Alan Zeichick | Estrategista de Conteúdo | 13 de outubro de 2023
Comece com uma proposta: alguns ou todos os dados da sua organização devem permanecer dentro de um determinado limite geográfico nacional ou regional, seja um estado ou país ou uma região mais ampla, como a União Europeia. Os motivos para essa exigência variam. Talvez existam regras governamentais que abranjam o seu setor ou talvez você gerencie tipos específicos de dados regulamentados, como informações de identificação pessoal. Talvez haja preocupações relacionadas à empresa ou à concorrência. Seja qual for a razão subjacente, o requisito é chamado de soberania digital ou de dados.
O último termo, no entanto, é um pouco impróprio. Em muitos casos, os requisitos de conformidade com a soberania vão além do armazenamento de tabelas de banco de dados. Pode ser necessário que todos os computadores que processam dados regulamentados estejam dentro de uma área geográfica, juntamente com todas as redes, fluxos de dados, backups e sistemas de recuperação de desastres. Às vezes, mesmo as pessoas que têm acesso a sistemas regulamentados devem ser cidadãos dessa jurisdição ou ter autorizações de segurança.
Uma forma de as organizações satisfazerem os requisitos de soberania digital é armazenar tudo num data center local. Outra é usar a nuvem, especificamente uma que seja soberana e ofereça todas as vantagens da computação em nuvem, ao mesmo tempo que ajuda a atender a alguns requisitos de soberania digital.
Vamos explorar os requisitos para a soberania digital e como uma nuvem soberana pode ajudar uma organização a manter a conformidade.
Uma nuvem soberana é um ambiente que ajuda uma organização a atender aos seus requisitos de soberania digital. Na maioria das estruturas de soberania, as organizações procuram proteger as informações pessoais dos indivíduos. No entanto, por vezes o âmbito é mais amplo, abrangendo propriedade intelectual, software, métodos comerciais, dados financeiros, informações sobre infraestrutura de TI e até metadados que descrevem o tamanho de um conjunto de dados e a rapidez com que ele cresce. Uma nuvem soberana pode ser hospedada em uma instalação de propriedade de um provedor de computação em nuvem e acessada pelo usuário de uma organização e por sistemas de TI pela Internet ou por meio de links de comunicação dedicados que não são conectados à rede.
Uma nuvem soberana também pode ser configurada como uma instalação separada “semelhante a uma nuvem” dentro do próprio data center de uma grande organização; a instalação funciona como um ambiente de nuvem e é mantida pelo provedor, mas está fisicamente isolada do mundo exterior.
Uma nuvem soberana terá algum nível de um ou mais dos seis recursos a seguir; as especificidades dependerão dos requisitos geográficos, regionais e outros.
Principais conclusões
Para entender o que uma nuvem soberana pode fazer, imagine que você dirige uma empresa que faz negócios na União Europeia (UE). A UE é um caso de teste ideal porque não só o bloco tem requisitos gerais, mas também cada um dos seus países membros. Portanto, todas as organizações encarregadas de manter a soberania digital nessa região devem cumprir os requisitos nacionais e da união.
Na UE, as leis de soberania de nuvem são orientadas por uma rede interligada de reguladores e as normas são constantemente alteradas, em geral, para serem mais rigorosas. Grande parte dessa evolução regulamentar é impulsionada pelos parlamentos nacionais e pelo Parlamento Europeu, sediado em Bruxelas, em resposta às exigências dos cidadãos e à pressão política constante para proteção contra interesses comerciais estrangeiros e cumprimento das leis. É aí que entram leis como o Regulamento Geral de Proteção de Dados (GDPR) da UE.
Imagine que uma organização possua subsidiárias com escritórios, funcionários e clientes na Alemanha e na França. Pode haver alguns dados que podem ser compartilhados entre os dois países, cumprindo simultaneamente os requisitos da UE, enquanto outros dados podem ser restringidos pelas leis alemãs ou francesas e devem permanecer apenas dentro do país específico. Tanto a organização do cliente quanto o provedor de serviços compartilham a responsabilidade de garantir que a nuvem soberana possa atender a todos esses requisitos e, igualmente importante, que esteja configurada para fazê-lo de maneira demonstrável para todas as partes.
