Queira o Sr. Perito comentar sobre o Cloud Computing, os desafios ao judiciário e para a perícia forense

Conceitualmente a computação em nuvem é um modelo de disponibilização de software e de infraestruturas de processamento e armazenamento de dados por meio da internet. O princípio da nuvem é o da virtualização total e da máxima disponibilidade dos dados.

Segundo Taurion, temos que:

“(…) Computação em Nuvem é um termo para descrever um ambiente de computação baseado em uma imensa rede de servidores, sejam estes virtuais ou físicos. Uma definição simples pode então ser “um conjunto de recursos como capacidade de processamento, armazenamento, conectividade, plataformas, aplicações e serviços disponibilizados na Internet”. O resultado é que a nuvem pode ser vista como o estágio mais evoluído do conceito de virtualização, a virtualização do próprio data center”[[i]].

Esse modelo de serviço possui vantagens já amplamente conhecidas no mundo dos negócios e da Tecnologia da Informação, mas ainda em maturação em diferentes aspectos; como nas implicações jurídicas e em questões de coletas de dados nesse tipo de plataforma. Como em outros casos de tecnologia, há alguns problemas a serem considerados. Um dos principais refere-se a maior parte do ordenamento jurídico ser baseada nos limites físicos dos países, fato que não ocorre na computação em nuvem.

Além disso, ainda há muita controvérsia sobre a indisponibilidade de dados, (o que ocorreria se uma empresa de armazenamento na nuvem falisse? E se a empresa se negar a fornecer as informações?) de garantias de segurança e, sobretudo sobre os limites jurídicos aplicáveis. Devemos seguir as leis do país de origem do provedor? Do usuário do serviço? Ou ainda do local de origem dos dados?

Com essas perguntas ainda sem uma resposta efetiva, as empresas acabam adotando algumas soluções em contrapartida as nuvens públicas (aquelas que estão disponíveis ao público). Soluções como a nuvem privada, comunitária ou híbrida, surgem como opção; sendo a primeira onde a empesa assume os custos de infraestrutura e tem total controle para uso próprio, a segunda onde duas ou mais empresas que são parceiras se unem para obter uma nuvem em conjunto e a última que faz uso de um ou mais desses modelos combinados.

Independentemente de qual o modelo escolhido, devem-se considerar as questões técnicas envolvidas, especificamente aquelas sobre coleta, processamento, envio de dados para outros países. Exemplos no exterior sobre esse tema incluem o Data Protection Law[1] e sobre acesso a dados de saúde, temos o Health Insurance Portability and Accountability Act (HIPAA)[2].

Quem já se deparou com a necessidade de coletar dados na nuvem, sabe que muitas vezes essa não é uma tarefa fácil. Claro que no ambiente corporativo, na maioria das vezes basta um contato com o fornecedor do serviço. O problema é que em muitos casos, lidamos com mandados de busca e apreensão ou ainda com provedores estrangeiros para dados corporativos.

Em caso de ordem judicial, o sigilo de dados pode ser quebrado, dependendo da lei de privacidade aplicada pelo país onde o servidor estiver instalado. Para casos internacionais, as famosas cartas rogatórias não são muito céleres, e por este motivo, a legislação brasileira determina que algumas informações sigilosas e de segurança nacional sejam processadas no País. Alguns exemplos incluem dados de saúde da previdência social, de consumidores de serviços públicos, de usuários de serviços de telefonia e do sistema financeiro. O Banco Central do Brasil (Bacen) também estabelece normas sobre a guarda dos dados financeiros. Inclusive o Marco Civil, recém-aprovado promoveu longos debates sobre esse tema (no texto aprovado na Câmara essa necessidade de guarda local foi retirada).

