CLOUD COMPUTING: IMPASSES LEGAIS E NORMATIVOS SANTOS, Ana P. V. Graduanda do curso de Bacharelado em Sistemas de Informação – UNIESP [email protected] MACHADO, Marcos Bacharel em Ciência da Computação Especialização em Tecnologia e Sistemas de Informação - UNISANTA Mestrando em Educação - UNISANTOS [email protected] RESUMO Este artigo consiste em um estudo sobre o cenário mundial, com destaque para o ambiente corporativo, onde se instala o modelo Cloud Computing. Nesse intuito, analisamos as dificuldades na adoção desse modelo por parte das empresas, no que tange à ausência de normas regulatórias. Nessa perspectiva, o presente artigo apresenta suas viabilidades, bem como, os desafios a serem enfrentados por prestadores e seus usuários. Os resultados demonstram que o modelo Cloud Computing se constitui em uma solução economicamente viável, sendo necessário, no entanto, dirimir dúvidas com relação à segurança da informação e a falta de uma regulamentação internacional. Palavras-Chave: cloud computing, desafios, legislação. Abstract This article presents a study on the world scene, especially the corporate environment, where it installs the Cloud Computing model. To that end, we analyzed the difficulties in adopting this model for companies, regarding the absence of regulatory standards. From this perspective, this paper presents their viability, as well as the challenges faced by providers and their users. The results show that the Cloud Computing model constitutes an economically viable and necessary, however, clarify doubts with respect to information security and lack of international regulation. Key words: cloud computing, challenges, legislation. Introdução Seja qual for o cenário, desafios relacionados à complexidade de manutenção e gerenciamento da infraestrutura fazem parte do dia-a-dia de quem atua na área de TI. Ano a ano, a complexidade da infraestrutura de TI vem crescendo, seja pelo aumento dos ambientes, seja pelas exigências de adequação as normas legais e de Ano 2, nº 1, p.16-105, nov 2010 governança, ou até mesmo pela necessidade de redução de custos, eficácia e integração entre as áreas de negócios da empresa. Reduzir custos virou um mantra na maior parte das organizações e conseqüentemente, as áreas de TI passaram a buscar novas alternativas para endereçar essa necessidade, justificando assim, o crescente aumento do interesse pela adoção da Cloud Computing. Muitas organizações colocam parte de sua infraestrutura na nuvem como forma de aumentar os recursos destinados à pesquisa e desenvolvimento. Mas, a grande maioria opta pelo modelo de Cloud Computing como forma de eliminar custos relacionados aos ativos de TI, principalmente, no que tange, ao Data Center. Assim, percebemos que inovar nos dias de hoje passou a ser uma necessidade para a sobrevivência das organizações. Ao contratarem serviços terceirizados especializados em Ti, as organizações querem agilidade, flexibilidade, qualidade e inovação na implementação de novos requisitos de negócios, buscando permanentemente uma melhor relação custo-benefício em função da produtividade e dos ganhos em escala, além de maior controle e impacto nas operações. (ALBERTIN e SANCHES, 2008). Com clientes mais exigentes e melhor conhecedores de seus direitos - e com mais opções de escolha e menos propensos à fidelidade - as organizações precisam se adequar a esse novo perfil de consumidor. Empresas de sucesso no século XXI precisam e devem se otimizar continuamente, tornando-se empresas sem limites físicos, virtualmente integradas com seus prestadores, clientes e parceiros de negócios. Em virtude da globalização, vários setores de negócios já se encontram em pleno estágio de competição acirrada, e obter vantagens competitivas sem possuir inovações tecnológicas rápidas e articuladoras, pode levar as organizações ao declínio. Albertin e Sanches (2008) afirmam que: “Nestes setores o sucesso empresarial é daqueles que conseguirem mover-se mais rapidamente, pois as decisões referentes à infraestrutura tecnológicas não são mais meras questões técnicas [...]