Regra para a Contratação ou Assinatura de Serviços em Nuvem

A abrangência e facilidade de uso dos serviços em nuvem faz com que seu uso seja cada vez mais disseminado para os fins administrativos e acadêmicos.

Do ponto de vista da segurança da informação, esta utilização se faz em um modelo de responsabilidades compartilhadas entre o cliente e o provedor do serviço, com a necessidade da aplicação dos controles apropriados de cada parte.

Desta forma, para que uma área faça uso dos serviços em nuvem dentro dos requisitos de segurança da informação do Instituto Mauá de Tecnologia (IMT), devem ser seguidas as diretrizes apresentadas neste documento.

O superior hierárquico da área demandante do serviço em nuvem é o responsável pelo atendimento das diretrizes.

• O serviço deve estar em conformidade com a Lei Geral de Proteção de Dados ou com um processo de adequação comprovadamente em andamento;

• Os servidores utilizados pelo provedor para prestar o serviço deverão estar em países que tenham leis de proteção de dados equivalentes à LGPD;

• O provedor do serviço deve fornecer evidências sobre a adequação e as certificações de segurança pertinentes;

• O uso do serviço não pode conflitar com a política de segurança da informação e privacidade do IMT;

• A contratação deve contar com linha orçamentária definida e verba aprovada para o custeio do serviço;

• Homologação do provedor pela Gerência da Tecnologia da Informação (GTI) e pelo DPO IMT.

O contrato de prestação de serviços deve prever cláusulas que definam o nível de segurança da informação prestado pelo provedor e esclareça o que é de responsabilidade do cliente (IMT):

• Nível de disponibilidade do serviço e, quando for um requisito crítico para o IMT, a performance ou tempo de resposta esperados;

• Controles de segurança da informação implementados pelo provedor ou certificações que demonstrem seu nível de segurança;

• Recursos disponibilizados no serviço em nuvem ou configurações opcionais adicionais para a aplicação de controles de segurança da informação pelo IMT;

• Responsabilidades pelo controle de usuários e monitoração do uso dos serviços, incluindo interfaces disponibilizadas para acesso aos registros e trilhas de auditoria;

• Responsabilidades pelo backup, periodicidade e tempo de retenção;

• Responsabilidades pela proteção de dados pessoais, incluindo os recursos e canais disponíveis para atendimento aos direitos dos titulares;

• Responsabilidades pela retenção legal de dados pessoais e pelo seu descarte ao final desse período;

• Previsão de descarte ou anonimização dos dados ao final do contrato de prestação de serviços;

• Definição de quem ficará com a responsabilidade pelo suporte ao usuário final do serviço no IMT e, no caso desta ser do provedor, quais os canais e tempos de atendimentos aplicáveis;

• Regras para o tratamento de incidentes de segurança da informação no serviço ou que estejam relacionados com o seu uso (como acionar a equipe de segurança da informação do provedor e os tempos de atendimento);

• Indicação do ENCARREGADO do provedor;

• Previsão da realização de auditorias de segurança da informação pelo IMT nas instalações do provedor e nos recursos utilizados por ele para a prestação do serviço contratado;

• Documentação ou treinamentos disponibilizados para a equipe do IMT sobre o uso dos serviços em nuvem.

O uso de serviços em nuvem gratuitos, contratado diretamente pelos usuários, para fins administrativos ou acadêmicos do IMT, além das diretrizes definidas acima, está permitido apenas quando:

• Não for utilizado para atividades críticas (que não possam ser descontinuadas sem impactos para o IMT) e nem para o tratamento de informações confidenciais ou restritas;

• Não existir um serviço equivalente disponibilizado ou homologado pela GTI;
• Seguir as recomendações de uso dadas pela GTI e pelo DPO IMT na sua homologação.

• Os processos de tratamento de dados pessoais feitos no IMT por meio do serviço em nuvem seguirão sempre a política de privacidade e as orientações do DPO IMT;

• Sempre que o serviço em nuvem for contratado para administração direta de uma área do IMT que não seja GTI, seu gestor ficará responsável pelo uso feito do serviço e pela aplicação das medidas de controle de segurança da informação e privacidade acordadas no contrato;

• Se a contratação do serviço for feita por intermédio da GTI, está área manterá o usuário MASTER do serviço e será responsável pelos controles de segurança da informação acordados no contrato;

• Incidentes de segurança da informação com o serviço serão tratados por GTI de acordo com as regras do IMT.