Em todos os casos é sempre importante o detalhamento dos acordos de Service Level Agreement (SLA) para que o contrato contenha cláusulas sobre questões de privacidade e disponibilidade dos dados. Usar a nuvem pública significa depender de terceiros, o que pode limitar a flexibilidade de acesso. Os SLAs devem conter entre outros, informações que contemplem apagões de energia, se os dados são ou não criptografados, responsabilidade em casos de vazamento de informação, etc. Também é importante que as empresas fiquem atentas à jurisdição, em caso de armazenamento de dados fora do território nacional. Há que se estabelecer qual legislação vai prevalecer, se a brasileira ou a do fornecedor do serviço.

Para a parte técnica da coleta, devemos seguir os mesmos preceitos de uma coleta tradicional, ou seja, planejamento, coleta utilizando metodologia forense e preservação. A diferença é que não teremos acesso físico a máquina que contém os dados. Você encontrará mais detalhes no nosso post sobre o assunto em: https://qperito.com/2013/11/05/queira-o-sr-perito-explicar-os-principais-procedimentos-para-a-realizacao-de-uma-coleta-forense/

No âmbito de litigio, é muito difícil conseguir dados de provedores estrangeiros. Se seu e-mail for invadido, se seu perfil na rede social sofrer acusações falsas, se seus dados vazarem na nuvem, você precisará de logs e provas para juntar a um processo, e nesse caso, conseguir essas informações com os provedores não é tão simples. No Brasil, muitos deles, simplesmente alegam que não estão sujeitas a legislação local. Outras alegam que é tecnicamente impossível conseguir guardar logs pelo alto volume de dados e de usuários que possuem. O Marco Civil da Internet, novamente tenta ajudar nesse sentido, estipulando a marca de 2 anos para a guarda de logs pelos provedores de acesso e 6 meses para os provedores de conteúdo.

Disposições legislativas ou regulamentares normalmente especificam quem dentro de uma empresa deve ser responsabilizado e responsável pela segurança dos dados. Alguns exemplos dos EUA incluem a já citada HIPAA, que define que se deve ter uma posição interna com foco em segurança de dados para garantir a conformidade. O SOX (Sarbanes–Oxley Act) designa o CFO e CEO como responsáveis pelos dados financeiros. Já o Gramm–Leach–Bliley Act com foco na indústria financeira é mais amplo, especificando a responsabilidade pela segurança para todo o Conselho de Administração. Menos específica é a Federal Trade Commission (FTC), que requer que apenas um indivíduo seja responsável pelo programa de segurança de informações dentro de uma empresa.

Aqui no Brasil, no caso de se utilizar uma infraestrutura em nuvem originada de um provedor de serviços é fundamental impor todas as exigências legais ou regulamentadoras aplicáveis à empresa e a seu fornecedor também. É uma responsabilidade do contratante e não do provedor. Tomando as normas do HIPAA como um exemplo, subcontratantes que empregam (por exemplo, um provedor de serviços de nuvem) devem ter uma cláusula no contrato que estipula que o provedor irá usar controles de segurança razoável e também cumprir com quaisquer disposições de privacidade de dados.

Outras medidas caberiam nesse caso. Sem entrar no mérito jurídico, dois exemplos importantes, são a inclusão do Brasil na Convenção de Budapeste, que estabelece colaboração entre os países para a entrega de logs (registros eletrônicos) e a realização de campanhas de conscientização sobre as vulnerabilidades da cloud.

Que a computação em nuvem é uma realidade e muito necessária para nosso dia-a-dia, não há mais como negar. No Brasil e no mundo, novas tecnologias surgem, muitas vezes, sem a mesma velocidade do ordenamento jurídico e da capacidade técnica. Resta-nos adaptarmos e nos protegermos da melhor forma possível. Não existe solução simples. Achar um meio termo entre privacidade, segurança, alta disponibilidade de dados e custos razoáveis é o grande desafio. Devemos estar preparados!

[1] Mais em: https://www.gov.uk/data-protection/the-data-protection-act e http://www.informationshield.com/usprivacylaws.html

[2] Mais em: http://www.hhs.gov/ocr/privacy/

[[i]] TAURION, Cezar. Cloud Computing: computação em nuvem – transformando o mundo da tecnologia da informação. Rio de Janeiro: Brasport, 2009, p. 2.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s