. No entanto, a maior preocupação dos executivos atualmente, refere-se à transferência do gerenciamento de atividades críticas a terceiros, que podem colocar em risco o controle dos processos e informações consideradas competitivas para o negócio, Ano 2, nº 1, p.17-105, nov 2010 bem como, os contratos de outsourcing que necessitam estabelecer um forte alinhamento de todo o cenário em questão, como também um compromisso explícito de colaboração entre cliente e provedor. Em Cloud Computing o risco relativo à segurança da informação tornou-se uma das principais preocupações entre os gestores e o ritmo de sua disseminação está diretamente relacionado ao grau de confiança no modelo. Sem confiança, a dificuldade na adoção do modelo se torna um obstáculo/desafio, uma vez que, essa tomada de decisão, pode colocar em risco os ativos da organização. Desafios: um olhar crítico A grande maioria das empresas, instituições, órgãos da administração pública e executivos, elegem como principal tema de preocupação em suas pautas a Segurança da Informação. Uma série de discussões acaloradas sobre políticas, normas, regulamentos e tecnologias são abordadas em diversos níveis organizacionais. Sob essa égide, precisamos de novas leis que imponham guarda mínima de dados, logs, ips, metadados, já que os mesmos são as provas originais, e por muitas vezes as únicas testemunhas dos fatos. Por se tratar de uma tecnologia em maturação, esse modelo tecnológico necessita trabalhar melhor seus pontos principais para impulsionar sua disseminação, e assim, aumentar a confiança dos profissionais em relação à nuvem. Assim, percebemos que os aspectos jurídicos caminham a passos lentos e a ausência de uma legislação específica surge a partir do desenvolvimento da tecnologia, onde o Direito não acompanha legislativamente algumas questões. A dificuldade desse enfrentamento reside na variedade dos serviços ofertados. Dependendo do tipo de serviço, os controles de segurança vão se perdendo lentamente, uma vez que, as responsabilidades desses “controles” podem ser repassadas a terceiros. Nessa perspectiva surge o maior paradigma da Cloud Computing: “Manter a segurança dos dados desses clientes”. Em razão da ausência de leis que criminalizem ilícitos virtuais, surge a dificuldade em se punir os autores de atos praticados através da internet. Contudo, no Brasil, leva-se em consideração que a internet é só o meio utilizado para as práticas dos crimes e assim sendo, as diretrizes do direito penal são Ano 2, nº 1, p.18-105, nov 2010 igualmente aplicáveis, bastando apenas adequá-las e modernizá-las pelos órgãos oficiais. Por outro lado, é um caso atípico por não serem caracterizados todos os elementos inerentes aos crimes de danos, previsto no Código Penal. Vejamos: O Direito brasileiro não oferece solução para condutas lesivas que possam ser praticadas pela Internet e que não encontrem adequação típica no rol de delitos existentes no Código Penal e nas leis especiais brasileiras ou nos tratados internacionais, em matéria penal, do qual o Estado brasileiro seja parte. (ARAS, 2010) No Brasil, temos alguns artigos no Código Penal que ditam como as perícias devem ser realizadas, entre eles, o artigo 1581. Por não termos uma regulamentação ou padronização em Cloud Computing, não são previstas garantia dos dados para a realização de uma perícia que permita colher dados para exames como os de corpo de delito, por exemplo. Mas, conforme o artigo 167: “[...] não sendo possível o exame de corpo de delito a prova testemunhal poderá supri-lhe a falta” - em meios digitais se torna complicado devido à necessidade de conhecimentos técnicos para narrar os fatos e a volatilidade das informações, essa que em Cloud Computing é bem maior do que nos modelos tradicionais. No cenário atual, métodos e técnicas tradicionais da perícia forense podem se mostrar pouco eficientes. Assim, “Serviços de Cloud são especialmente difíceis de investigar, porque os logs e dados de vários clientes podem estar localizados conjuntamente e também estar distribuídos com uma constante mudança no conjunto de máquinas e data centers.” (HEISER, 2009) No artigo 169 consta: [...] para o efeito de exame do local onde houver sido praticada a infração, a autoridade providenciará imediatamente para que não se altere o estado das coisas até a chegada dos peritos [...]