Hiscox global technology news

Tamanho: px
Começar a partir da página:

Download "Hiscox global technology news"

Transcrição

1 Hiscox global technology news CLOUD COMPUTING INSIDE VIOLAÇÃO DE DADOS NA CLOUD QUESTÕES DE TRANSFERÊNCIA E AGREGAÇÃO DE RISCOS NA CLOUD EVENTOS RELEVANTES E PREJUÍZOS SEGURÁVEIS NA CLOUD 1ª Edição Primavera

2 ÍNDICE 01: VIOLAÇÃO DE DADOS NA CLOUD 02: QUESTÕES DE TRANSFERÊNCIA E AGREGAÇÃO DE RISCOS NA CLOUD 03: EVENTOS RELEVANTES E PREJUÍZOS SEGURÁVEIS NA CLOUD 2

3 Introdução Bem-vindo à primeira edição da Hiscox Global Technology News. Quando decidimos publicar uma newsletter regular, queríamos atrair alguns dos melhores especialistas em tópicos chave que afectam o sector das Tecnologias de Informação; tópicos do interesse de empresas e utilizadores de tecnologia e de consultores. Todos os trimestres, a Hiscox Global Technology News solicitará a especialistas do mundo inteiro que apresentem ideias inovadoras sobre tópicos técnico-jurídicos actuais de interesse para um público generalizado. Qual o melhor tópico para iniciar do que falar de cloud computing (computação em nuvem)? Muita coisa foi escrita sobre este tópico recentemente, grande parte a tentar definir o que é cloud computing. Na realidade, é um conceito relativamente simples, que provavelmente tornou-se mais complexo do que devia ser. Deixando de lado esse debate específico, há grandes benefícios e sérios riscos associados com a cloud e ainda não foi encontrado o equilíbrio óptimo para os riscos entre fornecedor de serviços cloud e os seus clientes. É esta dinâmica dos riscos existentes entre o cliente e o fornecedor de serviços cloud e como as partes respondem a isso que inspirou esta primeira edição da Hiscox Global Technology News. Focamos três áreas de interesse: 01: Violação de dados na cloud, 02: Questões de transferência e agregação de riscos na cloud e 03: Eventos relevantes e prejuízos seguráveis na cloud. Contámos nesta edição com o apoio da nossa rede global de advogados especializados em tecnologia e as suas contribuições versam sobre as questões mais amplas associadas ao tema desta edição, assim como sobre o impacto dessas questões nas leis locais. Os nossos especialistas são dos E.U.A., Alemanha e Reino Unido. Agradecemos-lhes pela sua preciosa e contribuição. Boa leitura. Vitor Vieira 3

4 CLOUD COMPUTING 01: Violação de dados na cloud David Navetta, Esq., CIPP Partner, InfoLawGroup LLP No início de 2011 é mais que óbvio que cloud computing não é uma moda passageira, mas sim um modelo de computação que se está a tornar ubíquo. Cloud computing oferece aos seus utilizadores uma grande quantidade de vantagens incluindo maior eficiência, escalabilidade instantânea e optimização de custos. Contudo, estas vantagens são contrabalançadas com a perda de controlo das organizações sobre as suas operações informáticas quando dependem de um fornecedor cloud para a operacionalização de processos chave. As questões que surgem desta perda de controlo tornam-se mais relevantes quando pensamos em violação de dados e maior nível de responsabilidades na cloud. A operacionalização de infra-estruturas informáticas está sempre sujeita a riscos específicos 4

5 01: VIOLAÇÃO DE DADOS NA CLOUD 5

6 CLOUD COMPUTING Os desafios da violação de dados na cloud Quando um cliente aceita colocar os seus dados sensíveis na cloud, ele está totalmente dependente dos processos de segurança e mecanismos de resposta a incidentes do fornecedor de serviços para responder a uma situação de violação de dados. Esta questão levanta muitos problemas fundamentais. Os interesses de quem vêm em primeiro lugar? Quando uma organização sofre uma violação dos seus dados ou propriedade intelectual, é claro que esta organização vai investigar e gerir o incidente de acordo com os seus próprios interesses como prioridade. Ela tem controlo total sobre os seus sistemas e sobre os dados residentes neles e pode tomar decisões que protejam os seus interesses de uma perspectiva comercial e de responsabilidade. Na cloud este cenário muda. Se um fornecedor de serviços cloud sofrer qualquer forma de ataque que exponha os dados particulares dos seus clientes, os seus interesses poderão não ser (e provavelmente com muita frequência não são) os mesmos dos seus clientes. Considerando que o fornecedor de serviços enfrenta potenciais responsabilidades, a sua forma de lidar com uma situação de violação de dados visará a protecção dos seus próprios interesses. Ceder o controlo da gestão e processamento de dados é uma decisão muito séria. Os clientes de cloud computing podem não ter o controlo ou acesso aos sistemas que normalmente teriam nas suas próprias organizações, a fim de investigar, reunir provas e remediar a violação de dados. Os fornecedores de serviço cloud podem tender a ocultar certas informações dos seus clientes para se protegerem. Além disso, já que com a crescente utilização, muitas clouds servem múltiplos clientes nos mesmos computadores ou redes, os fornecedores podem favorecer os interesses de alguns clientes sobre os de outros. Um cliente grande, importante e lucrativo pode receber um tratamento mais favorável que clientes mais pequenos no caso de uma violação da segurança. Planeamento de resposta a incidentes na cloud Um outro desafio significativo relacionado com a violação de dados na cloud é o próprio procedimento de resposta ao incidente por parte do fornecedor. Antes de entrarem na cloud, os clientes devem investigar os procedimentos de resposta a incidentes do seu fornecedor de serviços cloud, de forma a compreenderem como serão geridas situações de violações de dados. O que constitui uma violação de dados? Que métodos e tecnologia são utilizados para impedir e detectar uma violação da segurança? Como as violações são investigadas pelo fornecedor de serviços e quais os critérios que determinam que violações são escaladas para níveis superiores de resolução, a fim de serem geridas de uma forma apropriada para o risco que apresentam? As empresas que realizarem esta análise devem estudar as suas próprias políticas internas e compará-las com as do fornecedor cloud para assegurar que são semelhantes. Além disso, é crucial que as políticas de resposta a incidentes do fornecedor cloud e do 6

7 01: VIOLAÇÃO DE DADOS NA CLOUD cliente se assemelhem o mais possível. As medidas de resposta a incidentes do fornecedor cloud devem integrar-se totalmente nos pontos chave definidos pelo cliente, de forma que o cliente receba a informação que necessita para iniciar os seus próprios procedimentos de resposta a incidentes (na realidade, se o plano de resposta a incidentes do cliente for bom, levará em conta a coordenação e cooperação do fornecedor de serviços cloud.). Pericias e e-discovery na cloud. Um terceiro desafio relaciona-se com a capacidade do cliente de ordenar uma investigação pericial quando o seu fornecedor cloud sofre uma violação de dados. Se ocorrer uma violação interna em um cliente, não é incomum esse cliente contratar peritos (ou utilizar recursos internos) para realizar uma investigação da violação dos dados. Os objectivos de uma investigação pericial podem variar, mas frequentemente incluem analisar a fonte da violação e eliminar os agentes da mesma, identificar quais os dados que podem ter sido comprometidos e medir o âmbito da exposição da organização e pesquisar, recolher e preservar informações que possam ser relevantes como meios de prova numa eventual acção judicial. A informação obtida através de uma investigação pericial é extremamente importante em muitas situações de violação de dados. Por exemplo, pode ser necessária uma avaliação pericial para uma empresa avaliar (ou limitar) as suas obrigações de notificação em caso de violação de dados pessoais confidenciais. A informação inferida de uma avaliação pericial pode ser crucial para a defesa no âmbito de um processo judicial ou para instaurar um processo judicial contra outra parte. Se tiverem sido violados dados relativos a números de cartões bancários, pode ser exigido que um cliente permita que um Qualified Incident Response Assessor (QIRA) (seleccionado pelo VISA ou Mastercard) realize uma perícia aos sistemas violados. O não cumprimento desta exigência pode resultar no pagamento de multas e penalidades e na suspensão de aceitação de cartões como meios de pagamento. Além disso, o facto de uma organização não conseguir preservar e efectuar o levantamento pericial de dados e informações que possam ser relevantes no âmbito de um processo judicial (por ex: para conseguir a suspensão de um processo) pode ser prejudicial para a capacidade de uma organização se defender em tribunal. As avaliações periciais normalmente exigem que os investigadores acedam fisicamente no local aos computadores violados, e as medidas necessárias para a obtenção de dados por métodos periciais podem interromper ou dificultar a utilização dos sistemas. Num contexto de cloud computing, o fornecedor cloud pode não permitir que os seus clientes acedam (física ou remotamente) aos seus servidores ou realizem de outra forma um exame pericial dos seus sistemas após uma violação de 7

