Existem inúmeras vantagens para os profissionais da área jurídica poderem trabalhar e colaborar remotamente na nuvem, mas também é importante estar ciente dos desafios e vulnerabilidades de segurança associados à tecnologia da nuvem. Uma violação da segurança ou o não cumprimento de diretrizes de conformidade específicas pode colocá-lo a si e à sua equipa em risco de problemas legais e financeiros significativos, para não falar do potencial tempo de inatividade e da perda de confiança dos seus clientes.

A boa notícia é que muitos fornecedores de serviços na nuvem com boa reputação oferecem aos seus utilizadores a possibilidade de confiarem ou "herdarem" os controlos de segurança e conformidade incorporados que já existem na infraestrutura de aplicações do fornecedor. Para melhor o ajudar a si e à sua equipa jurídica a fazer a escolha certa em termos de fornecedores de serviços na nuvem, identificámos 16 normas, certificações, relatórios de auditoria, regulamentos e atestados, bem como leis dos EUA e internacionais, que devem ser procurados como indicadores de que o seu trabalho com fornecedores de serviços na nuvem individuais é seguro, protegido e está em conformidade. Quanto mais destes "itens de verificação" o seu fornecedor cumprir ou estiver em conformidade, melhor posicionado estará para ter controlos de segurança e conformidade em vigor para beneficiar e proteger os seus clientes na nuvem, incluindo a sua equipa jurídica.

16 Controlos de conformidade e segurança a procurar num fornecedor de serviços na nuvem

Esta lista de verificações de conformidade e segurança inclui a família de normas e controlos da International Organization for Standardization (ISO) 27000, reconhecida a nível mundial, bem como normas internacionais baseadas nos EUA que não só são exigidas no seu estado ou país de origem, como também foram reconhecidas mais amplamente como importantes referências de segurança.