Uma nuvem soberana adequada em conformidade com a UE incluirá soberania em toda o bloco para fornecer aos clientes controle sobre dados e fluxos conforme os regulamentos da união, terá proteções para detectar, desafiar e bloquear o acesso de fora da UE e, se apropriado, tratará da notificação das partes interessadas e das isenções permitidas.
Estabelecer uma nuvem soberana pode ser uma tarefa complexa, mesmo com um fornecedor capaz. No entanto, compensa de várias maneiras. Em primeiro lugar: conformidade. A soberania da nuvem aborda amplamente regulamentações geográficas, políticas e industriais, portabilidade e transferências de dados compatíveis dentro e entre domínios regulatórios.
Além disso, uma nuvem soberana oferece os seguintes benefícios:
Para organizações em setores altamente regulamentados, a execução de uma nuvem soberana dentro de um data center próprio pode ter sido, anteriormente, a única opção. Hoje, os provedores de nuvem podem aliviar grande parte dessa carga. Mas há cinco fatores principais a serem considerados ao decidir seguir em frente.
Apesar dos benefícios, estabelecer a soberania da nuvem exige que a equipe de TI de uma organização supere alguns obstáculos, incluindo:
As leis e os regulamentos de soberania digital são complexos e tornam-se cada vez mais complicados. Quer as organizações utilizem uma nuvem soberana ou um data center tradicional, o cenário regulatório torna difícil saber o que está em conformidade e o que não está. Um provedor de serviço de nuvem completo terá a experiência e os processos para manter suas ofertas atualizadas à medida que as regulamentações mudam.
Uma organização precisa apenas garantir que as informações de identificação pessoal sejam adequadamente criptografadas e armazenadas dentro das fronteiras nacionais, ou a conformidade regulatória se estende aos servidores que abrigam um repositório de documentos, aos sistemas de controle e às autorizações de cidadania e segurança de todo o pessoal com acesso físico ao hardware? Você não consegue cumprir com as regulamentações enquanto não souber o que é requisitado.
A soberania da nuvem pode ser aplicada não apenas ao data center primário, mas também a todos os locais e instalações de recuperação de backup, o que significa que o provedor de serviços de nuvem deve ter recursos suficientes para oferecer cumprir com a jurisdição definida.
Alguns provedores de serviços criaram ofertas especializadas de nuvem soberana. Como resultado, as aplicações, as funcionalidades e os serviços oferecidos nas suas nuvens públicas podem não estar disponíveis, ou totalmente disponíveis, na sua nuvem soberana.
Alguns regimes regulatórios exigem que a nuvem soberana operada por um provedor de serviços com sede e propriedade na região geográfica específica. Certifique-se de que um provedor global de serviços de nuvem tenha as parcerias, as licenças e as estruturas legais adequadas para atender a esses requisitos.
As empresas que desejam estabelecer nuvens soberanas precisarão considerar os requisitos para esses cinco aspectos principais, além de quaisquer fatores competitivos ou específicos do setor.
Selecione cuidadosamente a localização do seu data center na nuvem soberana e também os locais de backup com base nas regulamentações de conformidade e nas considerações comerciais. Os pontos de dados a serem coletados incluem os locais dos data centers em nuvem do provedor, assim como os locais de outros data centers de propriedade de parceiros e se uma nuvem soberana dedicada dentro das próprias instalações do cliente é viável.
Uma organização deve sempre ser capaz de escolher quais empresas, parceiros e clientes (e software e serviços) podem acessar seu ambiente de nuvem. Em alguns casos, como quando a segurança nacional está envolvida, o cliente pode escolher uma instalação totalmente dedicada.
Uma organização deve controlar que pessoal administrativo e técnico, tanto do fornecedor como dos parceiros, pode ter acesso aos seus sistemas, bem como aos metadados desses sistemas, tais como métricas de desempenho e utilização.
As implementações de nuvem soberana devem ser flexíveis ao permitir a conformidade com regulamentos e padrões de segurança para refletir a possibilidade de sobreposição de jurisdições, cada uma com seus próprios requisitos. Em alguns casos, um cliente pode ter necessidades particulares de controles regulatórios e credenciamentos específicos.
Para muitos ou a maioria dos clientes, uma conexão criptografada à Internet pública pode ser o melhor, mais acessível e compatível link de rede. No entanto, alguns clientes ou aplicações podem exigir regiões totalmente isoladas da Internet ou de outras redes.