8 CLOUD COMPUTING dados. Alguns fornecedores cloud são peremptórios ao não permitir a realização de exames periciais aos seus servidores, alegando que estes são partilhados por diversas entidades, e que a análise pericial de dados desses servidores exporia a informação confidencial dos demais clientes (possivelmente em violação de um acordo de não divulgação ou outras obrigações legais de confidencialidade) ou afectaria a disponibilidade dos sistemas para os demais clientes. O risco potencial de diversos clientes simultaneamente exigirem realizar as suas próprias perícias, como consequência de uma violação de dados, é outra razão que justifica a não autorização de investigações periciais. Além disso, como indicado acima, um fornecedor cloud pode limitar a capacidade dos seus clientes de investigarem uma violação de dados, a fim de proteger os seus próprios interesses e limitar potenciais responsabilidades. Esta questão é de muito difícil resolução. O problema da multi-existência de mais de um fornecedor de cloud No contexto cloud, é frequente que o fornecedor de serviços contratado por uma entidade (o fornecedor directo ) não é o fornecedor cloud que na realidade vai processar, armazenar e transmitir os dados do cliente (o fornecedor terceiro ). O exemplo clássico é o fornecedor de SaaS (Software-as-a-Service), que aloja o seu software numa cloud que se pode designar de Infrastructure-as-a-Service. Nestas configurações especiais, o fornecedor terceiro que é o responsável último pelos dados pode não ter qualquer relacionamento contratual com o cliente de serviços cloud ( cliente cloud ) e este pode não ter nenhum direito sobre o anterior, numa situação de violação de dados. Não existindo essa relação entre fornecedor terceiro e cliente cloud, torna-se difícil todo o processo de investigação da capacidade de resposta a incidentes dos demais fornecedores cloud a jusante. Além disso, mesmo se o fornecedor directo tiver aceitado certos compromissos contratuais relativos a responsabilidades em caso de violações de dados, se este não tiver obtido os direitos correspondentes do fornecedor terceiro, o anterior pode não ser capaz de cumprir essas promessas. Finalmente, os problemas de conflito de interesses e de autorizações de acesso para realização de perícias (conforme mencionados acima) podem ser agravados ainda mais neste tipo de situações. Se já é difícil obter acesso a um fornecedor directo mesmo quando existe um contrato, então quando esse contrato não existe, esse acesso pode ser praticamente impossível. Resolução de violação de dados num contrato cloud Então o que pode fazer um potencial cliente cloud para resolver estas questões? Um contrato bem redigido pode ajudar? Obviamente, a resposta é sim: obter direitos contratuais que resolvam estas questões pode ser muito útil. Contudo, nunca é demais realçar, que as promessas feitas no papel devem ser reforçadas por um processo cuidadoso de devida diligência para assegurar que o fornecedor cloud pode realmente cumprir as promessas a que se está a vincular, relativas à violação de dados e resposta a incidentes. De certeza o cliente cloud não gostará de descobrir que o seu fornecedor cloud fez promessas vãs, no meio de um litígio a respeito de de violação de dados. Dito isto, os clientes cloud devem considerar antecipadamente negociar e incluir nos contratos as disposições a seguir descritas relativas a violações de dados na cloud: 8

9 01: VIOLAÇÃO DE DADOS NA CLOUD Procedimentos de resposta a incidentes. O cliente cloud deve procurar que o fornecedor cloud aceite o cumprimento de certos procedimentos. Estes procedimentos devem corresponder ou integrar-se com os procedimentos internos de resposta a incidentes do próprio cliente. Obrigações específicas de resposta a violação de dados podem incluir obrigações de: realizar investigações imediatas após uma violação de dados; atenuar e remediar uma violação de dados; garantir aviso imediato ao cliente (dentro de x horas); fornecer relatórios por escrito sobre o desenvolvimento da situação relativa à violação de dados; reter certas informações relevantes para uma investigação de violação de dados (incluindo registos de acesso, planeamentos, auditorias a sistemas, registos e relatórios); e documentar as providências correctivas. Obrigações de preservar dados. Se ocorrer uma violação de dados ou se um litígio parecer iminente, deve-se iniciar um procedimento de suspensão de serviço e preservar os dados relevantes. O contrato deve exigir que o fornecedor cloud inicie essa suspensão e proceda à preservação dos dados se estes eventos tiverem lugar. O cliente deve também procurar obter o direito de conduzir a sua própria investigação e ter o seu processo de preservação de dados em relação aos sistemas do fornecedor cloud. Direitos de avaliação pericial. O cliente cloud deve procurar obter o direito de realizar uma investigação pericial do fornecedor cloud se este sofrer uma violação de dados. Se isso não for possível, esta obrigação deve ser assumida pelo fornecedor cloud, com obrigações adicionais de fornecer relatórios e informação constantes sobre o desenvolvimento da violação de dados. Limitações relativas a fornecedores cloud terceiros. O contrato pode limitar o recurso a terceiros por parte de um fornecedor cloud directo para gestão de dados. Podem ser acrescentadas condições específicas para impedir que um fornecedor directo forneça dados a um fornecedor terceiro sem o consentimento prévio do cliente. Se forem utilizados fornecedores terceiros, o contrato deverá impor uma obrigação sobre o fornecedor directo de realizar uma investigação prévia para assegurar que o fornecedor terceiro pode cumprir com as obrigações acordadas pelo fornecedor directo. O cliente pode também exigir cláusulas contratuais que requeiram que o fornecedor cloud directo imponha obrigações contratuais sobre terceiros, que sejam idênticas ou semelhantes às que o fornecedor directo acordou com o cliente e que permitirão em caso de violação de dados, que o fornecedor directo cumpra com as suas próprias obrigações. Com a inclusão destes termos, o cliente cloud poderá ter maior controlo e maior capacidade de resposta a uma violação de dados sofrida por um fornecedor terceiro. Um cliente de serviços cloud não deseja descobrir que o seu fornecedor fez promessas vãs. 9

10 CLOUD COMPUTING Prejuízos por violação de dados. Em última análise, as condições mais importantes do contrato são as que estabelecem que parte será responsável pelos prejuízos causados se um fornecedor cloud sofrer uma quebra da segurança. Os clientes devem negociar condições de contrato que prevejam o pagamento de indemnizações pelo fornecedor cloud que efectivamente sofreu a quebra de segurança. Isto pode ser na forma de uma cláusula de indemnização que exija que o fornecedor indemnize o cliente por todas as reclamações e prejuízos decorrentes de uma violação da segurança dos dados. Podem ser acrescentadas cláusulas que exijam que o fornecedor cloud indemnize despesas adicionais relacionadas com notificações a terceiros da violação de dados, incluindo despesas jurídicas, despesas de expedição, de monitorização de créditos ou com a contratação de centros de atendimento. Os clientes deverão também analisar, e potencialmente alterar, cláusulas contratuais de limitação de responsabilidades e exoneração pelo pagamento de danos indirectos ou consequenciais. Estas cláusulas limitam a responsabilidade do fornecedor de serviços por violação ou quebra de contrato e os clientes cloud podem ao invés, pretender negociar cláusulas de responsabilidade ilimitada por violações de dados (ou pelo menos, com limites mais altos de responsabilidade por tais violações). De notar que as acções em caso de violações de dados ou quebras de serviço devem ser cuidadosamente articuladas com as compensações por uma violação de contrato, e que se um contrato não tiver cláusulas de responsabilidade significativas que imponham responsabilidades ao fornecedor, podem estar limitadas à partida a eficácia destas acções ou obrigações. 10