1. A ISO 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI) no contexto da organização.
2. A ISO 27017 fornece orientações sobre os aspectos de segurança da informação da computação em nuvem e dos serviços em nuvem, bem como orientações adicionais de implementação para os controlos relevantes especificados na ISO/IEC 27002.
3. A norma ISO 27018 estabelece objectivos de controlo, controlos e orientações comummente aceites para a implementação de medidas de proteção das informações de privacidade pessoalmente identificáveis (PII) em conformidade com os princípios de privacidade da norma ISO/IEC 29100 para o ambiente de computação em nuvem pública.
4. A ISO 27701 é uma extensão de privacidade da ISO/IEC 27001 concebida para melhorar o ISMS existente com requisitos adicionais para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão de Informação de Privacidade (PIMS). Além disso, os controlos da ISO 27701 abordam muitos dos requisitos do Regulamento Geral sobre a Proteção de Dados (RGPD) da UE, pelo que a certificação nos controlos da ISO 27701 também pode ser utilizada para validar de forma independente a conformidade com o RGPD.
5. Os relatórios SOC (Service Organization Controls) ajudam as empresas a estabelecer confiança e segurança nos seus processos e controlos de prestação de serviços. Isto é conseguido através de informações detalhadas e garantias sobre a capacidade de um fornecedor de serviços na nuvem de aderir a alguns ou a todos os Princípios de Confiança: segurança, disponibilidade, privacidade, processamento, integridade e confidencialidade.
6. A norma Federal Information Processing Standard (FIPS) (140-3) especifica os requisitos de segurança que têm de ser satisfeitos pelos módulos criptográficos e é uma norma crítica quando se lida com indústrias altamente regulamentadas. É importante notar as diferenças entre a norma FIPS 140-2, que cumpre a norma de resistência à adulteração, e a norma FIPS 140-3, que cumpre a norma superior de prova de adulteração. Além disso, a FIPS 140-2 apenas aborda os requisitos de segurança após a conclusão, mas a FIPS 140-3 avalia agora os requisitos de segurança em todas as fases da criação do módulo criptográfico - conceção, implementação e implementação operacional final.
7. O Programa Federal de Gestão de Riscos e Autorizações (FedRAMP) é um programa de certificação do governo dos EUA que fornece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços em nuvem fornecidos a agências governamentais, fornecedores e clientes.
8. Os Regulamentos de Administração das Exportações (EAR) são regulamentos de controlo das exportações geridos por diferentes departamentos do governo dos EUA, como o Departamento de Comércio dos EUA, que administra os EAR para regular a exportação de artigos de "dupla utilização", incluindo dados técnicos e assistência técnica, concebidos para fins comerciais mas que podem ter aplicações militares, como computadores, aviões e agentes patogénicos.
9. Os requisitos e regulamentos do Suplemento ao Regulamento de Aquisição Federal de Defesa (DFARS) destinam-se a garantir a integridade da Informação Não Classificada Controlada (CUI), ou informação sensível pertencente ao governo dos EUA que terceiros, como fornecedores, parceiros e associações comerciais, possam deter ou utilizar.
10. O Federal Information Security Management Act (FISMA) é a legislação dos EUA que define um quadro de diretrizes e normas de segurança para proteger as informações e operações governamentais.
11. A Lei de Portabilidade e Responsabilidade dos Seguros de Saúde (HIPAA) define protecções de privacidade padronizadas a nível nacional para os registos médicos dos pacientes e outras informações de saúde fornecidas e geridas principalmente por planos de saúde, médicos, hospitais e outros prestadores de cuidados de saúde nos EUA. No entanto, também se pode aplicar a empregadores que ofereçam planos de saúde de grupo e a qualquer empresa ou indivíduo que preste serviços a médicos, prestadores de cuidados de saúde e companhias de seguros.
12. A Regra 17a-4 da SEC aplica-se a corretores e outras partes relevantes que negoceiam valores mobiliários ou funcionam como corretores de corretores, incluindo bancos, empresas de valores mobiliários e empresas de corretagem de acções, exigindo que armazenem todos os registos comerciais por um período não inferior a seis anos em suportes não regraváveis e não apagáveis, devendo os primeiros dois anos estar num local de fácil acesso.
13. As cláusulas modelo da UE são cláusulas contratuais normalizadas utilizadas em acordos entre prestadores de serviços e os seus clientes para garantir que quaisquer dados pessoais que saiam do Espaço Económico Europeu sejam transferidos em conformidade com a legislação de proteção de dados da UE e cumpram os requisitos do RGPD.
14. O guia de segurança na nuvem do Australian Cyber Security Centre (ACSC) informa as entidades da Commonwealth, os fornecedores de serviços na nuvem (CSP) e os avaliadores do Infosec Registered Assessors Program (IRAP) sobre como efetuar uma avaliação de segurança abrangente dos CSP e dos seus serviços.
15. O Regulamento Geral sobre a Proteção de Dados (RGPD) regula a forma como as empresas protegem os dados pessoais dos cidadãos da UE e tornou-se a lei de privacidade de referência para muitos países.
16. A Lei da Privacidade do Consumidor da Califórnia (CCPA) é um estatuto estatal destinado a reforçar os direitos de privacidade e a proteção do consumidor para os residentes do estado norte-americano da Califórnia.

Escolha uma solução de nuvem que dê prioridade à segurança e à conformidade

Optar por trabalhar com um fornecedor de serviços na nuvem que esteja validado como estando em conformidade com muitas destas normas e regulamentos diferentes permite-lhe confiar ou "herdar" os controlos de segurança e conformidade resultantes exigidos por essas normas e leis. A liderança da sua organização, a sua equipa jurídica e os seus clientes podem ter a certeza de que os seus dados estão em mãos seguras e capazes.

Sendo uma solução nativa na nuvem concebida a pensar nos profissionais da área jurídica, o NetDocuments proporciona a si e à sua equipa os controlos rigorosos de segurança e conformidade mais adequados ao trabalho jurídico, permitindo-lhe ainda trabalhar e colaborar de forma fácil e eficiente.

Para saber mais sobre como o NetDocuments pode ajudá-lo a cumprir as obrigações de conformidade e os mandatos dos clientes para proteger informações sensíveis, contacte-nos hoje mesmo através do número (866) 638-3627 ou clique aqui para solicitar uma demonstração.

Leia o artigo original de David sobre este tema na edição de verão de 2022 da revista Peer Peer da International Legal Technology Association Revista Peer to Peer.