. Porém, em Cloud Computing, essa preservação não é garantida, pois o ambiente em nuvem será utilizado por várias pessoas e dependendo do crime, nem sempre saberemos o momento exato que ele foi cometido. Para que uma perícia seja bem sucedida, é necessário que existam registros de auditoria, ou logs, íntegros e confiáveis. Não importa quão segura é a rede a ser 1 Artigo 158 do Código Penal: Quando a infração deixar vestígios será indispensável o exame de corpo de delito, direto ou indireto, não podendo supri-lo a confissão do acusado Ano 2, nº 1, p.19-105, nov 2010 auditada, nunca será possível confiar num registro que tenha sido comprometido ou avariado. Assim, a maneira como os logs são armazenados torna-se um fator de extrema relevância e os mesmo necessitam conter informações suficientes para identificação do usuário - o endereço de IP, login e a data e o horário dos acessos. Alguns prestadores de Cloud Computing não vêem razões para armazenar seus logs fora da nuvem, mas os riscos deste ato devem ser levados em consideração. Suponha uma paralisação no serviço, com os logs armazenados em nuvem, nem mesmo a eles a empresa terá acesso. Numa invasão, dependendo do nível e controle que o invasor tiver sobre os dados, o invasor pode facilmente apagar os logs, eliminar possíveis provas e encobrir seus rastros; e a chance de descobrir qual foi à vulnerabilidade que possibilitou a invasão ou ataque passa a ser mínima. A obrigatoriedade e o armazenamento dos logs de dados é um dos principais fatores a serem considerados na hora de regulamentar o modelo de Cloud Computing. Nos padrões de segurança o log é princípio básico, pois nele estarão armazenados os dados para recuperação do sistema em caso de falhas; a origem do erro ou problema; os usuários que estavam utilizando; e assim, identificar autores de crimes cibernéticos. As empresas que desejam aderir a Cloud Computing devem exigir de seus prestadores a garantia do armazenamento desses logs por alguns anos, para que crimes futuros possam ser investigados através de perícia. A localização geográfica também é um elemento dificultador, uma vez que, fazer uma cópia do disco rígido e obter os dados (como é feito hoje) pode se transformar numa medida inviável. Parar uma máquina - no caso um Data Center - para fazer uma imagem do disco, acarreta prejuízos financeiros para a empresa prestadora do serviço. O advogado Caio César Lima, especialista em Direito Digital, apresentou um trabalho sobre perícia em Cloud Computing durante o Iccyber 2010 na “VII Conferência Internacional de Perícias em Crimes Cibernéticos”, onde afirma que: [...] apesar de esse ser o grande desafio para todos, ainda não temos respostas. Quanto mais a gente estuda, mais surgem dúvidas. Se as informações estão na nuvem, e não mais nos HDs, de nada adianta apreender máquinas, como fazemos hoje. (GROSSMANN, 2010, apud LIMA, 2010) O problema é que cada país possui sua legislação específica. Alguns com leis e normas para proteção de dados; outros com normas para serviços internacionais. No Ano 2, nº 1, p.20-105, nov 2010 Brasil, temos leis que não tratam diretamente o assunto utilizando-se das leis existentes para solucionar possíveis implicações jurídicas. Segundo a opinião de Victor Eduardo Momesso, da Costa Jardim, advogado da Opice Blum Advogados Associados, hoje, grande parte da nossa legislação cobre eventuais problemas que possamos vir a ter com a aplicação da computação em nuvem, sejam SaaS, PaaS ou IaaS, havendo a necessidade apenas de se regulamentar alguns aspectos pontuais com relação à parte técnica. A LICC - Lei de Introdução ao Código Civil define relação à lei aplicável aos contratos internacionais, que prevê aplicar a legislação de onde o contrato foi assinado. De acordo com o artigo 9 do Código de Defesa do Consumidor: O Código de Defesa do Consumidor não se aplica a essa relação de consumo, porque a lei de regência das obrigações resultantes de contrato, segundo o direito positivo nacional, é a do domicílio do proponente (LICC, art. 9º, § 2º). Essa é uma regra bem questionada por doutrinadores de Direito Internacional que acreditam que deveria ser prevista em cláusulas contratuais a legislação aplicável e o foro competente. Fato é que num mundo amplamente interligado, as fronteiras físicas acabam cedendo, não sendo possível identificar o país onde um contrato foi firmado pela rede mundial de computadores. O Superior Tribunal de Justiça também definiu que mesmo que o contrato determine o foro estrangeiro, o contrato não pode violar a Legislação Brasileira. O mesmo Tribunal também determinou em função das empresas prestadoras de serviço, mas dessa vez, utilizando o Código de Defesa do Consumidor2, que estas devem não só se beneficiar do bônus de suas atividades, como também pelos ônus. A lei brasileira considera nula cláusula abusiva e qualquer limitação da responsabilidade