11 01: VIOLAÇÃO DE DADOS NA CLOUD Conclusão Entrar na cloud e ceder o controlo sobre a gestão e processamento de dados é uma decisão muito séria. As questões que surgem relativas à violação de dados ilustram os desafios que os clientes de cloud computing enfrentam quando as coisas correm mal no ambiente cloud. Antes de tomar uma decisão de trabalhar com um fornecedor de serviços cloud, é crucial que os clientes façam uma análise profunda dos riscos e, se esses riscos forem aceitáveis, é imprescindível controlá-los no contrato. As empresas que se lançam na cloud com base apenas no preço e cedem controlos significativos podem ver-se em sérios problemas quando ocorrerem eventos como violações de dados. 11

12 CLOUD COMPUTING 02: Questões de transferência e agregação de riscos na cloud Dr Carsten Schulz, Taylor Wessing, Hamburg Cloud computing refere-se a aplicações, hardware e serviços de software disponibilizados por fornecedores através da internet. Isto permite que os clientes usem apenas os recursos informáticos que realmente necessitam e possibilita o rápido ajustamento do âmbito destes serviços de acordo com os seus próprios requisitos e necessidades. Da perspectiva do cliente esta é uma mudança radical, pois configura a passagem de um modelo tradicional baseado numa infra-estrutura para um modelo assente na aquisição de serviços informáticos. Os recursos informáticos tornam-se disponíveis on-demand da mesma forma que a electricidade, água ou outras utilities. Esta mudança tem um impacto importante na avaliação e ponderação dos riscos informáticos. Os serviços informáticos disponibilizados na cloud vão desde o outsourcing dos principais processos empresariais centrais até serviços de consumo simples como webmail. Este artigo lida apenas com o primeiro tipo de serviços. 12

13 02: QUESTÕES DE TRANSFERÊNCIA E AGREGAÇÃO DE RISCOS NA CLOUD A operação de infra-estruturas informáticas está sempre sujeita a riscos específicos. O modelo de riscos tradicional Os riscos de operar infra-estruturas informáticas são bem conhecidos. Os riscos chave incluem: disponibilidade da infra-estrutura, dados e processos, integridade da infra-estrutura informática, confidencialidade e autenticidade dos dados e segurança das comunicações. Enquanto a infra-estrutura informática é operada internamente pela empresa, a análise e a gestão dos riscos (que inclui a identificação, redução, mitigação, protecção e contratação do seguro) continua a ser da competência única da empresa que utiliza os seus próprios recursos informáticos. A própria empresa gere estes riscos, normalmente celebrando acordos de manutenção e de licença com terceiros e por meio da contratação de um seguro de responsabilidade civil profissional. O modelo de riscos da cloud Quando os processos e recursos informáticos são obtidos na cloud como serviços, os riscos possíveis e toda a estrutura de riscos mudam consideravelmente. Os riscos específicos são reduzidos substancialmente. Os fornecedores de serviços cloud especializados são capazes de oferecer um serviço com alto nível de segurança informática, alternativas de continuidade do negócio e planos de contingência. Ao mesmo tempo, surgem outros riscos, decorrentes do processo de saída e de transição em caso de cancelamento do contrato de serviços cloud e do acesso aos dados e sistemas em caso de insolvência do fornecedor de serviços cloud (fornecedor cloud). 13

14 CLOUD COMPUTING Os mecanismos de gestão de riscos também mudam. Por exemplo, em vez de monitorização directa de empregados e da infra-estrutura, são acordados com o fornecedor níveis de serviço específicos, o que permite a avaliação e monitorização da qualidade do serviço. Estas mudanças fundamentais no risco são frequentemente negligenciadas pelos clientes ao migrarem para a cloud, embora sejam cruciais para a análise e avaliação de riscos, desenvolvimento de estratégias para evitar e mitigar esses riscos, assim como para definir os riscos restantes e determinar medidas eficazes de monitorização e controlo. Ao fornecer/adquirir serviços cloud, a identificação de riscos pode-se realizar a diferentes níveis, principalmente: através da própria concepção dos serviços (isto é, identificação das Isto pode resultar numa acumulação e agregação problemáticas de riscos para o fornecedor cloud, o que apresenta as suas próprias implicações de seguro para o fornecedor cloud áreas de influência e mecanismos de monitorização de riscos existentes). Por exemplo: analisando o nível de abstracção no qual os serviços são fornecidos/adquiridos (infrastructure as a service; platform as a service; software as a service); através da atribuição estatutária de riscos (particularmente impondo cláusulas de responsabilidade estatutária); e através de acordos contratuais, sendo um ponto chave para corrigir e ajustar a distribuição factual e estatutária dos riscos. Contratos cloud Os serviços cloud são frequentemente padronizados até uma certa medida; por motivos de natureza técnica (utilização da mesma plataforma/infra-estrutura) e também com a intenção de se obterem níveis de prestação de serviços mais eficientes e baixar os custos das transacções. A base dessa relação está frequentemente espelhada em contratos padronizados (ou pelo menos documentos legais padronizados para aspectos de serviço, suporte, manutenção e termos da licença) que definem os termos do tipo de serviços, nível de serviços, disponibilidade do serviço, recursos a utilizar e medidas correctivas. Se a avaliação e distribuição de riscos nestes contratos/acordos de serviço padrão (que são geralmente a base para relações contratuais a longo prazo) não forem tratadas adequadamente desde o início, tal pode resultar numa acumulação e agregação problemáticas de riscos no fornecedor cloud, o que tem as suas próprias implicações no fornecedor cloud, a começar pela protecção do seguro. 14

15 02: QUESTÕES DE TRANSFERÊNCIA E AGREGAÇÃO DE RISCOS NA CLOUD Influência da lei alemã nos contratos cloud Na Alemanha, serviços cloud padronizados enfrentam dificuldades específicas relativamente à atribuição contratual dos riscos. Isto deve-se ao facto de as leis sobre termos e condições gerais limitarem seriamente a liberdade contratual entre as partes envolvidas. Ao mesmo tempo, como já foi referido acima para serviços padronizados desta natureza, o uso de contratos padronizados é adequado e necessário. Se são disponibilizados produtos padrão assentes na mesma plataforma, há muito pouca margem para fazer variar contratualmente a atribuição de riscos entre clientes diferentes. A dificuldade mais importante é que as leis que respeitam aos termos e condições gerais não permitem uma atribuição livre dos riscos entre as partes, mas antes prevê restrições à limitação específica de responsabilidade por parte dos fornecedores (que frequentemente são recorrentes em outros países). Consequentemente, os fornecedores e clientes estão limitados na personalização dos acordos contratuais. Se uma cláusula dos termos e condições gerais do contrato não estiver em conformidade com os regulamentos legais, de acordo com a lei alemã essa cláusula, ou até o próprio acordo, pode ser considerada inválida e as disposições estatutárias legais substituem-na. Duas consequências podem-se verificar: Tentativas de atribuir riscos nos Termos e Condições Gerais de um contrato entre as partes pode levar um fornecedor a ser forçado a assumir responsabilidade ilimitada 1. Nem todos os acordos sobre riscos são possíveis de celebrar através de contratos padronizados; os fornecedores devem assumir a responsabilidade por certos riscos, a menos que sejam feitos acordos alternativos laterais individualmente. 2. Tentativas de atribuir riscos recorrendo apenas aos termos e condições gerais entre as partes, pode levar um fornecedor a ser forçado a assumir responsabilidade ilimitada, se os termos e condições gerais não satisfizerem as directivas estreitas das leis aplicáveis. Sem dúvida, isto não é do interesse do fornecedor; mas não é também do interesse dos clientes, já que existirem sistemas de distribuição nos quais os fornecedores já não podem ou conseguem controlar ou limitar certos riscos, poderiam levar a instabilidades a nível sistémico e assim apresentar um risco significativo para todos os clientes desse fornecedor. 15

16 16 CLOUD COMPUTING

17 02: QUESTÕES DE TRANSFERÊNCIA E AGREGAÇÃO DE RISCOS NA CLOUD Conclusão Evitar riscos, mitigar riscos, atribuir riscos e definir mecanismos de protecção contra riscos são áreas intimamente interligadas, e esta inter-relação providencia diversas formas nas quais acordos aceitáveis podem ser trabalhados entre as partes. Isto inclui o envolvimento dos seguradores de ambas as partes. No outsourcing tradicional (que de muitas formas é um predecessor dos serviços cloud) foram desenvolvidas com o tempo boas normas e boas práticas sectoriais. Certamente pode-se esperar o mesmo para os serviços cloud. 17

