizados para aspectos de
servio, suporte, manuteno e termos da
licena) que definem os termos do tipo de
servios, nvel de servios, disponibilidade
do servio, recursos a utilizar e medidas
correctivas. Se a avaliao e distribuio de
riscos nestes contratos/acordos de servio
padro (que so geralmente a base para
relaes contratuais a longo prazo) no
forem tratadas adequadamente desde o
incio, tal pode resultar numa acumulao
e agregao problemticas de riscos
no fornecedor cloud, o que tem as suas
prprias implicaes no fornecedor cloud, a
comear pela proteco do seguro.

02:

QUESTES DE TRANSFERNCIA E AGREGAO DE RISCOS NA CLOUD

Influncia da lei alem nos contratos

cloud
Na Alemanha, servios cloud padronizados
enfrentam dificuldades especficas
relativamente atribuio contratual dos
riscos. Isto deve-se ao facto de as leis
sobre termos e condies gerais limitarem
seriamente a liberdade contratual entre
as partes envolvidas. Ao mesmo tempo,
como j foi referido acima para servios
padronizados desta natureza, o uso de
contratos padronizados adequado e
necessrio. Se so disponibilizados
produtos padro assentes na mesma
plataforma, h muito pouca margem para
fazer variar contratualmente a atribuio de
riscos entre clientes diferentes.
A dificuldade mais importante que
as leis que respeitam aos termos e
condies gerais no permitem uma
atribuio livre dos riscos entre as partes,
mas antes prev restries limitao
especfica de responsabilidade por parte
dos fornecedores (que frequentemente
so recorrentes em outros pases).
Consequentemente, os fornecedores e
clientes esto limitados na personalizao
dos acordos contratuais.
Se uma clusula dos termos e condies
gerais do contrato no estiver em
conformidade com os regulamentos
legais, de acordo com a lei alem essa
clusula, ou at o prprio acordo, pode
ser considerada invlida e as disposies
estatutrias legais substituem-na. Duas
consequncias podem-se verificar:

Tentativas de atribuir
riscos nos Termos
e Condies Gerais
de um contrato entre
as partes pode levar
um fornecedor a ser
forado a assumir
responsabilidade
ilimitada
1. Nem todos os acordos sobre riscos
so possveis de celebrar atravs
de contratos padronizados; os
fornecedores devem assumir a
responsabilidade por certos riscos,
a menos que sejam feitos acordos
alternativos laterais individualmente.
2. Tentativas de atribuir riscos recorrendo
apenas aos termos e condies
gerais entre as partes, pode levar um
fornecedor a ser forado a assumir
responsabilidade ilimitada, se os termos
e condies gerais no satisfizerem as
directivas estreitas das leis aplicveis.
Sem dvida, isto no do interesse
do fornecedor; mas no tambm do
interesse dos clientes, j que existirem
sistemas de distribuio nos quais
os fornecedores j no podem ou
conseguem controlar ou limitar certos
riscos, poderiam levar a instabilidades
a nvel sistmico e assim apresentar um
risco significativo para todos os clientes
desse fornecedor.

15

CLOUD COMPUTING

16

02:

QUESTES DE TRANSFERNCIA E AGREGAO DE RISCOS NA CLOUD

Concluso
Evitar riscos, mitigar riscos, atribuir
riscos e definir mecanismos de
proteco contra riscos so reas
intimamente interligadas, e esta
inter-relao providencia diversas
formas nas quais acordos aceitveis
podem ser trabalhados entre as
partes. Isto inclui o envolvimento dos
seguradores de ambas as partes.
No outsourcing tradicional (que de
muitas formas um predecessor dos
servios cloud) foram desenvolvidas
com o tempo boas normas e boas
prticas sectoriais. Certamente
pode-se esperar o mesmo para os
servios cloud.

17

CLOUD COMPUTING

No caso de um fornecedor cloud

entrar em insolvncia, o contrato deve

garantir ao cliente o direito de ter os
dados transferidos de volta para si ou
para um novo fornecedor.

18

03:

EVENTOS RELEVANTES E PREJUZOS SEGURVEIS NA CLOUD

03: eventos relevantes e

prejuzos segurveis na
cloud
Thomas Jansen, Partner, DLA Piper Munich
Mark OConor, Partner, DLA Piper London
Quando duas partes esto a negociar
os termos de um contrato esto, ou
pelo menos deveriam estar, a discutir
sobre a transferncia de riscos e a
perguntar-se quem dever suportar
os efeitos dos riscos de eventos
definidos. Que perdas podem resultar
de certos eventos e quem deve ser
o responsvel por elas? A alocao
destas perdas pode ter um grande
impacto nas responsabilidades
assumidas pelo cliente e pelo
fornecedor de servios cloud, tendo
por sua vez um grande impacto
na cobertura de seguro adquirida
pelo ltimo. Afinal de contas, para
compreender que tipo de seguro
subscrever e qual a cobertura mais
adequada, o fornecedor de servios
cloud necessita de compreender
contra que eventos e perdas se deve
segurar.
Existem, de facto, muitos eventos e
potenciais prejuzos que devem ser
acautelados em qualquer contrato
de servios cloud, demasiados para
conseguirmos analisar e rever nesta
publicao. Portanto, resumimos alguns
eventos e prejuzos que consideramos
chave e sugerimos formas de lidar com

