Embora a Covid-19 tenha feito com que as organizações mudassem para plataformas de nuvem quase da noite para o dia para ajudá-las a permanecerem operacionais enquanto suas forças de trabalho estão operando remotamente, muitas não estão atualizadas com o que isso significa em termos de seus dados. Isso é particularmente verdadeiro agora que a Lei de Proteção de Informações Pessoais(POPI) entrou em vigor.
Provedores de nuvem e a Lei POPI
Embora os provedores de nuvem e terceiros (como provedores de serviços gerenciados) sejam obrigados a proteger todos os dados pessoais que manipulam, processam ou armazenam, quando se trata de garantir a segurança de suas informações, o ônus é da organização que os contratou.
Em primeiro lugar, os provedores de nuvem precisam garantir que os dados sejam armazenados dentro das fronteiras da África do Sul. De fato, se algum dado for armazenado fora do país, eles devem buscar orientação jurídica e obter o consentimento total dos proprietários dos dados para garantir que todos os clientes afetados estejam cientes disso.
Além disso, qualquer pessoa que esteja armazenando dados fora da África do Sul deve certificar-se de que eles estejam sendo armazenados em um território que tenha uma regulamentação semelhante ou mais forte do que a POPIA. Em última análise, a responsabilidade pelos dados recai sobre o cliente para garantir que seus dados estejam seguros e protegidos. Ele precisa entender onde seus dados estão sendo armazenados e, se ainda não tiver sido contatado pelo provedor de nuvem, deve tomar a iniciativa e entrar em contato com ele.
Como em qualquer outra empresa, os próprios provedores de nuvem precisam estar em conformidade com a POPIA. Eles precisam entender seus processos, por exemplo, como estão armazenando dados, e garantir que não estão processando dados que não deveriam. Eles podem se preparar e preparar seus clientes entendendo completamente os requisitos da lei em termos do que é exigido deles, bem como o que seus clientes precisam fazer.
Todos os provedores de nuvem que hospedam dados precisam garantir que os dados sejam armazenados de forma segura e que não possam ser facilmente violados por um invasor.
Referindo-se às seções 21(1) e (2) da Lei, ela especifica: "Uma parte responsável deve, nos termos de um contrato por escrito entre a parte responsável e a operadora, garantir que a operadora, que processa informações pessoais para a parte responsável, estabeleça e mantenha as medidas de segurança mencionadas na Seção 19. A operadora deve notificar a parte responsável imediatamente quando houver motivos razoáveis para acreditar que as informações pessoais de um titular de dados tenham sido acessadas ou adquiridas por qualquer pessoa não autorizada."
Tenha em mente que os provedores de nuvem precisam garantir que haja clareza em termos do que é esperado de cada parte. Estando preparados, eles podem ajudar os clientes a se prepararem. Em última análise, a proteção de dados na nuvem é uma via de mão dupla. O provedor de nuvem é responsável por garantir que os dados sejam armazenados corretamente, que somente as pessoas autorizadas tenham acesso a eles, que os dados tenham backup completo e que o serviço seja ininterrupto.
O dever do cliente
O cliente deve garantir que suas redes sejam seguras e que todos os dispositivos usados para acessar suas informações também o sejam. É um modelo de responsabilidade compartilhada. Os provedores de nuvem já deveriam ter informado seus clientes que a POPIA está em vigor, mas, no final das contas, cabe ao cliente garantir que seus próprios processos estejam em conformidade com a POPIA.
Os provedores de nuvem precisam se manter atualizados com o que o órgão regulador de informações tem a dizer e ficar atentos a quaisquer atualizações. À medida que o processo POPIA é aperfeiçoado, é provável que haja anúncios e alterações que acabarão afetando todas as organizações. Consulte o site do órgão regulador diariamente, siga as diretrizes que forem emitidas e faça as alterações imediatamente.
Isso não apenas ajudará os provedores de nuvem a proteger seus clientes, mas também ajudará a proteger o provedor de qualquer dano à reputação que possa resultar de um possível vazamento de dados. É um equívoco comum entre as organizações sul-africanas quando terceirizam para um provedor terceirizado: que qualquer risco relacionado a uma violação de dados seja transferido para esse provedor de serviços, mas esse não é o caso. A Lei POPI estipula que a principal responsabilidade pela proteção de dados é da própria empresa.