18 CLOUD COMPUTING No caso de um fornecedor cloud entrar em insolvência, o contrato deve garantir ao cliente o direito de ter os dados transferidos de volta para si ou para um novo fornecedor. 18

19 03: EVENTOS RELEVANTES E PREJUÍZOS SEGURÁVEIS NA CLOUD 03: eventos relevantes e prejuízos seguráveis na cloud Thomas Jansen, Partner, DLA Piper Munich Mark O Conor, Partner, DLA Piper London Quando duas partes estão a negociar os termos de um contrato estão, ou pelo menos deveriam estar, a discutir sobre a transferência de riscos e a perguntar-se quem deverá suportar os efeitos dos riscos de eventos definidos. Que perdas podem resultar de certos eventos e quem deve ser o responsável por elas? A alocação destas perdas pode ter um grande impacto nas responsabilidades assumidas pelo cliente e pelo fornecedor de serviços cloud, tendo por sua vez um grande impacto na cobertura de seguro adquirida pelo último. Afinal de contas, para compreender que tipo de seguro subscrever e qual a cobertura mais adequada, o fornecedor de serviços cloud necessita de compreender contra que eventos e perdas se deve segurar. Existem, de facto, muitos eventos e potenciais prejuízos que devem ser acautelados em qualquer contrato de serviços cloud, demasiados para conseguirmos analisar e rever nesta publicação. Portanto, resumimos alguns eventos e prejuízos que consideramos chave e sugerimos formas de lidar com os mesmos. Para partes que estejam a considerar uma mudança para a cloud, sugerimos a realização de um levantamento rigoroso, para as partes compreenderem as suas respectivas responsabilidades por eventos e prejuízos chave e até que ponto se podem segurar contra os mesmos. O seu fornecedor cloud entra em insolvência como reaver, transferir os dados e a tecnologia para um fornecedor alternativo. Do ponto de vista jurídico, a solução não difere muito dos conceitos tradicionais associados ao outsourcing. O contrato deve conter cláusulas de saída adequadas que garantam ao cliente o direito de ter os dados transferidos de volta para si ou para um novo fornecedor. Do ponto de vista prático, isto pode ser difícil, se o fornecedor cloud tiver feito o outsourcing do alojamento dos dados a um fornecedor terceiro. Neste caso, o cliente deve ter o direito de requerer os dados directamente do fornecedor terceiro. 19

20 CLOUD COMPUTING Os contratos cloud públicos normalmente não contêm garantias e cláusulas de níveis de serviço que sejam favoráveis aos clientes. O seu fornecedor cloud faz uma transferência dos seus dados não autorizada em contravenção com as regras de protecção de dados e potencialmente outras normas regulamentares Do ponto de vista jurídico, a solução não difere muito dos conceitos tradicionais associados ao outsourcing. O contrato deve conter cláusulas adequadas que definam claramente mecanismos de protecção de dados relevantes e normas e níveis de serviço relativos a segurança de dados. O contrato deve conter direitos de monitorização dos dados pelo próprio cliente. Em caso de incumprimento de contrato, o cliente deve ter o direito de rescindir o contrato. O contrato deve conter cláusulas de saída adequadas que garantam ao cliente o direito de ter os dados transferidos de volta para si ou para um novo fornecedor. Nos casos em que um cliente esteja perante uma potencial responsabilidade por multas ou outras sanções, decorrentes de uma violação de normas ou regulamentos sobre protecção de dados por parte do fornecedor cloud, a responsabilidade do fornecedor cloud por tais danos não deve ser excluída ou por qualquer forma, limitada. Os serviços do seu fornecedor cloud são de má qualidade que medidas correctivas estão disponíveis (dado que os termos contratuais cloud normais oferecem garantias muito limitadas e frequentemente não vinculam a níveis de serviço)? Do ponto de vista jurídico, a solução não difere muito dos conceitos tradicionais associados ao outsourcing. Nestes casos é preciso diferenciar entre serviços cloud públicos e serviços cloud privados/do segmento corporate. As ofertas de serviços cloud públicos podem ser adequadas apenas para aplicações e dados padrão não críticos e não complexos, já que os contratos de serviços cloud públicos normalmente não contêm garantias e cláusulas de níveis de serviço favoráveis aos clientes. Geralmente, a situação é diferente para ofertas de serviços cloud a empresas. Tais serviços e contratos normalmente são concebidos À medida para clientes específicos e geralmente contêm garantias e cláusulas de níveis de serviço adequadas e negociadas entre as partes. 20

DIRECTIVA RELATIVA À SUBCONTRATAÇÃO DE SERVIÇOS

DIRECTIVA RELATIVA À SUBCONTRATAÇÃO DE SERVIÇOS N. o 032/B/2009-DBS/AMCM Data: 14/8/2009 DIRECTIVA RELATIVA À SUBCONTRATAÇÃO DE SERVIÇOS A Autoridade Monetária de Macau (AMCM), no exercício das competências que lhe foram atribuídas pelo Artigo 9. o

Leia mais

Norma ISO 9000. Norma ISO 9001. Norma ISO 9004 SISTEMA DE GESTÃO DA QUALIDADE REQUISITOS FUNDAMENTOS E VOCABULÁRIO

Norma ISO 9000. Norma ISO 9001. Norma ISO 9004 SISTEMA DE GESTÃO DA QUALIDADE REQUISITOS FUNDAMENTOS E VOCABULÁRIO SISTEMA DE GESTÃO DA QUALDADE SISTEMA DE GESTÃO DA QUALIDADE Norma ISO 9000 Norma ISO 9001 Norma ISO 9004 FUNDAMENTOS E VOCABULÁRIO REQUISITOS LINHAS DE ORIENTAÇÃO PARA MELHORIA DE DESEMPENHO 1. CAMPO

Leia mais

Secretaria de Gestão Pública de São Paulo. Guia para Contratação de Serviços em Nuvem

Secretaria de Gestão Pública de São Paulo. Guia para Contratação de Serviços em Nuvem Secretaria de Gestão Pública de São Paulo Guia para Contratação de Serviços em Nuvem Agenda Guia para Contratação de Serviços em Nuvem Conceito de Nuvem Questões Legais em Contratos Uso do Guia Análise

Leia mais

Auditorias 25-01-2013. ISO 19011 âmbito. Termos e definições. Gestão da Qualidade João Noronha ESAC 2012/2013

Auditorias 25-01-2013. ISO 19011 âmbito. Termos e definições. Gestão da Qualidade João Noronha ESAC 2012/2013 Auditorias Gestão da Qualidade João Noronha ESAC 2012/2013 ISO 19011 âmbito Linhas de orientação para auditoria a sistemas de gestão Princípios de auditoria Gestão de programas de auditoria Condução de

Leia mais

Responsabilidade Civil Profissional para Consultores e Empresas de Tecnologia e Informática Proposta de Seguro

Responsabilidade Civil Profissional para Consultores e Empresas de Tecnologia e Informática Proposta de Seguro O propósito desta proposta de seguro é conhecê-lo a si e ao seu negócio. O seu preenchimento não vincula nenhuma das partes à contratação deste seguro. Um seguro é um contrato de confiança entre duas partes.