os mesmos. Para partes que estejam a

considerar uma mudana para a cloud,
sugerimos a realizao de um levantamento
rigoroso, para as partes compreenderem
as suas respectivas responsabilidades por
eventos e prejuzos chave e at que ponto
se podem segurar contra os mesmos.
O seu fornecedor cloud entra em
insolvncia como reaver, transferir
os dados e a tecnologia para um
fornecedor alternativo.
Do ponto de vista jurdico, a soluo
no difere muito dos conceitos
tradicionais associados ao outsourcing.
O contrato deve conter clusulas
de sada adequadas que garantam
ao cliente o direito de ter os dados
transferidos de volta para si ou para um
novo fornecedor.
Do ponto de vista prtico, isto pode ser
difcil, se o fornecedor cloud tiver feito o
outsourcing do alojamento dos dados
a um fornecedor terceiro. Neste caso,
o cliente deve ter o direito de requerer
os dados directamente do fornecedor
terceiro.

19

CLOUD COMPUTING

Os contratos cloud pblicos normalmente

no contm garantias e clusulas de nveis de

servio que sejam favorveis aos clientes.
O seu fornecedor cloud faz uma
transferncia dos seus dados no
autorizada em contraveno com
as regras de proteco de dados
e potencialmente outras normas
regulamentares
Do ponto de vista jurdico, a soluo
no difere muito dos conceitos
tradicionais associados ao outsourcing.
O contrato deve conter clusulas
adequadas que definam claramente
mecanismos de proteco de dados
relevantes e normas e nveis de servio
relativos a segurana de dados.
O contrato deve conter direitos de
monitorizao dos dados pelo prprio
cliente.
Em caso de incumprimento de contrato,
o cliente deve ter o direito de rescindir o
contrato.
O contrato deve conter clusulas
de sada adequadas que garantam
ao cliente o direito de ter os dados
transferidos de volta para si ou para um
novo fornecedor.
Nos casos em que um cliente esteja
perante uma potencial responsabilidade
por multas ou outras sanes,
decorrentes de uma violao de normas
ou regulamentos sobre proteco de
dados por parte do fornecedor cloud, a
responsabilidade do fornecedor cloud
por tais danos no deve ser excluda ou
por qualquer forma, limitada.
20

Os servios do seu fornecedor cloud

so de m qualidade que medidas
correctivas esto disponveis (dado
que os termos contratuais cloud
normais oferecem garantias muito
limitadas e frequentemente no
vinculam a nveis de servio)?
Do ponto de vista jurdico, a soluo
no difere muito dos conceitos
tradicionais associados ao outsourcing.
Nestes casos preciso diferenciar entre
servios cloud pblicos e servios
cloud privados/do segmento corporate.
As ofertas de servios cloud pblicos
podem ser adequadas apenas para
aplicaes e dados padro no crticos
e no complexos, j que os contratos
de servios cloud pblicos normalmente
no contm garantias e clusulas de
nveis de servio favorveis aos clientes.
Geralmente, a situao diferente para
ofertas de servios cloud a empresas.
Tais servios e contratos normalmente
so concebidos medida para clientes
especficos e geralmente contm
garantias e clusulas de nveis de
servio adequadas e negociadas entre
as partes.

03:

EVENTOS RELEVANTES E PREJUZOS SEGURVEIS NA CLOUD

E se o fornecedor cloud no
tiver implementadas medidas de
recuperao suficientes em caso de
desastre ou falha de servio?

E se a falha provier do fornecedor

de rede ou internet (sendo a cloud
inteiramente dependente da internet)?
Quem assume a responsabilidade?

Do ponto de vista jurdico, a soluo

no difere muito dos conceitos
tradicionais associados ao outsourcing.

Do ponto de vista jurdico, a soluo

no difere muito dos conceitos
tradicionais associados ao outsourcing.

Os procedimentos e medidas de
recuperao em caso de desastre
ou falhas (incluindo obrigatoriedade
de realizao de cpia de segurana)
devem ser definidos e acordados
contratualmente.

Usualmente, por um lado existe um

contrato entre o fornecedor cloud e
o seu cliente e por outro, existe uma
relao contratual sob a forma de um
subcontrato entre o fornecedor cloud e
o fornecedor de rede.

O contrato deve conter direitos de

monitorizao dos dados pelo prprio
cliente.

Na relao entre o fornecedor cloud

e o cliente, uma falha do fornecedor
de rede seria considerada como uma
falha do fornecedor cloud, com a
consequncia de que o fornecedor
cloud ser responsvel perante o cliente
por quaisquer danos sofridos por este
decorrentes de uma falha do fornecedor
de rede.

