Início
Think
Tópicos
Soberania de dados
Publicado: 3 de junho de 2024
Com a contribuição de: Mesh Flinders, Ian Smalley
Soberania de dados é o conceito de que os dados estão sujeitos às leis do país ou região onde foram gerados.
Às vezes chamada de residência de dados, a soberania de dados está rapidamente se tornando uma parte central das estratégias legais, de privacidade, segurança e governança para empresas que lidam com o armazenamento, processamento e transferência de dados.Ter uma abordagem robusta para a gestão de dados e fluxos internacionais de dados — um componente-chave da soberania de dados — ajuda as organizações a proteger suas informações mais sensíveis de ataques cibernéticos e outras ameaças.
Soberania de dados, residência e localização são termos intimamente relacionados. Na verdade, a soberania de dados e a residência estão tão relacionadas que às vezes são usadas de forma intercambiável. No entanto, há algumas diferenças importantes que as organizações que buscam usar recursos de computação em nuvem como parte de sua jornada de transformação digital devem entender.
Soberania de dados: dados armazenados e processados no país onde foram gerados.
Residência de dados: dados que estão sendo armazenados em um país diferente daquele onde foram gerados.
Localização de dados: o ato de cumprir todas as leis e requisitos aplicáveis relacionados à residência de dados.
A soberania de dados, a residência e a localização são partes críticas de um conceito conhecido como nuvem soberana, um tipo de computação em nuvem que ajuda as organizações a cumprir as leis de privacidade de regiões e países específicos onde coletam, processam e armazenam dados de clientes.
À medida que o armazenamento em nuvem continua a se espalhar pelo mundo, os limites geográficos tradicionais, como fronteiras, não são suficientes para proteger dados confidenciais. Além disso, o surgimento de tecnologias de computação intensiva de dados, como inteligência artificial (IA) e aprendizado de máquina (ML), que dependem de acesso rápido e seguro aos dados, está forçando as empresas a tomar decisões mais estratégicas sobre segurança na nuvem. A IA, especificamente a IA generativa, tem o potencial de alimentar inovações de negócios valiosas, mas precisa de uma infraestrutura de nuvem rápida e segura para funcionar.
Entra em cena a nuvem soberana, um conceito que abrange a soberania de dados, a soberania operacional e a soberania digital. As estruturas de nuvem soberana ajudam as empresas a construir confiança com o cliente e expandir seus negócios, enquanto cumprem as leis de coleta de dados, armazenamento de dados e privacidade de dados nas regiões onde operam.
O relatório Leadership Compass da empresa de análise de dados KuppingerCole fornece uma visão geral do mercado de plataformas de segurança de dados.
A importância da soberania dos dados está intimamente relacionada à crescente importância dos ambientes de computação em nuvem nas estratégias gerais de crescimento de muitas organizações.
À medida que mais aplicações corporativas migram para a nuvem, um ambiente de nuvem se torna uma infraestrutura crítica, tão importante para a saúde de uma empresa quanto uma fábrica, um prédio de escritórios ou uma propriedade intelectual valiosa.
Os requisitos de soberania de dados geralmente envolvem as normas de privacidade de dados em um país ou região específica. As principais preocupações das organizações que buscam cumprir as leis locais geralmente incluem cibersegurança segurança e privacidade de dados, proteção de dados confidenciais contra violações e malware e controle de quais indivíduos, entidades e aplicações podem acessar os dados.
Por exemplo, a União Europeia (UE) tem um Regulamento Geral de Proteção de Dados (RGPD) que exige que as empresas que operam dentro do território da UE e lidam com os dados dos cidadãos da UE contratem alguém conhecido como Diretor de Proteção de Dados (DPO) para garantir que as organizações mantenham rigorosamente a confidencialidade, integridade e acessibilidade dos dados que geram, processam e armazenam.
A soberania dos dados é determinada pelas leis e regulamentações específicas que regem a região ou o país onde os dados foram gerados.
Essas leis variam de território para território, mas normalmente, quando se diz que um país tem "soberania sobre" um dado, isso significa que ele detém jurisdição e autoridade sobre como esses dados podem ser usados e quem pode acessá-los. No entanto, frequentemente, os dados estão sujeitos às leis de mais de um país (residência de dados e localização de dados) e sua governança, armazenamento e processamento se tornam mais complicados.
Nos casos em que os dados são gerados em um país ou região, mas armazenados e/ou processados em outro lugar, a organização responsável pelos dados deve garantir que siga todos os requisitos legais para lidar com conjuntos de dados em ambos os locais. Por exemplo, as empresas podem achar necessário gerar acordos específicos de proteção de dados ou projetar e implementar protocolos específicos de transferência de dados para manter a conformidade e evitar possíveis conflitos em um ou vários territórios. Além disso, organizações que armazenam e processam dados em várias regiões ou países devem ter conhecimento sobre quaisquer leis de proteção de dados relevantes, restrições internacionais ou outras preocupações necessárias para manter a privacidade e a integridade dos dados.