Leia mais

RESOLUÇÃO DE LITÍGIOS

RESOLUÇÃO DE LITÍGIOS EXCELÊNCIA NA RESOLUÇÃO DE LITÍGIOS PARA EMPRESAS DE TI INCUMPRIMENTO CONTRATUAL EM TI Com mais de 15 anos de experiência e uma equipa especializada de gestores de sinistros de empresas de Tecnologias

Leia mais

ORIENTAÇÃO SOBRE PRINCÍPIOS DE AUDITORIA NP EN ISO 19011:2003. Celeste Bento João Carlos Dória Novembro de 2008

ORIENTAÇÃO SOBRE PRINCÍPIOS DE AUDITORIA NP EN ISO 19011:2003. Celeste Bento João Carlos Dória Novembro de 2008 ORIENTAÇÃO SOBRE PRINCÍPIOS DE AUDITORIA NP EN ISO 19011:2003 Celeste Bento João Carlos Dória Novembro de 2008 1 SISTEMÁTICA DE AUDITORIA - 1 1 - Início da 4 - Execução da 2 - Condução da revisão dos documentos

Leia mais

A NORMA PORTUGUESA NP 4427 SISTEMA DE GESTÃO DE RECURSOS HUMANOS REQUISITOS M. Teles Fernandes

A NORMA PORTUGUESA NP 4427 SISTEMA DE GESTÃO DE RECURSOS HUMANOS REQUISITOS M. Teles Fernandes A NORMA PORTUGUESA NP 4427 SISTEMA DE GESTÃO DE RECURSOS HUMANOS REQUISITOS M. Teles Fernandes A satisfação e o desempenho dos recursos humanos em qualquer organização estão directamente relacionados entre

Leia mais

Âmbito dos serviços de controlo de saúde da Compellent

Âmbito dos serviços de controlo de saúde da Compellent Descrição do serviço Controlo de Saúde de SAN Dell Compellent Visão geral do serviço A presente Descrição do Serviço ( Descrição do Serviço ) é celebrada entre si, o cliente ( você ou Cliente ), e a entidade

Leia mais

Políticas de Segurança da Informação. Aécio Costa

Políticas de Segurança da Informação. Aécio Costa Aécio Costa A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software

Leia mais

Cloud Computing: Quando a nuvem pode ser um risco para o negócio. Marco Lima aka Mago Enterprise Technology Specialist

Cloud Computing: Quando a nuvem pode ser um risco para o negócio. Marco Lima aka Mago Enterprise Technology Specialist Cloud Computing: Quando a nuvem pode ser um risco para o negócio Marco Lima aka Mago Enterprise Technology Specialist 05 De onde vem o termo nuvem? Business Servidores SAN WAN SAN LANs Roteador NAS Switch

Leia mais

SISTEMAS DE GESTÃO DA QUALIDADE

SISTEMAS DE GESTÃO DA QUALIDADE SISTEMAS DE GESTÃO DA QUALIDADE Objectivos do Curso. No final deste os alunos deverão: Identificar os principais objectivos associados à implementação de Sistemas de Gestão da Qualidade (SGQ) Compreender

Leia mais

CONDIÇÕES GERAIS DE PRESTAÇÃO DE SERVIÇO DE ACESSO À "INTERNET" Minuta

CONDIÇÕES GERAIS DE PRESTAÇÃO DE SERVIÇO DE ACESSO À INTERNET Minuta I CONDIÇÕES GERAIS DE PRESTAÇÃO DE SERVIÇO DE ACESSO À "INTERNET" Minuta O PRESENTE CONTRATO FOI APROVADO PELO INSTITUTO DAS COMUNICAÇÕES DE PORTUGAL, NOS TERMOS E PARA OS EFEITOS DO ARTIGO 9/2 DO DECRETO

Leia mais

TRANSIÇÃO DA ISO 9001:2000 PARA ISO 9001:2008 DOCUMENTO SUMÁRIO DE ALTERAÇÕES ALTERAÇÕES QUE PODEM AFECTAR O SISTEMA

TRANSIÇÃO DA ISO 9001:2000 PARA ISO 9001:2008 DOCUMENTO SUMÁRIO DE ALTERAÇÕES ALTERAÇÕES QUE PODEM AFECTAR O SISTEMA TRANSIÇÃO DA ISO 9001:2000 PARA ISO 9001:2008 DOCUMENTO SUMÁRIO DE ALTERAÇÕES A nova norma ISO 9001, na versão de 2008, não incorpora novos requisitos, mas apenas alterações para esclarecer os requisitos

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão de Configuração

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão de Configuração Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Gestão de Configuração Fernando Correia Capitão-de-fragata EN-AEL 14 de Dezembro de 2013

Leia mais

LAR O SEU NEGÓCIO O SEU NEGÓCIO LAR O SEU NEGÓCIO LAR. POLÍTICA DE PRIVACIDADE PARA SITES DE EAs BEM- ESTAR

LAR O SEU NEGÓCIO O SEU NEGÓCIO LAR O SEU NEGÓCIO LAR. POLÍTICA DE PRIVACIDADE PARA SITES DE EAs BEM- ESTAR BEM- ESTAR BEM- ESTAR POLÍTICA DE PRIVACIDADE BEM- ESTAR PARA SITES DE EAs POLÍTICA DE PRIVACIDADE PARA SITES DE EAs Com o objectivo de criar visibilidade para os produtos Amway, para a Oportunidade de

Leia mais

Paulo César Especialista de Soluções da ATM informática paulo.cesar@atminformatica.pt

Paulo César Especialista de Soluções da ATM informática paulo.cesar@atminformatica.pt Desktop Virtual Paulo César Especialista de Soluções da ATM informática paulo.cesar@atminformatica.pt Tendo em conta que a Virtualização será um dos principais alvos de investimento para o ano 2009 (dados

Leia mais

b. País de constituição Data de constituição / /

b. País de constituição Data de constituição / / Esta proposta de seguro é válida para Sociedades com facturação superior a 50 Milhões Euros. Excluem-se também desta proposta qualquer entidade seguradora e/ou financeira regulada pelos organismos competentes.

Leia mais

FAZER MAIS COM MENOS Maio 2012 White Paper

FAZER MAIS COM MENOS Maio 2012 White Paper CLOUD COMPUTING FAZER MAIS COM MENOS Maio 2012 CLOUD COMPUTING FAZER MAIS COM MENOS Cloud Computing é a denominação adotada para a mais recente arquitetura de sistemas informáticos. Cada vez mais empresas

Leia mais

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015

PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 PORTARIA TC Nº 437, 23 DE SETEMBRO DE 2015 Disciplina os procedimentos para gestão de incidentes de segurança da informação e institui a equipe de tratamento e resposta a incidentes em redes computacionais

Leia mais

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências.

Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. PORTARIA No- 192, DE 12 DE FEVEREIRO DE 2010 Institui a Política de Segurança da Informação da Advocacia-Geral da União, e dá outras providências. O ADVOGADO-GERAL DA UNIÃO, no uso de suas atribuições

Leia mais

Módulo de Gestão Proposta de Seguro

Módulo de Gestão Proposta de Seguro Esta proposta de seguro é válida para Sociedades com faturação superior a 50 Milhões Euros. Excluem-se também desta proposta qualquer entidade seguradora e/ou financeira regulada pelos organismos competentes.

Leia mais

Estrutura da Norma. 0 Introdução 0.1 Generalidades. ISO 9001:2001 Sistemas de Gestão da Qualidade Requisitos. Gestão da Qualidade 2005

Estrutura da Norma. 0 Introdução 0.1 Generalidades. ISO 9001:2001 Sistemas de Gestão da Qualidade Requisitos. Gestão da Qualidade 2005 ISO 9001:2001 Sistemas de Gestão da Qualidade Requisitos Gestão da Qualidade 2005 Estrutura da Norma 0. Introdução 1. Campo de Aplicação 2. Referência Normativa 3. Termos e Definições 4. Sistema de Gestão

Leia mais

Política Global de Conflitos de Interesses

Política Global de Conflitos de Interesses Política Global de Conflitos de Interesses Índice 1. DECLARAÇÃO DE PRINCÍPIOS... 3 2. INTRODUÇÃO... 3 3. OBJECTIVO... 3 4. ALCANCE... 4 5. REGRAS E REGULAMENTAÇÕES... 5 6. ORIENTAÇÃO GERAL... 6 7. EXEMPLOS

Leia mais

Política de Privacidade

Política de Privacidade Política de Privacidade Este documento tem por objetivo definir a Política de Privacidade da Bricon Security & IT Solutions, para regular a obtenção, o uso e a revelação das informações pessoais dos usuários

Leia mais

Newsletter Número 1/09 Março 2009

Newsletter Número 1/09 Março 2009 ASSUNTOS DE RELEVÂNCIA PARA OS REVISORES/AUDITORES EM TEMPOS DE CRISE FINANCEIRA Foram publicados recentemente tanto pelo IAASB (International Auditing and Assurance Standards Board) como pela FEE (Fédération

Leia mais

Política de Privacidade da Fieldglass

Política de Privacidade da Fieldglass Política de Privacidade da Fieldglass Histórico de revisão Histórico de revisão do documento Revisão Data Resumo de alterações Autor(es) 1 Fevereiro de 2014 Política de privacidade alinhada com padrões

