60% das empresas usam a nuvem. Como cumprir os regulamentos?
A adoção e o uso da nuvem em ambientes corporativos estão aumentando, e o futuro parece promissor. Os gastos corporativos com serviços em nuvem indicam essa tendência de alta, já que houve um aumento de 29% no segundo trimestre deste ano em relação ao mesmo período no ano passado. A migração para a nuvem trouxe mudanças aos regulamentos para consolidar a segurança dos dados conforme a natureza dos negócios.
Portanto, a conformidade do ambiente de nuvem se baseia em diversos procedimentos e práticas que garantem o cumprimento de um ou mais padrões específicos de segurança e privacidade. As estruturas que impactam a empresa são definidas por fatores como a jurisdição de atuação, o setor a que pertence e o número de usuários.
Principais regulamentos e como eles afetam a infraestrutura de nuvem
-
PCI DSS
O Padrão de Segurança de Dados do Setor de Cartões de Pagamento é um conjunto de parâmetros de segurança para comerciantes que armazenam ou processam na nuvem dados de titulares de cartões de pagamento.
Entre as condições, ele exige a instalação e a manutenção da configuração de firewall para proteger dados na nuvem, além da segurança de acesso aprimorada ao garantir que os padrões do fornecedor para senhas de sistema e outras configurações de segurança sejam modificados. Da mesma forma, o padrão solicita a proteção dos dados armazenados do titular do cartão e a criptografia na transmissão de dados em redes públicas abertas. Além disso, há a exigência de rastrear e monitorar todos os acessos a recursos da rede e dados dos titulares.
Caso não haja adesão às diretrizes de computação na nuvem do PCI DSS, a empresa poderá perder a capacidade de processar transações com cartões de pagamento.
-
HIPAA
O regulamento é voltado a empresas que gerenciam informações de saúde de cunho pessoal. A Regra de Segurança da HIPAA do Departamento de Saúde e Serviços Humanos (HHS) dos EUA exige que as organizações protejam as informações de saúde eletronicamente protegidas (e-PHI) por meio de medidas administrativas, técnicas e físicas razoáveis e apropriadas.
Para cumprir os regulamentos, o HHS estabelece quatro requisitos específicos de armazenamento da HIPAA. O primeiro é a garantia de confidencialidade, integridade e disponibilidade do e-PHI por meio de criptografia, proteção por senha e outras medidas de segurança. O segundo é a identificação e a proteção contra ameaças previsíveis por meio de monitoramento habitual e análise de riscos. O terceiro é a proteção contra o uso ou a distribuição não autorizada de informações que podem ser protegidas por protocolos de segurança de computadores, IAM, restrição de acesso físico e auditorias periódicas de processos internos. E, finalmente, o quarto é a garantia da conformidade dos membros da equipe por meio de treinamento regular e adesão aos padrões estabelecidos pela HIPAA.
-
GDPR
O Regulamento Geral sobre a Proteção de Dados (GDPR) é uma das leis de privacidade de dados mais rigorosas e amplamente aplicadas no mundo. Sua função principal é proteger as informações pessoais das empresas e dos indivíduos residentes na União Europeia.
O GDPR exige a proteção de dados desde a concepção e por padrão; o registro de atividades de processamento e a criptografia de informações pessoais para dados armazenados e em trânsito.
Quais soluções as empresas precisam para cumprir os regulamentos?
A maioria das estruturas de conformidade descreve suas regras de forma relativamente genérica. Então, como as empresas podem ter certeza de que os dados estão protegidos na nuvem e, dessa forma, em conformidade com os diferentes regulamentos? As empresas precisam integrar soluções de cibersegurança que protejam os ambientes na nuvem e os dados de clientes, na medida do possível:
-
MFA: essa solução se aplica às três estruturas de conformidade detalhadas acima. A autenticação multifator é obrigatória para qualquer organização a fim de cumprir os regulamentos. Em uma pesquisa recente da Pulse, os dados revelaram que 76% dos entrevistados consideram a MFA a principal solução a ser incorporada à nuvem para reforçar a conformidade.
-
Visibilidade: outro requisito comum a todos os regulamentos é a necessidade de visibilidade e monitoramento do ambiente em nuvem. Isso demonstra a necessidade de empregar uma solução que forneça relatórios em tempo real. Assim, as empresas têm controle legítimo sobre os dados armazenados dos clientes.
-
Firewall em nuvem: essa tecnologia precisa ser usada para atender aos requisitos das estruturas de conformidade da HIPAA e do GDPR. Suas funções incluem a necessidade de criptografar dados armazenados e em trânsito, bem como eliminar a possibilidade de possíveis ataques de malware.
-
Wi-Fi: no caso da HIPAA e do PCI DSS, é fundamental usar uma solução que proteja as conexões Wi-Fi, por exemplo, em lojas ou hospitais; caso contrário, hackers podem ter acesso à rede. Depois de entrar na rede corporativa, eles conseguem se mover lateralmente para acessar ambientes em nuvem com dados que deveriam estar protegidos.
A conformidade regulatória é fundamental para que as empresas continuem administrando os próprios negócios sem atritos. Ao implantar essas soluções, as empresas seguem os regulamentos e desfrutam dos benefícios da nuvem sem se preocupar com o comprometimento da segurança e perdas financeiras ou de credibilidade.