Você não pode ter soberania de dados sem criptografia, e isso vale para dados armazenados em bancos, APIs e outros serviços que fornecem acesso a esses bancos de dados e aplicações, e também interfaces de usuário. A criptografia é um assunto complexo devido ao número e às versões dos algoritmos comumente usados, ao tamanho das chaves e às regulamentações relativas ao armazenamento e ao acesso às chaves de criptografia. Essa realidade é verdadeira quer a soberania dos dados seja habilitada dentro de um data center tradicional ou em uma nuvem soberana. Embora, no caso da nuvem, as questões sobre o armazenamento e o acesso às chaves de criptografia devam ser resolvidas de uma forma que atenda ao mesmo à conformidade e às necessidades comerciais.
Quando um provedor de serviços de nuvem gerencia as chaves, a chave mestra de criptografia é gerada pelo software de nuvem soberano; quando o cliente gerencia, a chave mestra de criptografia é armazenada em um 'cofre' seguro que o provedor não pode acessar. O módulo de segurança de hardware (HSM) que compreende esses cofres de chaves deve ser resistente e capaz de reagir se for atacado.
Os dados armazenados em um banco de dados ou documento – às vezes chamados de “dados em repouso” – devem ser criptografados por padrão. Isso inclui dados em bancos relacionais tradicionais, contêineres Docker/Kubernetes, bancos de dados de objetos, sistemas de arquivos, bancos de blocos e até mesmo registros de inicialização.
As informações que estão sendo transmitidas por uma rede – às vezes chamadas de “dados em trânsito” – devem usar protocolos atualizados em conformidade com padrões como Transport Layer Security (TLS) 1.2 ou posterior e certificados digitais X.509, no mínimo. As regulamentações locais podem exigir uma criptografia ainda mais rigorosa, como MACsec (IEEE 802.1AE) para redes Ethernet. Essa criptografia deve ser habilitada por padrão e nunca permitir a transmissão de dados em texto simples, sem formatação.
A soberania dos dados pode ter explodido à vista do público com a aprovação do Regulamento Geral de Proteção de Dados (GDPR) da UE em 2016, mas isso foi apenas o começo. Todos os anos, países de todo o mundo, bem como regiões como a União Europeia, revêem os seus requisitos de soberania de dados. Eles estão reforçando os padrões para eliminar ambiguidade, reduzir fraquezas, melhorar a confiança política e dos consumidores, proteger as empresas e responder a situações geopolíticas, como conflitos econômicos e militares, terrorismo e cibercrimes.
Aqui está uma previsão: as leis e regulamentações sobre soberania digital aumentarão em número e complexidade.
Aqui está outra: as penalidades financeiras e criminais por falhas em auditorias de conformidade ou violações que exponham dados protegidos ficarão ainda mais severas.
De acordo com a IDC, devido a recentes acontecimentos econômicos e geopolíticos, pelo menos 75% das empresas globais consideram que a soberania digital está aumentando em importância como uma preocupação corporativa e tecnológica. Melhorar e implementar medidas de privacidade é agora a principal prioridade das multinacionais.
Além disso, segundo a IDC, pelo menos metade das empresas gastará mais de 25% dos seus orçamentos totais na nuvem pública, com a utilização da infraestrutura como serviço (IaaS) em 56%. Isso está levando a um foco maior no componente de nuvem dos requisitos de soberania digital.
Os receios que impulsionam os fornecedores de nuvens soberanas, acrescentou a IDC, incluem a proteção dos dados dos clientes contra o acesso da administração e do pessoal de suporte, bem como a continuidade dos negócios e a conformidade com os regulamentos de recuperação de desastres.
Resiliência é claramente o fator principal.
No geral, a soberania da nuvem é um conceito relativamente novo; as organizações estão apenas começando a compreender todas as implicações que isso terá em suas estratégias de nuvem. Implementar uma nuvem soberana significa enfrentar os novos requisitos de TI em termos de infraestrutura, estratégia, estruturas de governança e habilidades. Como a nuvem soberana é uma implementação de longo prazo, as organizações estão se concentrando nos domínios e ambientes regulatórios que possuem as normas mais rigorosas, ao mesmo tempo que investem no monitoramento de novas legislações e mudanças nas regras do setor. Porque, uma vez que as regulamentações se tornem mais rígidas, elas nunca serão afrouxadas – é uma viagem só de ida.