Leia mais

- Aviso n.º 14/2009-AMCM -

- Aviso n.º 14/2009-AMCM - - Aviso n.º 14/2009-AMCM - ASSUNTO: SUPERVISÃO DA ACTIVIDADE SEGURADORA GUIA PARA AS INSTITUIÇÕES SEGURADORAS AUTORIZADAS REFERENTE AO TRATAMENTO DE QUEIXAS DE TOMADORES DOS SEGUROS/CLIENTES/TERCEIROS

Leia mais

COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS. As dinâmicas de grupo e os perfis de consumo

COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS. As dinâmicas de grupo e os perfis de consumo COMISSÃO NACIONAL DE PROTECÇÃO DE DADOS As dinâmicas de grupo e os perfis de consumo O uso de perfis na empresa Os perfis são conjuntos de dados que caracterizam categorias de indivíduos destinados a serem

Leia mais

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS POLÍTICAS CORPORATIVAS 8 - Política de segurança da informação 8.1 Introdução A informação é um ativo que possui grande valor para a COOPERFEMSA, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção

Leia mais

Código de prática para a gestão da segurança da informação

Código de prática para a gestão da segurança da informação Código de prática para a gestão da segurança da informação Edição e Produção: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia

Leia mais

POLÍTICA DE PRIVACIDADE PARA SITES DE EAS. POLÍTICA DE PRIVACIDADE PARA SITES DE EAs

POLÍTICA DE PRIVACIDADE PARA SITES DE EAS. POLÍTICA DE PRIVACIDADE PARA SITES DE EAs POLÍTICA DE PRIVACIDADE PARA SITES DE EAS 1 Com o objectivo de criar visibilidade para os produtos Amway, para a Oportunidade de Negócio Amway e para apoiar os EAs e Clientes Vip na construção do seu negócio,

Leia mais

TOTAL IMMERSION PROGRAMA D FUSION CONTRATO DE LICENÇA DE UTILIZADOR FINAL

TOTAL IMMERSION PROGRAMA D FUSION CONTRATO DE LICENÇA DE UTILIZADOR FINAL TOTAL IMMERSION PROGRAMA D FUSION CONTRATO DE LICENÇA DE UTILIZADOR FINAL Leia atentamente todos os termos e condições do Contrato de licença (doravante referido como o Contrato ) entre a TOTAL IMMERSION

Leia mais

Estratégias para avaliação da segurança da computação em nuvens

Estratégias para avaliação da segurança da computação em nuvens Academia de Tecnologia da IBM White paper de liderança de pensamento Novembro de 2010 Estratégias para avaliação da segurança da computação em nuvens 2 Proteção da nuvem: do desenvolvimento da estratégia

Leia mais

Descrição do serviço Serviço de Rastreio e Recuperação de Computadores Portáteis e Serviço de Eliminação Remota de Dados

Descrição do serviço Serviço de Rastreio e Recuperação de Computadores Portáteis e Serviço de Eliminação Remota de Dados Descrição do serviço Serviço de Rastreio e Recuperação de Computadores Portáteis e Serviço de Eliminação Remota de Dados Apresentação do serviço A Dell tem o prazer de fornecer o Serviço de rastreio e

Leia mais

Virtualização e Consolidação de Centro de Dados O Caso da UTAD António Costa - acosta@utad.pt

Virtualização e Consolidação de Centro de Dados O Caso da UTAD António Costa - acosta@utad.pt Universidade de Trás-os-Montes e Alto Douro Virtualização e Consolidação de Centro de Dados O Caso da UTAD António Costa - acosta@utad.pt Agenda A UTAD Virtualização Uma definição Introdução e abrangência

Leia mais

Especificações de oferta Serviços de Gestão de Correio Electrónico Segurança do Correio Electrónico

Especificações de oferta Serviços de Gestão de Correio Electrónico Segurança do Correio Electrónico Especificações de oferta Serviços de Gestão de Correio Electrónico Segurança do Correio Electrónico Apresentação dos serviços A Segurança do Correio Electrónico dos Serviços de Gestão de Correio Electrónico

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO POLÍTICA DE SEGURANÇA DA INFORMAÇÃO DEFENDA BUSINESS PROTECTION SERVICES & SOLUTIONS Direitos Autorais Este documento contém informações de propriedade da Defenda Business Protection Services & Solutions.

Leia mais

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS

MANUAL DE CONTROLES INTERNOS PARTE II POLÍTICAS CORPORATIVAS 1 Política de segurança da informação 1.1 Introdução A informação é um ativo que possui grande valor para a COGEM, devendo ser adequadamente utilizada e protegida contra ameaças e riscos. A adoção de políticas

Leia mais

CONDIÇÕES DE ENTREGA RECREAHOME B.V. COM A SUA SEDE REGISTADA EM ASTEN

CONDIÇÕES DE ENTREGA RECREAHOME B.V. COM A SUA SEDE REGISTADA EM ASTEN 1. DEFINIÇÕES CONDIÇÕES DE ENTREGA RECREAHOME B.V. COM A SUA SEDE REGISTADA EM ASTEN Abaixo Recreahome B.V. será referida como "vendedor". Cada pessoa singular ou entidade legal que adquire bens e/ou serviços

Leia mais

RPM INTERNATIONAL INC. E SUAS SUBSIDIÁRIAS E EMPRESAS OPERADORAS AVISO DE PRIVACIDADE EM PORTO SEGURO. EM VIGOR A PARTIR DE: 12 de Agosto de 2015

RPM INTERNATIONAL INC. E SUAS SUBSIDIÁRIAS E EMPRESAS OPERADORAS AVISO DE PRIVACIDADE EM PORTO SEGURO. EM VIGOR A PARTIR DE: 12 de Agosto de 2015 RPM INTERNATIONAL INC. E SUAS SUBSIDIÁRIAS E EMPRESAS OPERADORAS AVISO DE PRIVACIDADE EM PORTO SEGURO EM VIGOR A PARTIR DE: 12 de Agosto de 2015 Este Aviso estabelece os princípios seguidos pela RPM International

Leia mais

Office 2010 e SharePoint 2010: Produtividade Empresarial no Seu Melhor. Folha de Factos

Office 2010 e SharePoint 2010: Produtividade Empresarial no Seu Melhor. Folha de Factos Office 2010 e SharePoint 2010: Produtividade Empresarial no Seu Melhor Folha de Factos A informação contida neste documento representa a visão actual da Microsoft Corporation sobre os assuntos discutidos,

Leia mais

FORMAÇÃO REGULAMENTO

FORMAÇÃO REGULAMENTO FORMAÇÃO REGULAMENTO Data: Julho de 2010 1. Politica e Estratégia A Formação desempenha um papel preponderante no desenvolvimento do indivíduo. É através dela que as pessoas adquirem os conhecimentos necessários

Leia mais

Gestão dos Níveis de Serviço

Gestão dos Níveis de Serviço A Gestão dos Níveis de Serviço (SLM) Os sistemas e tecnologias de informação e comunicação têm nas empresas um papel cada vez mais importante evoluindo, hoje em dia, para níveis mais elevados de funcionamento

Leia mais

DEPUY SYNTHES CÓDIGO DE CONDUTA GLOBAL

DEPUY SYNTHES CÓDIGO DE CONDUTA GLOBAL Uma Paixão pela Integridade Integridade em Acção - Conformidade nos Cuidados de Saúde A Conformidade nos Cuidados de Saúde é uma Responsabilidade de Todos A DePuy Synthes é reconhecida mundialmente pelas

Leia mais

CUSTO TOTAL DE PROPRIEDADE DO PANDA MANAGED OFFICE PROTECTION. 1. Resumo Executivo

CUSTO TOTAL DE PROPRIEDADE DO PANDA MANAGED OFFICE PROTECTION. 1. Resumo Executivo 1. Resumo Executivo As empresas de todas as dimensões estão cada vez mais dependentes dos seus sistemas de TI para fazerem o seu trabalho. Consequentemente, são também mais sensíveis às vulnerabilidades

Leia mais

CONSULTORES RISCOS DE RESPONSABILIDADE CIVIL PARA

CONSULTORES RISCOS DE RESPONSABILIDADE CIVIL PARA RISCOS DE RESPONSABILIDADE CIVIL PARA CONSULTORES Uma pesquisa interna recente demonstra que 70% das PME de consultoria não têm uma proteção de seguros eficaz contra reclamações de responsabilidade civil.

