Existem inúmeros benefícios para os profissionais da área jurídica poderem trabalhar e colaborar remotamente na nuvem, mas é importante também estar ciente dos desafios e vulnerabilidades de segurança associados à tecnologia de nuvem. Uma violação de segurança ou o não cumprimento de diretrizes de conformidade específicas pode colocar o você e sua equipe em risco de problemas jurídicos e financeiros significativos, sem mencionar o possível tempo de inatividade e a perda da confiança de seus clientes.

A boa notícia é que muitos provedores de serviços em nuvem de boa reputação oferecem a seus usuários a possibilidade de confiar ou "herdar" os controles de segurança e conformidade incorporados que já existem na infraestrutura de aplicativos do provedor. Para ajudar o você e a sua equipe jurídica a fazer a escolha certa de provedores de serviços em nuvem, identificamos 16 padrões, certificações, relatórios de auditoria, regulamentos e atestados, bem como leis dos EUA e internacionais, que devem ser procurados como indicadores de que o seu trabalho com provedores de serviços em nuvem individuais é seguro, protegido e está em conformidade. Quanto mais desses "itens de verificação" o fornecedor atender ou estiver em conformidade, mais bem posicionado ele estará para ter controles de segurança e conformidade para beneficiar e proteger seus clientes de nuvem, inclusive sua equipe jurídica.

16 controles de conformidade e segurança que devem ser procurados em um provedor de serviços em nuvem

Essa lista de verificações de conformidade e segurança inclui a família de padrões e controles da International Organization for Standardization (ISO) 27000, reconhecida mundialmente, bem como padrões internacionais baseados nos EUA que não são exigidos apenas em seu estado ou país de origem, mas que, desde então, são reconhecidos de forma mais ampla como importantes referências de segurança.

