Fique seguro e recupere rapidamente: 16 Verificações de conformidade e segurança a serem procuradas em um provedor de serviços em nuvem

São inúmeros os benefícios para os profissionais da área jurídica poderem trabalhe e colabore remotamente na nuvem, mas também é importante estar ciente dos desafios de segurança e vulnerabilidades associados à tecnologia de nuvem. Uma violação de segurança ou falha em atender a diretrizes de conformidade específicas pode colocar você e sua equipe em risco de problemas legais e financeiros significativos, sem mencionar o possível tempo de inatividade e a perda da confiança de seus clientes.

A boa notícia é que muitos provedores de serviços em nuvem respeitáveis oferecem a seus usuários a capacidade de confiar ou “herdar” a segurança incorporada e os controles de conformidade que já existem na infraestrutura de aplicativos do provedor. Para melhor ajudar você e sua equipe jurídica a fazer a escolha certa em provedores de serviços de nuvem, identificamos 16 padrões, certificações, relatórios de auditoria, regulamentos e atestados, bem como leis americanas e internacionais, para procurar como indicadores que seu trabalho com provedores de serviços de nuvem individuais é seguro, protegido e compatível. Quanto mais desses “itens de verificação” seu fornecedor atender ou cumprir, melhor posicionado ele estará para ter controles de segurança e conformidade em vigor para beneficiar e proteger seus clientes de nuvem, incluindo sua equipe jurídica.

16 Controles de conformidade e segurança a serem procurados em um provedor de serviços em nuvem

Esta lista de verificações de conformidade e segurança inclui o reconhecimento internacional Organization para padronização (ISO) 27000 família de padrões e controles, bem como padrões internacionais baseados nos EUA que não são apenas exigidos em seu estado ou país original, mas desde então têm sido reconhecidos de forma mais ampla como importantes referências de segurança.