Leia mais

CLOUD. tendências CLOUD. entendendo e contratando assertivamente. Agosto/2012 INFORMATIVO TECNOLÓGICO DA PRODESP EDIÇÃO 02

CLOUD. tendências CLOUD. entendendo e contratando assertivamente. Agosto/2012 INFORMATIVO TECNOLÓGICO DA PRODESP EDIÇÃO 02 tendências CLOUD EDIÇÃO 02 Agosto/2012 CLOUD O conceito de nuvem é nebuloso Como uma organização pode contratar assertivamente Serviços em Cloud? Quais são os principais riscos de um contrato de Cloud

Leia mais

NP EN ISO 9001:2000 LISTA DE COMPROVAÇÃO

NP EN ISO 9001:2000 LISTA DE COMPROVAÇÃO NP EN ISO 9001:2000 LISTA DE COMPROVAÇÃO NIP: Nº DO RELATÓRIO: DENOMINAÇÃO DA EMPRESA: EQUIPA AUDITORA (EA): DATA DA VISITA PRÉVIA: DATA DA AUDITORIA: AUDITORIA DE: CONCESSÃO SEGUIMENTO ACOMPANHAMENTO

Leia mais

Este sistema é sustentado por 14 pilares: Elemento 1 Liderança, Responsabilidade e Gestão

Este sistema é sustentado por 14 pilares: Elemento 1 Liderança, Responsabilidade e Gestão Este sistema é sustentado por 14 pilares: Elemento 1 Liderança, Responsabilidade e Gestão Como as pessoas tendem a imitar os seus líderes, estes devem-se empenhar e comprometer-se com o QSSA, para servirem

Leia mais

3.2. O USUÁRIO poderá alterar sua senha a qualquer momento, assim como criar uma nova chave em substituição a uma chave já existente;

3.2. O USUÁRIO poderá alterar sua senha a qualquer momento, assim como criar uma nova chave em substituição a uma chave já existente; 1. CONTRATO Os termos abaixo se aplicam aos serviços oferecidos pela Sistemas On Line Ltda., doravante designada S_LINE, e a maiores de 18 anos ou menores com permissão dos pais ou responsáveis, doravante

Leia mais

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S.

Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Disciplina: Curso de Tecnologia em Redes de Computadores Auditoria e Análise de Segurança da Informação - 4º período Professor: José Maurício S. Pinheiro AULA 4: Trilhas de Auditoria Existe a necessidade

Leia mais

Condições gerais de compra da BASF e das suas filiais com sede em Espanha e Portugal.

Condições gerais de compra da BASF e das suas filiais com sede em Espanha e Portugal. em Espanha e Portugal. 1. Disposições gerais 1.1 As presentes gerais condições de compra constituem uma parte integral de todos os (futuros) contratos relativos à entrega de mercadorias ou à prestação

Leia mais

Relações verticais na cadeia de abastecimento alimentar: Princípios de boas práticas

Relações verticais na cadeia de abastecimento alimentar: Princípios de boas práticas Relações verticais na cadeia de abastecimento alimentar: Princípios de boas práticas Propostos pelos seguintes membros nucleares da plataforma B2B AIM CEJA CELCAA CLITRAVI Copa Cogeca ERRT EuroCommerce

Leia mais

CONDIÇÕES DE VENDA. 1. Prazo de entrega O prazo de entrega é o referido na confirmação da encomenda, salvo acordo em contrário.

CONDIÇÕES DE VENDA. 1. Prazo de entrega O prazo de entrega é o referido na confirmação da encomenda, salvo acordo em contrário. CONDIÇÕES DE VENDA A venda de produtos da Portucel Soporcel Fine Paper S.A. ( vendedor ) é regulada pelas condições abaixo descritas, em conformidade com as práticas em vigor na indústria e comércio de

Leia mais

Acordo de alojamento de servidor

Acordo de alojamento de servidor Acordo de alojamento de servidor Estabelecido entre o Centro de Informática do Instituto Superior Técnico e Docente /Instituto / Secção Março de 2006 Acordo de alojamento de servidor entre o Centro de

Leia mais

Manual do Revisor Oficial de Contas. Directriz de Revisão/Auditoria 580 ÍNDICE

Manual do Revisor Oficial de Contas. Directriz de Revisão/Auditoria 580 ÍNDICE Directriz de Revisão/Auditoria 580 DECLARAÇÃO DO ORGÃO DE GESTÃO Dezembro de 1998 ÍNDICE Parágrafos Introdução 1-5 Objectivos 6 Requisitos da declaração 7-11 Conteúdo da declaração 12-15 Posição do revisor/auditor

Leia mais

CONDIÇÕES DE UTILIZAÇÃO TOBEFLOW

CONDIÇÕES DE UTILIZAÇÃO TOBEFLOW CONDIÇÕES DE UTILIZAÇÃO ToBeFlow Versão/Julho 2015 CONDIÇÕES DE UTILIZAÇÃO TOBEFLOW ANTES DE UTILIZAR O PROGRAMA, LEIA COM ATENÇÃO ESTE DOCUMENTO Utilizar esta aplicação, seja na versão demonstração ou

Leia mais

Política de Privacidade de dados pessoais na Portugal Telecom

Política de Privacidade de dados pessoais na Portugal Telecom Política de Privacidade de dados pessoais na Portugal Telecom Quem Somos? A Portugal Telecom, SGPS, SA. ( PT ) é a holding de um grupo integrado de Empresas (Grupo PT), que atua na área das comunicações

Leia mais

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão da Segurança da Informação

Mestrado em Segurança da Informação e Direito no Ciberespaço. Segurança da informação nas organizações Gestão da Segurança da Informação Escola Naval Mestrado em Segurança da Informação e Direito no Ciberespaço Segurança da informação nas organizações Gestão da Segurança da Informação Fernando Correia Capitão-de-fragata EN-AEL 30 de Novembro

Leia mais

Política de Utilização Aceitável (PUA)

Política de Utilização Aceitável (PUA) Política de Utilização Aceitável (PUA) HOST TUGATECH Host TugaTech HOST.TUGATECH.COM.PT HOST@TUGATECH.COM.PT A Política de Utilização Aceitável (PUA) do Host TugaTech é disponibilizada com o objetivo de

Leia mais

CARREIRAS NA GLORY GLOBAL SOLUTIONS POLÍTICA DE PRIVACIDADE

CARREIRAS NA GLORY GLOBAL SOLUTIONS POLÍTICA DE PRIVACIDADE SITE DE CARREIRAS NA GLORY GLOBAL SOLUTIONS POLÍTICA DE PRIVACIDADE Bem-vindo à área de Carreiras na Glory Global Solutions, o Web site de recrutamento (o "Site"). Descrevemos a seguir a forma como as

Leia mais

TERMOS DE UTILIZAÇÃO DO SERVIÇO WIFI FOR BUSINESS. I. Membro do WiFi for Business, Instalação e Ativação do Fon Spot

TERMOS DE UTILIZAÇÃO DO SERVIÇO WIFI FOR BUSINESS. I. Membro do WiFi for Business, Instalação e Ativação do Fon Spot TERMOS DE UTILIZAÇÃO DO SERVIÇO WIFI FOR BUSINESS Bem-vindo à Fon! Ao registar o seu router Fon, está a aderir à Rede e a aceitar vincular-se aos presentes Termos de utilização do Serviço WiFi for Business,

Leia mais

Política de Segurança da Informação da Entidade

Política de Segurança da Informação da Entidade Estrutura Nacional de Segurança da Informação (ENSI) Política de Segurança da Informação da Entidade Fevereiro 2005 Versão 1.0 Público Confidencial O PRESENTE DOCUMENTO NÃO PRESTA QUALQUER GARANTIA, SEJA

Leia mais

Hilti do Brasil Comercial Ltda. Política de Privacidade e Proteção de Informações Pessoais

Hilti do Brasil Comercial Ltda. Política de Privacidade e Proteção de Informações Pessoais Hilti do Brasil Comercial Ltda. Política de Privacidade e Proteção de Informações Pessoais Nós, Hilti (Brasil) Comercial Ltda. (coletivamente, referido como Hilti, "nós", "nosso" ou "a gente") nessa Política

Leia mais

Política de Privacidade de Dados Pessoais Cabovisão - Televisão por Cabo S.A.