Para ser eficaz, a abordagem de uma organização à soberania dos dados também deve incluir dois outros componentes críticos: soberania operacional e digital. Juntos, os dados, a soberania operacional e digital são os três componentes mais críticos da infraestrutura de nuvem soberana. A soberania operacional garante que a infraestrutura crítica esteja sempre disponível para indivíduos, entidades e aplicativos que precisam dela, enquanto a soberania digital garante que uma organização esteja sempre no controle de seus ativos digitais. Vamos analisar mais de perto ambos os termos e por que eles são importantes.
Soberania operacional
A soberania operacional garante que a infraestrutura crítica associada a aplicações ricas em dados esteja sempre ativa e acessível. Além disso, a soberania operacional ajuda as empresas a manter a transparência e o controle sobre seus processos operacionais e detectar ineficiências.
Com uma abordagem sólida para a soberania operacional, mesmo que uma determinada região seja afetada por um desastre, uma empresa pode garantir que sua infraestrutura crítica seja resiliente. Para esse fim, muitas abordagens de soberania operacional incluem um plano de recuperação de desastres de continuidade de negócios (BCDR) ou recuperação de desastres como serviço (DRaaS). Por fim, a soberania operacional ajuda as empresas a cumprir os regulamentos locais que regem a infraestrutura necessária para oferecer suporte a ambientes de nuvem em uma determinada região.
Soberania digital
A soberania digital descreve o nível de controle de uma organização sobre seus recursos digitais, como dados, softwares, conteúdo e infraestrutura digital. A soberania digital é importante para o conceito de nuvem soberana, principalmente no contexto de governança e transparência. As empresas que usam o controle de acesso sobre seus recursos digitais precisam definir regras sobre quem tem permissões e quem é restrito. Essas regras precisam ser configuradas de uma forma que sejam facilmente aplicáveis, como políticas como código, um processo que permite que as organizações gerenciem sua infraestrutura e seus procedimentos de maneira repetível.
Transparência, outro aspecto importante da soberania digital, refere-se à capacidade de uma organização aferir seus processos e resultados. A transparência permite que as organizações vejam nos seus fluxos de trabalho operacionais mais importantes o que está funcionando e o que precisa ser modificado.
De modo geral, as organizações que buscam adotar uma abordagem de nuvem soberana para a soberania dos dados em um ambiente de computação em nuvem têm duas opções para escolher: nuvem pública ou nuvem distribuída. Na maioria dos países, as implementações de nuvem pública e multinuvem ajudam as organizações a implementar suas cargas de trabalho na nuvem e, ao mesmo tempo, manter o controle sobre seus dados em uma região específica. Uma arquitetura de nuvem pública típica inclui uma camada de nuvem de plataforma, como uma plataforma de nuvem híbrida, que proporciona uma implementação de nuvem estável e consistente.
A segunda opção é o modelo de implementação em nuvem distribuída, como um provedor de infraestrutura local ou data center. Estas são atraentes para empresas que requerem mais controle sobre seus dados. Essencialmente, um modelo de implementação de nuvem distribuída oferece a capacidade de implementar cargas de trabalho e plataformas em qualquer infraestrutura escolhida.
Para começar a implementar uma abordagem eficaz à soberania dos dados, as organizações devem seguir as seguintes etapas:
Empresas que desejam desenvolver recursos de dados locais ou baseados na nuvem em mais de uma região ou país devem primeiro se informar sobre as leis e regulamentações que regem a soberania dos dados nesses territórios.
É importante entrar em contato com as agências encarregadas de aplicar as leis de soberania de dados nos países ou regiões com os quais você deseja fazer negócios. Comunique seus planos em relação ao armazenamento, processamento e transferência de dados para garantir que você esteja em conformidade com as leis que eles têm a responsabilidade de cumprir.
As leis de conformidade em muitas regiões onde a computação em nuvem é popular podem mudar rapidamente. É sempre uma boa ideia ter alguém no país ou região que você está armazenando e processando dados que seja especialista nos contratos regulatórios de territórios. Os provedores de serviços de nuvem (CSPs) que operam em um território já devem ter acordos em vigor com as autoridades locais.
À medida que cidadãos e órgãos reguladores em todo o mundo continuam a expressar preocupações sobre a soberania de dados, as abordagens de nuvem soberana estão ajudando as empresas a garantir a integridade de seus dados, independentemente de onde eles são armazenados e processados.