Ao escolher um provedor de soluções em nuvem, procure o fornecedor que oferece a melhor solução geral e que também ajuda a atender aos seus requisitos de soberania digital. Idealmente, os serviços disponíveis na nuvem soberana serão os mesmos oferecidos na nuvem pública do fornecedor, com os mesmos acordos de nível de serviço (SLAs) para desempenho, gerenciamento e disponibilidade.
Idealmente, os serviços disponíveis na nuvem soberana serão os mesmos oferecidos na nuvem pública do fornecedor, com os mesmos acordos de nível de serviço (SLAs) para desempenho, gerenciamento e disponibilidade.
Um fator importante a considerar é se você pode optar por uma solução de um único fornecedor, que pertence e é operada por uma entidade legal aprovada dentro da região regulamentada. Joint ventures e parcerias podem levar a preocupações acerca de questões de suporte, complexidades de integração, lançamentos de produtos mais lentos e, em alguns casos, menos recursos disponíveis.
Um fornecedor deve oferecer soberania de dados como uma característica essencial da sua nuvem, e não como um pacote complementar ou subconjunto das suas ofertas públicas. Isso facilitará a implementação porque a nuvem soberana utiliza o mesmo hardware, software e serviços que a nuvem pública, apenas com maior controle de acesso e outras restrições de conformidade habilitadas.
A recuperação de desastres é fundamental para o planejamento e para as implementações de nuvem soberana; procure regiões de nuvem dentro da geografia que possam ser configuradas com recuperação e failover dentro da área de conformidade.
Um fornecedor de nuvem soberana também deve ter experiência para ajudar a navegar na complexa rede de regulamentações em constante mudança. O fornecedor e o cliente devem poder compartilhar a responsabilidade pela conformidade, incluindo credenciamentos, conforme necessário.
As soluções Oracle Cloud para soberania ajudam os clientes a atender às suas necessidades de computação em nuvem envolvendo dados e aplicações confidenciais, regulamentados ou de importância estratégica regional, bem como cargas de trabalho regidas por requisitos de soberania e privacidade de dados.
Oferecidas em um número cada vez maior de países e regiões ao redor do mundo, as soluções de nuvem soberana da Oracle fornecem serviços e recursos da Oracle Cloud Infrastructure (OCI) e ajudam os clientes a atender aos requisitos de soberania digital.
Por exemplo, com a Oracle EU Sovereign Cloud, os clientes podem usar os mesmos 100 serviços disponíveis nas regiões de nuvem pública da Oracle com os mesmos preços, suporte, cargas de trabalho e SLAs para desempenho, gerenciamento e disponibilidade que a oferta padrão da OCI, mas com uma infraestrutura fisicamente separada e seguranças adicionais para proteger os dados dos clientes de jurisdições fora da UE.
A Oracle EU Sovereign Cloud, disponível desde junho de 2023, está inteiramente localizada na União Europeia e tem suporte por pessoal baseado na UE, além de ser operada por entidades legais separadas incorporadas na UE. Além dos mais de 100 serviços de nuvem já oferecidos, aplicações Oracle, como o Oracle Fusion Cloud Applications Suite, também estarão disponíveis.
Projetada para residência e segurança de dados, a Oracle EU Sovereign Cloud está alojada em um espaço de data center fisicamente isolado e não possui conexão de rede de backbone com outras regiões de nuvem da Oracle. O acesso do cliente à Oracle EU Sovereign Cloud é gerenciado separadamente do acesso às regiões comerciais da Oracle Cloud.
Além disso, a Oracle Cloud foi projetada para oferecer alta disponibilidade em cada região de nuvem para dar suporte à recuperação de desastres dentro das fronteiras nacionais ou regionais. Por exemplo, a Oracle tem regiões de nuvem governamentais duplas e de nuvem comercial no País de Gales. As soluções de nuvem soberana da Oracle oferecem às organizações operações, suporte e políticas distintas das regiões de nuvem comercial para agilizar e simplificar a conformidade com as diretrizes e os requisitos de privacidade e soberania de dados, mesmo para clientes como aqueles na comunidade de inteligência ou na indústria geoespacial.