1. ISO 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Segurança da Informação (SGSI) dentro do contexto da organization.
2. ISO 27017 fornece orientação sobre os aspectos de segurança da informação de computação em nuvem e serviços em nuvem, bem como orientação de implementação adicional para controles relevantes especificados na ISO/IEC 27002.
3. ISO 27018 estabelece objetivos de controle, controles e diretrizes comumente aceitos para a implementação de medidas para proteger informações de privacidade pessoalmente identificáveis (PII) de acordo com os princípios de privacidade em ISO/IEC 29100 para o ambiente de computação em nuvem pública.
4. ISO 27701 é uma extensão de privacidade para ISO/IEC 27001 projetada para aprimorar o ISMS existente com requisitos adicionais para estabelecer, implementar, manter e melhorar continuamente um Sistema de gerenciamento de informações de privacidade (PIMS). Além disso, os controles no ISO 27701 abordam muitos dos requisitos do Regulamento Geral de Proteção de Dados (GDPR) da UE, portanto, ser certificado nos controles ISO 27701 também pode ser usado para validar de forma independente a conformidade com o GDPR.
5. Serviço Organization Controles (SOC) relatórios ajudam as empresas a estabelecer confiança em seus processos e controles de prestação de serviços. Isso é obtido por meio de informações e garantias detalhadas sobre a capacidade de um provedor de serviços em nuvem de aderir a alguns ou a todos os Princípios de Confiança: segurança, disponibilidade, privacidade, processamento, integridade e confidencialidade.
6. O padrão de processamento de informações federais (FIPS) (140-3) especifica os requisitos de segurança que precisam ser atendidos pelos módulos criptográficos e é um padrão crítico ao lidar com setores altamente regulamentados. É importante observar as diferenças entre o FIPS 140-2 que atende ao tamper resistente padrão e FIPS 140-3 que atende ao tamper superior prova padrão. Além disso, o FIPS 140-2 atende apenas aos requisitos de segurança após a conclusão, mas o FIPS 140-3 agora avalia os requisitos de segurança em todos os estágios da criação do módulo criptográfico - design, implementação e implantação operacional final.
7. O Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP) é um programa de certificação do governo dos EUA que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo para produtos e serviços de nuvem fornecidos a agências governamentais, fornecedores e clientes.
8. Regulamentos de Administração de Exportação (EAR) são regulamentos de controle de exportação executados por diferentes departamentos do governo dos EUA, como o Departamento de Comércio dos EUA, que administra EAR para regular a exportação de itens de “uso duplo”, incluindo dados técnicos e assistência técnica, que são projetados para fins comerciais, mas poderia ter aplicações militares, como computadores, aeronaves e patógenos.
9. Suplemento do Regulamento de Aquisição Federal de Defesa (DFARS) os requisitos e regulamentos destinam-se a garantir a integridade das Informações não classificadas controladas (CUI), ou informações confidenciais pertencentes ao governo dos EUA que terceiros, como fornecedores, parceiros e associações comerciais, possam manter ou usar.
10. A Lei Federal de Gerenciamento de Segurança da Informação (FISMA) é a legislação dos EUA que define uma estrutura de diretrizes e padrões de segurança para proteger as informações e operações do governo.
11. A Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA) define proteções de privacidade padronizadas nacionalmente para registros médicos de pacientes e outras informações de saúde fornecidas e gerenciadas principalmente por planos de saúde, médicos, hospitais e outros provedores de assistência médica nos EUA. No entanto, também pode se aplicar a empregadores que oferecem planos de saúde em grupo e a qualquer empresa ou indivíduo que preste serviços a médicos, prestadores de serviços de saúde e seguradoras.
12. Regra da SEC 17a-4 aplica-se a corretores americanos e outras partes relevantes que negociem valores mobiliários ou funcionem como corretores para comerciantes, incluindo bancos, empresas de valores mobiliários e corretoras de valores, exigindo que eles armazenem todos os registros comerciais por um período não inferior a seis anos em registros não mídias regraváveis e não apagáveis, sendo os dois primeiros anos em local de fácil acesso.
13. As Cláusulas Modelo da UE são cláusulas contratuais padronizadas usadas em acordos entre prestadores de serviços e seus clientes para garantir que quaisquer dados pessoais que saiam do Espaço Econômico Europeu sejam transferidos em conformidade com as leis de proteção de dados da UE e atendam aos requisitos do GDPR.
14. Centro Australiano de Segurança Cibernética (ACSC) a orientação de segurança na nuvem informa entidades da Commonwealth, provedores de serviços em nuvem (CSPs) e avaliadores do Infosec Registered Assessors Program (IRAP) sobre como realizar uma avaliação de segurança abrangente de CSPs e seus serviços.
15. O Regulamento Geral de Proteção de Dados (RGPD) regula a forma como as empresas protegem os dados pessoais dos cidadãos da UE e tornou-se a lei de privacidade de referência para muitos países.
16. A Lei de Privacidade do Consumidor da Califórnia (CCPA) é um estatuto estadual destinado a aprimorar os direitos de privacidade e proteção do consumidor para residentes do estado americano da Califórnia.

Escolha uma solução de nuvem que priorize a segurança e a conformidade

A escolha de trabalhar com um provedor de serviços de nuvem validado como compatível com muitos desses diferentes padrões e regulamentos permite que você confie ou “herde” a conformidade resultante e os controles de segurança exigidos por esses padrões e leis. Seu organizationA liderança da , sua equipe jurídica e seus clientes podem ter certeza de que seus dados estão em mãos seguras e competentes.

Como uma solução de nuvem nativa projetada com profissionais jurídicos em mente, o NetDocuments fornece a você e sua equipe os controles rígidos de segurança e conformidade mais adequados para o trabalho jurídico, permitindo que você trabalhe e colabore com facilidade e eficiência.

Para saber mais sobre como o NetDocuments pode ajudá-lo a cumprir obrigações de conformidade e mandatos de clientes para proteger informaçes confidenciais, entre em contato conosco hoje em (866) 638-3627 ou clique aqui para solicitar uma demonstração.

Leia o artigo original de David sobre este tópico na edição de verão 2022 da International Legal Technology Association de revista ponto a ponto.