do prestador. Nesse sentido, podemos destacar trecho do Agravo de Instrumento do Desembargador Caetano Lagrasta, do Tribunal de Justiça do Estado de São Paulo: [...] Deve-se ressaltar que a empresa que pretende trazer para o Brasil serviço estruturado de novas tecnologias e com alcance que possui a internet deve se 2 Código de Defesa do Consumidor Art. 51: São nulas de pleno direito, entre outras, as cláusulas contratuais relativas ao fornecimento de produtos e serviços. I - impossibilitem, exonerem ou atenuem a responsabilidade do fornecedor por vícios de qualquer natureza dos produtos e serviços ou impliquem renúncia ou disposição de direitos. Nas relações de consumo entre o fornecedor e o consumidor pessoa jurídica, a indenização poderá ser limitada, em situações justificáveis; Ano 2, nº 1, p.21-105, nov 2010 preocupar em garantir a segurança de referido sistema, não podendo alegar um Bill de indenidade, driblando suas responsabilidades no escudo de empresas internacionais. [...] Nesse sentido não pode imputar ao consumidor o ônus de buscar, no estrangeiro, e em legislação alienígena, as garantias para a proteção dos seus direitos, devendo a empresa responsável pelo serviço no Brasil assumir total responsabilidade. (JIMENE, BLUM apud LAGRASTA, 2009) A internet possibilita aos consumidores a contratação de serviços de outros países e dessa forma perde-se a noção de territorialidade, não sabendo qual é a legislação aplicável para resolver possíveis litígios. Desse modo, o Código de Defesa do Consumidor perde sua força e haverá um confronto entre as normas de proteção nacionais e as regras do comércio internacional. Um exemplo claro dos problemas que podemos encontrar é: analisar uma patente obtida pelo Google que teria desenvolvido técnicas para construção de um data center instalado em um navio, localizado no meio do oceano, que gera energia com as ondas do mar. Neste caso, não teríamos legislação aplicável, pois os dados estariam em uma área onde não existe legislação específica, apenas os acordos internacionais. A existência de um contrato de acordo internacional seria inevitável para que esse Data Center do Google pudesse operar com dados de todo o mundo, e para Cloud Computing não seria diferente. Necessitamos de uma normatização internacional para não entrarmos em conflitos com as leis de países estrangeiros. Sob esse olhar, os governos ao redor do mundo estão preocupados com o uso da Cloud Computing. Alguns países possuem legislação vigente que proíbe que dados públicos estejam localizados fora do país, assim, inibindo possíveis problemas quanto à privacidade desses dados. Nesse aspecto a União Européia elaborou e aprovou a Diretiva 46:95/CE3 que faz referência aos direitos fundamentais de proteção aos dados pessoais e a livre circulação desses dados entre estados-membros, que estejam protegidos pela diretiva. A fim de facilitar o fluxo de dados com a Europa, o Departamento de Comércio dos EUA, em parceria com a Comissão Européia, desenvolveu o “Safe 3 Disponível em: <http://www.umic.pt/images/stories/publicacoes200709/Directiva95_46_CE.pdf> acesso: 10/09/2010. Ano 2, nº 1, p.22-105, nov 2010 Harbor4”, no intuito de discutir e socializar diferentes abordagens quanto à proteção dos dados e a privacidade. Ainda nos EUA, o Congresso norte-americano tem como proposta adotar uma regra que obrigue os prestadores a reterem os logs por pelo menos dois anos, para fins de investigação criminal. Depois do atentado de 11 de setembro, foi criada a TIA - Total Information Awareness, com o objetivo de coletar o maior número de informações sobre cidadãos norte-americanos e suas ligações com estrangeiros, a fim de identificar possíveis ataques terroristas. O inconveniente desse processo é que suas informações podem ser acessadas, pois possuem amparo legal previsto em lei. Na Europa, foi criada em 2004 a ENISA - European Network and Information Security Agency, que tem como objetivo melhorar a segurança da informação na União Européia, desenvolvendo a cultura de rede e segurança para benefício dos cidadãos, consumidores e empresas. A ENISA foi uma das primeiras a criar um relatório de análise de Computação em Nuvem, o “Cloud Computing Risk Assessment”, que avalia os principais riscos e estratégias permitindo aos políticos europeus criarem medidas legislativas, aplicar estratégias para adotar a tecnologia e assim, avaliar a relação custo/benefício do