Para as organizações que precisam manter suas próprias chaves de criptografia ou que optam por fazê-lo por motivos comerciais, o novo OCI External Key Management Service já está disponível na Oracle Cloud. Com esse serviço, as chaves de criptografia sempre ficam sob a custódia do cliente e nunca são importadas para a OCI, permitindo que os clientes movam cargas de trabalho regulamentadas para a OCI e, ao mesmo tempo, cumpram o requisito de armazenar chaves fora da nuvem.
A Oracle fornece um conjunto amplo e consistente de serviços de infraestrutura em nuvem em 46 regiões de nuvem comerciais, soberanas e governamentais em 23 países para atender sua crescente base global de clientes. Em outubro de 2023, a Oracle operava 36 regiões comerciais, 2 regiões soberanas da UE e 8 regiões governamentais, além de várias regiões dedicadas e de segurança nacional.
Outra oferta da Oracle Cloud que pode ser usada para implementações de nuvem soberana é o Oracle Alloy, uma plataforma completa de infraestrutura que permite que os parceiros se tornem provedores de nuvem e ofereçam uma gama completa de serviços. Os parceiros podem operar o Oracle Alloy de forma independente em seus próprios data centers e controlar totalmente suas operações para melhor atender aos requisitos regulatórios de soberania digital.
Além disso, a Oracle Roving Edge Infrastructure estende o poder da nuvem para além do data center, permitindo que as organizações executem recursos de nuvem selecionados em ambientes remotos e austeros.
Redes governamentais e cargas de trabalho altamente restritas podem exigir credenciamento de clientes e requisitos de conformidade que superam os de regiões soberanas de nuvem conectadas à Internet. Nesses casos, as Oracle National Security Regions oferecem proteção adicional, incluindo:
A IDC define “soberania” como a capacidade de autodeterminação digital por parte de países, empresas ou indivíduos. As nuvens soberanas permitem que as organizações usem a computação em nuvem enquanto atendem às rigorosas demandas de suas regulamentações nacionais, regionais e industriais de soberania de dados. Com uma nuvem soberana, as organizações podem controlar a localização, a acessibilidade, as operações, o suporte, os requisitos regulamentares e até mesmo a conectividade à Internet da sua implementação.
Além de simplesmente manter dados pessoais privados, a soberania digital impacta controles técnicos e operacionais, políticas de segurança e até mesmo cadeias de fornecimento de tecnologia.
Gerencie o acesso aos seus dados e à infraestrutura subjacente, impondo limites e garantindo a disponibilidade e a portabilidade dos dados para aqueles que você autoriza.
O que é soberania de dados?
Os governos aprovam continuamente leis e regulamentos sobre como e onde as informações digitais críticas devem ser armazenadas e quem tem permissão para acessá-las. A soberania dos dados abrange a conformidade com essas leis e regulamentos por parte de organizações e indivíduos.
O que é uma nuvem soberana?
Uma nuvem soberana é um ambiente de computação que ajuda o cliente a garantir que todas as informações digitais – incluindo dados e software armazenados, bem como dados em trânsito pelas redes – estejam em conformidade com as leis e os regulamentos de soberania de dados.
Qual é um exemplo de lei de soberania de dados?
O Regulamento Geral de Proteção de Dados (GDPR), promulgado pela União Europeia em 2016, possui requisitos abrangentes para organizações que coletam e processam informações pessoais de indivíduos na UE.
Quem pode acessar informações em uma nuvem soberana?
As leis de soberania de dados podem restringir o acesso a dados de software, serviços e usuários dentro de uma geografia específica, a empresas de propriedade local ou àquelas que tenham autorizações de segurança específicas ou outras permissões.
As nuvens soberanas estão conectadas à Internet?
Para muitos usuários, as nuvens soberanas estão conectadas à Internet por meio de links criptografados com fortes controles de acesso. No entanto, para alguns usuários governamentais e aplicações altamente seguras, a nuvem soberana pode estar isolada e totalmente desconectada da Internet.
Os backups na nuvem e os cenários de recuperação de desastres estão sujeitos às regras da soberania de dados?
Sim. Sites de backup e recuperação de desastres devem estar em total conformidade com as regras de soberania de dados; para a soberania da nuvem, isso significa que as regiões da nuvem secundária devem estar dentro da mesma geografia ou domínio regulatório.
Por que a localização é importante para a soberania da nuvem?
Ter a capacidade de escolher as regiões geográficas onde seus dados são armazenados é importante para as organizações que precisam manter o controle sobre os suas informações para cumprir as leis e os regulamentos de soberania.