Nos próximos anos, a forma como as organizações coletam, protegem, armazenam e controlam o acesso aos dados terá enormes implicações para o crescimento e a segurança, especialmente se estiverem buscando explorar novas tecnologias com muitos dados, como IA e ML. A soberania dos dados está no centro dessas preocupações. Portanto, escolher um provedor de nuvem que tenha um profundo entendimento dela ajudará as empresas a implementar uma forte abordagem de nuvem soberana e alcançar seus objetivos de transformação digital. Parceiros em regiões e países onde as empresas buscam estabelecer um ambiente de nuvem devem ter estratégias para mitigar riscos comuns, como ataques cibernéticos, desastres naturais e downtime.
Por fim, as empresas que desejam criar uma abordagem sólida para a soberania dos dados e a nuvem soberana devem garantir que seu provedor de nuvem tenha uma estratégia geral sólida de nuvem que se alinhe às leis dos países ou regiões em que operam. Aqui estão algumas das características mais importantes que as empresas devem buscar ao considerar os CSPs e outros possíveis parceiros para ajudar a construir uma abordagem sólida em relação à soberania dos dados.
Recursos de governança de dados: a abordagem de um CSP em relação à governança de dados mostra que eles têm as políticas e os procedimentos certos para lidar com dados confidenciais com sucesso e aplicar as restrições necessárias a eles. Também devem realizar auditorias regulares, demonstrando que as diretrizes implementadas estão sendo seguidas.
Acordos de nível de serviço (SLAs): quando se trata de criar um SLA em torno da soberania de dados em um ambiente de nuvem soberana, as três áreas mais importantes que o SLA deve abranger são controle (cloud management), disponibilidade e desempenho.
Conformidade: Os CSPs e outros parceiros que ajudam as empresas a cumprir os requisitos de soberania de dados devem ter um alto nível de especialização em todas as leis de dados nas regiões em que operam. O ideal é que as empresas e seus CSPs compartilhem a responsabilidade de se manterem atualizados com as novas regulamentações e desenvolverem estratégias para lidar com elas.
Criptografia de dados: é fundamental que os CSPs no espaço de nuvem soberana tenham recursos robustos de criptografia de dados, como chaves criptográficas, para garantir que possam manter os dados confidenciais seguros e acessíveis. Chaves criptográficas alteram os dados para um algoritmo de criptografia que só pode ser descriptografado por alguém que tenha as permissões corretas (chave.) Isso dá às empresas total garantia técnica e controle sobre quem pode acessar seus dados e quando.
Resiliência: uma abordagem sólida para a soberania dos dados e ambientes de nuvem soberana deve incluir fortes funcionalidades de resiliência. As empresas devem considerar apenas CSPs com histórico comprovado de suporte a clientes na resiliência e recuperação em países ou regiões relevantes. No que se refere a um ambiente de nuvem soberana, todas as implementações de nuvem devem ter capacidades integradas de recuperação e failover adaptadas a cada área de conformidade específica em que os dados estão sendo armazenados.
O IBM Cloud Hyper Protect Crypto Services é uma solução de gerenciamento de chaves e criptografia como serviço (aaS), que proporciona a você controle total sobre suas chaves de criptografia para proteção de dados.
Execute com mais tranquilidade com opções de implementação para cada carga de trabalho. A rede IBM é resiliente, redundante e altamente disponível.
Lide com a segurança unificada, a conformidade e a visibilidade de riscos em ambientes de multinuvem híbrida.
Saiba mais sobre a nuvem híbrida, um framework de nuvem que combina e unifica a nuvem pública, a nuvem privada e a infraestrutura no local para criar uma infraestrutura de TI única, flexível e com custo-benefício otimizado.
Veja como os rápidos avanços em computação em nuvem, gerenciamento de dados e IA estão tornando a nuvem híbrida fundamental para a infraestrutura de TI de próxima geração.
Descubra como a arquitetura de nuvem híbrida, um ambiente que combina configurações locais, de nuvem privada, pública e edge, pode ajudar as empresas a criarem uma infraestrutura de TI gerenciada, única e flexível.
Saiba mais sobre a soberania dos dados. À medida que o mundo continua se tornando um ecossistema globalmente conectado, a fluidez dos dados gerou discussões nacionais e internacionais sobre noções de dados e soberania digital.
Saiba mais sobre a governança de dados, uma série de processos que promove a disponibilidade, qualidade e segurança dos dados de uma organização por meio de diferentes políticas e padrões.
Este webinar tem como objetivo orientar as organizações sobre as complexidades da residência de dados e equipá-las com insights práticos para atender às demandas regulatórias de forma eficaz.