1. A ISO 27001 especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Segurança da Informação (ISMS) no contexto da organização.
2. A ISO 27017 fornece orientações sobre os aspectos de segurança da informação da computação em nuvem e dos serviços em nuvem, bem como orientações adicionais de implementação para os controles relevantes especificados na ISO/IEC 27002.
3. A ISO 27018 estabelece objetivos de controle, controles e diretrizes comumente aceitos para a implementação de medidas de proteção de informações de privacidade pessoalmente identificáveis (PII) de acordo com os princípios de privacidade da ISO/IEC 29100 para o ambiente de computação em nuvem pública.
4. A ISO 27701 é uma extensão de privacidade da ISO/IEC 27001 projetada para aprimorar o ISMS existente com requisitos adicionais a fim de estabelecer, implementar, manter e melhorar continuamente um Sistema de Gerenciamento de Informações de Privacidade (PIMS). Além disso, os controles da ISO 27701 atendem a muitos dos requisitos do Regulamento Geral de Proteção de Dados (GDPR) da UE, portanto, a certificação nos controles da ISO 27701 também pode ser usada para validar de forma independente a conformidade com o GDPR.
5. Os relatórios SOC (Service Organization Controls, Controles da Organização de Serviços) ajudam as empresas a estabelecer confiança e segurança em seus processos e controles de prestação de serviços. Isso é obtido por meio de informações detalhadas e garantias sobre a capacidade de um provedor de serviços em nuvem de aderir a alguns ou a todos os Princípios de Confiança: segurança, disponibilidade, privacidade, processamento, integridade e confidencialidade.
6. O Federal Information Processing Standard (FIPS) (140-3) especifica os requisitos de segurança que precisam ser atendidos pelos módulos criptográficos e é um padrão essencial quando se trata de setores altamente regulamentados. É importante observar as diferenças entre o FIPS 140-2, que atende ao padrão de resistência à violação, e o FIPS 140-3, que atende ao padrão superior de prova de violação. Além disso, o FIPS 140-2 aborda os requisitos de segurança somente após a conclusão, mas o FIPS 140-3 agora avalia os requisitos de segurança em todos os estágios da criação do módulo criptográfico - projeto, implementação e implantação operacional final.
7. O Federal Risk and Authorization Management Program (FedRAMP) é um programa de certificação do governo dos EUA que oferece uma abordagem padronizada para avaliação de segurança, autorização e monitoramento contínuo de produtos e serviços em nuvem fornecidos a agências governamentais, fornecedores e clientes.
8. As Regulamentações de Administração de Exportação (EAR) são regulamentações de controle de exportação executadas por diferentes departamentos do governo dos EUA, como o Departamento de Comércio dos EUA, que administra a EAR para regulamentar a exportação de itens de "uso duplo", incluindo dados técnicos e assistência técnica, que são projetados para fins comerciais, mas que podem ter aplicações militares, como computadores, aeronaves e patógenos.
9. Os requisitos e as normas do Defense Federal Acquisition Regulation Supplement (DFARS) destinam-se a garantir a integridade das informações não classificadas controladas (CUI) ou informações confidenciais pertencentes ao governo dos EUA que terceiros, como fornecedores, parceiros e associações comerciais, possam deter ou usar.
10. O FISMA (Federal Information Security Management Act) é uma legislação dos EUA que define uma estrutura de diretrizes e padrões de segurança para proteger as informações e as operações do governo.
11. A Health Insurance Portability and Accountability Act (HIPAA) define proteções de privacidade padronizadas nacionalmente para os registros médicos dos pacientes e outras informações de saúde fornecidas e gerenciadas principalmente por planos de saúde, médicos, hospitais e outros prestadores de serviços de saúde nos EUA. Entretanto, ela também pode se aplicar a empregadores que oferecem planos de saúde em grupo e a qualquer empresa ou indivíduo que preste serviços a médicos, prestadores de serviços de saúde e seguradoras.
12. A Regra 17a-4 da SEC aplica-se a corretores e outras partes relevantes que negociam títulos ou funcionam como corretores para negociadores, incluindo bancos, empresas de títulos e corretoras de ações, exigindo que armazenem todos os registros comerciais por um período não inferior a seis anos em mídia não regravável e não apagável, sendo que os primeiros dois anos devem estar em um local de fácil acesso.
13. As Cláusulas Modelo da UE são cláusulas contratuais padronizadas usadas em acordos entre prestadores de serviços e seus clientes para garantir que quaisquer dados pessoais que saiam do Espaço Econômico Europeu sejam transferidos em conformidade com as leis de proteção de dados da UE e atendam aos requisitos do GDPR.
14. O guia de segurança em nuvem do Australian Cyber Security Centre (ACSC) informa as entidades da Commonwealth, os provedores de serviços em nuvem (CSPs) e os avaliadores do Infosec Registered Assessors Program (IRAP) sobre como realizar uma avaliação de segurança abrangente dos CSPs e de seus serviços.
15. O Regulamento Geral de Proteção de Dados (GDPR) regulamenta como as empresas protegem os dados pessoais dos cidadãos da UE e se tornou a lei de privacidade de referência para muitos países.
16. A Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma lei estadual destinada a aumentar os direitos de privacidade e a proteção do consumidor para os residentes do estado americano da Califórnia.

Escolha uma solução de nuvem que priorize a segurança e a conformidade

Ao optar por trabalhar com um provedor de serviços em nuvem validado como estando em conformidade com muitos desses diferentes padrões e regulamentações, o você pode confiar ou "herdar" os controles de segurança e conformidade resultantes exigidos por esses padrões e leis. A liderança da sua organização, sua equipe jurídica e seus clientes podem ter a certeza de que seus dados estão em mãos seguras e capazes.

Como uma solução de nuvem nativa projetada tendo em mente os profissionais da área jurídica, o NetDocuments oferece ao você e à sua equipe os controles rígidos de segurança e conformidade mais adequados para o trabalho jurídico, ao mesmo tempo em que permite trabalhar e colaborar com facilidade e eficiência.

Para saber mais sobre como o NetDocuments pode ajudá-lo a cumprir as obrigações de conformidade e os mandatos dos clientes para proteger informações confidenciais, entre em contato conosco hoje mesmo pelo telefone (866) 638-3627 ou clique aqui para solicitar uma demonstração.

Leia o artigo original de David sobre esse tópico na edição de verão de 2022 da revista Peer Peer da International Legal Technology Association. revista Peer to Peer.