Em caso de incumprimento de contrato,

o cliente deve ter o direito de rescindir o
contrato.
O contrato deve conter clusulas
de sada adequadas que garantam
ao cliente o direito de ter os dados
transferidos de volta para si ou para um
novo fornecedor.
Nos casos em que um cliente esteja
perante uma potencial responsabilidade
por multas ou outras sanes,
decorrentes de uma violao de normas
ou regulamentos sobre proteco de
dados por parte do fornecedor cloud, a
responsabilidade do fornecedor cloud
por tais danos no deve ser excluda ou
por qualquer forma, limitada.

Nos casos em que o cliente esteja

perante uma potencial responsabilidade
decorrente de uma violao por parte
do fornecedor cloud, a responsabilidade
do fornecedor cloud por tais danos
no deve ser excluda ou por qualquer
forma, limitada.

Existe um compromisso entre a aquisio

de tecnologia via cloud e a segurana. Os
clientes obtm aquilo por que pagam.

21

CLOUD COMPUTING

E em casos de ataque de negao

de servio (DDoS Denial of Service
Attack), violao da segurana etc.
Quem assume a responsabilidade?
Do ponto de vista jurdico, a soluo
no difere muito dos conceitos
tradicionais associados ao outsourcing.
O contrato deve conter clusulas
adequadas que definam claramente
mecanismos de proteco de dados
relevantes e normas e nveis de servio
relativos a segurana de dados.
O contrato deve conter direitos de
monitorizao dos dados pelo prprio
cliente.
Em caso de incumprimento de contrato,
o cliente deve ter o direito de rescindir o
contrato.
O contrato deve conter clusulas
de sada adequadas que garantam
ao cliente o direito de ter os dados
transferidos de volta para si ou para um
novo fornecedor.
Nos casos em que o cliente esteja
perante uma potencial responsabilidade
decorrente de uma violao por parte
do fornecedor cloud, a responsabilidade
do fornecedor cloud por tais danos
no deve ser excluda ou por qualquer
forma, limitada.

22

03:

EVENTOS RELEVANTES E PREJUZOS SEGURVEIS NA CLOUD

Concluso
Do ponto de vista jurdico, em muitos aspectos, as
ofertas de servios cloud no diferem muito dos
conceitos tradicionais associados ao outsourcing.
No se pode falar ainda da existncia de condies
standard de contrato ou normativos de mercado
porque o mercado est a evoluir, mas revelam-se
algumas tendncias. Assiste-se uma taxonomia de
estilos contratuais, desde os novos fornecedores
(Salesforce, Google, Amazon, Memset, Rackspace
etc.), que tendem a excluir grande parte, se no
mesmo toda a sua responsabilidade; aos mais
antigos ou tradicionais (Cisco, Fujitsu, IBM etc.),
que esto menos interessados em partilhar ou alterar
os seus termos contratuais; at aos fornecedores
mais hbridos como a Microsoft, que, nos termos
do seu mdulo Azure, se vincula a um nvel de
servios, embora limitado, e oferece algumas das
clusulas de contrato de TI mais standards.
Existe naturalmente um compromisso entre a
aquisio de tecnologia via cloud e a segurana.
Os clientes obtm aquilo por que pagam. A deciso
ponderada pela necessidade dos clientes em
pouparem dinheiro e pelo nvel de segurana a
atribuir aos dados em questo. Portanto, dados
que no sejam sensveis ou crticos podem ser
externalizados para um fornecedor de servios
cloud mais acessvel em termos de custos, mas que
oferece pouco no que diz respeito assumpo de
responsabilidades ou nveis de servio. Enquanto
dados pessoais sensveis ou confidenciais, por
exemplo, exigiro nveis de proteco via contrato
mais aperfeioadas e detalhadas.

23

Subscritores de seguros e gestores de

sinistros especializados em IT em 7 pases
Para mais informaes, favor contactar
o responsvel local por seguros de IT:

1 United Kingdom

Alan Thomas
+44 (0) 207 448 6316
alan.thomas@hiscox.com
hiscox.co.uk

2 USA

Jim Whetstone
+1 312 239 6354
jim.whetstone@hiscox.com
hiscoxusa.com

3 France

Charles Jamot
+33 680 70 19 34
charles.jamot@hiscox.com
hiscox.fr

4 Germany

Jens Krickhahn
+49 (0) 89 545801 100
jens.krickhahn@hiscox.com
hiscox.de

5 Holland
Yasin Chalabi
+31 (0) 20517 0732
yasin.chalabi@hiscox.com
hiscox.nl

6 Portugal

Vitor Vieira
+351 213 137 617
vitor.vieira@hiscox.com
hiscox.pt

7 Spain

Jorge Cabellos
+34 9 15 61 5534
jorge.cabellos@hiscox.com
hiscox.es