modelo. Assim, percebemos que países da Europa e o Estados Unidos, estão bem mais avançados em relação ao Brasil, no que tange à criação de medidas legais para adoção desse modelo computacional, uma vez que, as estratégias de competição econômica desses dois mundos consideram a Cloud Computing como fundamental para obtenção de vantagem competitiva. Considerações Finais Por se tratar de um modelo novo, ainda em fase de amadurecimento, a nuvem traz consigo muitos riscos e incertezas. No Brasil, em especial, tudo ainda é muito embrionário; e as soluções para adoção de um serviço de segurança ainda são vistas como um grande desafio - o modelo está saindo da teoria e aos poucos está entrando na prática. 4 Safe Harbor: um conjunto de conceitos reunidos em documentos usados para resolver problemas sobre a privacidade dos dados entre países, Conforme: < http://www.export.gov/safeharbor/> acesso em 10/09/2010. Ano 2, nº 1, p.23-105, nov 2010 Em relação aos aspectos jurídicos, apesar de já existirem alguns grupos destinados à melhoria da Cloud Computing, nos deparamos ainda com diversas situações que não são cobertas no âmbito do direito, principalmente quando lidamos com contratos internacionais. Com o advento da internet as fronteiras não existem mais, porém cada país possui a sua legislação e a sua maneira de lidar com os provedores de serviços. Na Cloud Computing é muito comum que um provedor forneça serviço em outro país ou utilize recursos no exterior, e é nesse ponto que surge a necessidade de um acordo internacional que cubram os aspectos jurídicos e de segurança. Cabe ressaltar ainda, que uma das exigências que devem demandar esforço enorme são as trilhas de auditoria, essenciais para garantir a legalidade de boa parte das operações. Atualmente, os serviços de Cloud Computing não passam de uma caixa preta que nem mesmo o mais experiente auditor de sistemas consegue abrir. Destacamos duas soluções que poderiam contribuir na qualidade da prestação de serviço: uma aproximação maior de iniciativas que visem promover formalização das normas contratuais; e a inclusão do Brasil na Convenção de Budapeste. Dessa forma, estaríamos prestando serviços no mesmo nível dos EUA e da Europa; evitando assim, problemas legais no caso de investigações que possam aferir jurisdição de outros países. Por fim, apesar de todos os desafios legais e normativos que o modelo tende a enfrentar nos próximos anos, não podemos simplesmente ignorar essa tendência mundial. É inquestionável que, a Cloud Computing veio para ficar. Assim, ao se contratar serviço em nuvem, se faz necessária uma análise mais profunda das cláusulas contratuais, no tocante a segurança da informação, trilhas de auditoria, privacidade dos dados, entre outras. O representante jurídico da empresa deve ser capaz de dominar tanto a área jurídica, quanto a área de tecnologia da informação, pois se tratam de contratos atípicos e podem conter margens para discussão de cláusulas em diversos aspectos, de acordo com o risco oferecido e a demanda do contratante, sobretudo em ambiente corporativo. REFERÊNCIAS ALBERTIN, Alberto Luiz. SANCHES, Otávio Próspero. Outsourcing em TI: Impactos, dilemas, discussões e casos reais. FGV, 2008. Ano 2, nº 1, p.24-105, nov 2010 ARAS, Vladimir. Crimes de informática: uma nova criminalidade. Disponível em: <http://www.buscalegis.ccj.ufsc.br/revistas/index.php/buscalegis/article/viewFile/6022/ 5591>. Acesso em 27/05/2010. BLUM, Renato Ópice; VAINZOF, Rony. Artigo 90: O Marco Civil da Internet e a Legislação Brasileira. Disponível em: <http://www.opiceblum.com.br/langpt/02_artigos_a001.html?ID_ARTIGO=90> Acesso em 11/10/2010. HEISER, Jay. What You Need to Know About Cloud Computing Security and Compliance. Disponível em: <http://www.gartner.com/DisplayDocument?doc_cd=168345&ref=g_noreg> Acesso em 12/10/2009. GROSSMANN, Luís Osvaldo. Computação na nuvem desafia investigação de cibercrimes. Disponível em: <http://www.sinfor.org.br/index.php?option=com_content&view=article&id=718:comp utacao-na-nuvem-desafia-investigacao-de-cibercrimes&catid=48:noticias&Itemid=187> Acesso em 22/09/2010. JARDIM, Victor Eduardo Momesso da Costa; Legislação em Cloud Computing. [mensagem pessoal]. Mensagem recebido por <[email protected]> em: 18/10/2010. JIMENE, Camilla do Vale; BLUM, Renato Opice. Cloud Computing e Aspectos Legais. Revista Fonte. Minas Gerais, Ano 6, n° 9, p. 51-52, dez. 2009. Ano 2, nº 1, p.25-105, nov 2010