Política de Privacidade de Dados Pessoais Cabovisão - Televisão por Cabo S.A. Política de Privacidade de Dados Pessoais Cabovisão - Televisão por Cabo S.A. Princípios Gerais A garantia que os clientes e utilizadores da Cabovisão-Televisão por Cabo S.A. ( Cabovisão ) sabem e conhecem,

Leia mais

Termos e condições de utilização da Plataforma e Política de Protecção de Dados Pessoais

Termos e condições de utilização da Plataforma e Política de Protecção de Dados Pessoais Termos e condições de utilização da Plataforma e Política de Protecção de Dados Pessoais Os presentes Termos e Condições e Política de Protecção de Dados Pessoais (adiante abreviadamente designados Termos

Leia mais

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA

ESTUDO COMPARATIVO NBR ISO 13485:2004 RDC 59:2000 PORTARIA 686:1998 ITENS DE VERIFICAÇÃO PARA AUDITORIA ESTUDOCOMPARATIVO NBRISO13485:2004 RDC59:2000 PORTARIA686:1998 ITENSDEVERIFICAÇÃOPARAAUDITORIA 1. OBJETIVO 1.2. 1. Há algum requisito da Clausula 7 da NBR ISO 13485:2004 que foi excluída do escopo de aplicação

Leia mais

Descrição do Serviço Envio Fast-Track

Descrição do Serviço Envio Fast-Track TERMOS E CONDIÇÕES DO ENVIO PRIORITÁRIO(EP ou o Programa ) Considerando as cláusulas abaixo estipuladas, as partes acordam no seguinte: Para efeitos do presente Acordo, aplicam-se as seguintes definições:

Leia mais

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO

POLÍTICA DE SEGURANÇA DA INFORMAÇÃO Nº de Páginas: 1 / 5 1. OBJETIVOS Os objetivos desta Política de Segurança da Informação são estabelecer orientações gerais de segurança da informação no âmbito da Braslight, fornecendo o apoio conceitual

Leia mais

A Gestão de Configurações suporte dos Sistemas de Informação

A Gestão de Configurações suporte dos Sistemas de Informação A Gestão de Configurações suporte dos Sistemas de Informação O funcionamento dos sistemas e tecnologias de informação e comunicação têm nas organizações um papel cada vez mais crítico na medida em que

Leia mais

ACORDO ENTRE A REPÚBLICA PORTUGUESA E A REPÚBLICA FEDERAL DA ALEMANHA SOBRE PROTECÇÃO MÚTUA DE MATÉRIAS CLASSIFICADAS.

ACORDO ENTRE A REPÚBLICA PORTUGUESA E A REPÚBLICA FEDERAL DA ALEMANHA SOBRE PROTECÇÃO MÚTUA DE MATÉRIAS CLASSIFICADAS. Decreto n.º 13/2005 Acordo entre a República Portuguesa e a República Federal da Alemanha sobre Protecção Mútua de Matérias Classificadas, assinado em Lisboa em 22 de Dezembro de 2004 Atendendo ao desenvolvimento

Leia mais

Política de Segurança da Informação

Política de Segurança da Informação Política de Segurança da Informação 29 de janeiro 2014 Define, em nível estratégico, diretivas do Programa de Gestão de Segurança da Informação. ÍNDICE 1 OBJETIVO... 3 2 PÚBLICO ALVO... 3 3 RESPONSABILIDADES

Leia mais

Segurança Operacional na EDP; porque importa vigiar a segurança da infra-estrutura IT

Segurança Operacional na EDP; porque importa vigiar a segurança da infra-estrutura IT Segurança Operacional na EDP; porque importa vigiar a segurança da infra-estrutura IT Direção de Sistemas de Informação 30 de Janeiro, 2013 Contexto da Segurança na EDP 2 O contexto da Segurança na EDP

Leia mais

Responsabilidade Civil Profissional para Consultores e Empresas de Tecnologia e Informática

Responsabilidade Civil Profissional para Consultores e Empresas de Tecnologia e Informática O propósito desta proposta de seguro é conhecê-lo a si e ao seu negócio. O seu preenchimento não vincula nenhuma das partes à contratação deste seguro. Um seguro é um contrato de confiança entre duas partes.

Leia mais

Imagem Gustavo Santos. Observe Bombinhas SC.

Imagem Gustavo Santos. Observe Bombinhas SC. Imagem Gustavo Santos. Observe Bombinhas SC. 1 2 1. Uma nova modalidade de prestação de serviços computacionais está em uso desde que a computação em nuvem começou a ser idealizada. As empresas norte-

Leia mais

CRITÉRIO 3: SISTEMA DE DESENVOLVIMENTO E GESTÃO DO DESEMPENHO

CRITÉRIO 3: SISTEMA DE DESENVOLVIMENTO E GESTÃO DO DESEMPENHO CRITÉRIO 3: SISTEMA DE DESENVOLVIMENTO E GESTÃO DO DESEMPENHO Este capítulo inclui: Visão geral O Ciclo de Gestão do Desempenho: Propósito e Objectivos Provas requeridas para a acreditação Outros aspectos

Leia mais

Condições Gerais do Website. 1. Objeto

Condições Gerais do Website. 1. Objeto Condições Gerais do Website 1. Objeto 1.1 As presentes Condições Gerais destinam-se a regular os termos e condições de acesso e utilização do site www.phone-ix.pt (adiante designado por Site ), bem como

Leia mais

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica.

Artigo 1º - Aprovar revisão da Política de Segurança da PRODEB, que com esta se publica. Classificação: RESOLUÇÃO Código: RP.2007.077 Data de Emissão: 01/08/2007 O DIRETOR PRESIDENTE da Companhia de Processamento de Dados do Estado da Bahia - PRODEB, no uso de suas atribuições e considerando

Leia mais

TERMOS E CONDIÇÕES RELATIVOS AO CADASTRO DOS USUÁRIOS NO SERVIÇO OI MAPAS

TERMOS E CONDIÇÕES RELATIVOS AO CADASTRO DOS USUÁRIOS NO SERVIÇO OI MAPAS TERMOS E CONDIÇÕES RELATIVOS AO CADASTRO DOS USUÁRIOS NO SERVIÇO OI MAPAS O presente termo tem por objetivo regular as condições relativas ao cadastro do USUÁRIO junto à Oi (Telemar Internet), cadastro

Leia mais

Estrutura da Norma. 0 Introdução 0.1 Generalidades. ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos

Estrutura da Norma. 0 Introdução 0.1 Generalidades. ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos ISO 9001:2008 Sistemas de Gestão da Qualidade Requisitos Gestão da Qualidade e Auditorias (Mestrado em Engenharia Alimentar) Gestão da Qualidade (Mestrado em Biocombustívies) ESAC/João Noronha Novembro

Leia mais

Requisitos de controlo de fornecedor externo

Requisitos de controlo de fornecedor externo Requisitos de controlo de fornecedor externo Cibersegurança para fornecedores classificados como baixo risco cibernético Requisito de 1. Proteção de ativos e configuração de sistemas Os dados do Barclays

Leia mais

TP.100. Política de Segurança da Informação

TP.100. Política de Segurança da Informação Manual do utilizador TP.100 Política de Segurança da Informação Órgão: Versão: 1.0 Data inicial: 2006/05/25 Última alteração: 2006/05/25 (referência) 2/8 Índice de conteúdos 1.- INTRODUÇÃO... 3 2.- INFORMAÇÃO...

Leia mais

Gestão da Tecnologia da Informação

Gestão da Tecnologia da Informação TLCne-051027-P0 Gestão da Tecnologia da Informação Disciplina: Governança de TI São Paulo, Outubro de 2012 0 Sumário TLCne-051027-P1 Conteúdo desta Aula Abordar o domínio Adquirir e Implementar e todos

Leia mais

GESTÃO de PROJECTOS. Gestor de Projectos Informáticos. Luís Manuel Borges Gouveia 1

GESTÃO de PROJECTOS. Gestor de Projectos Informáticos. Luís Manuel Borges Gouveia 1 GESTÃO de PROJECTOS Gestor de Projectos Informáticos Luís Manuel Borges Gouveia 1 Iniciar o projecto estabelecer objectivos definir alvos estabelecer a estratégia conceber a estrutura de base do trabalho

Leia mais

As Organizações e os Sistemas de Informação

As Organizações e os Sistemas de Informação As Organizações e os Sistemas de Informação Uma Introdução Luís Paulo Peixoto dos Santos Junho, 2002 Uma organização é uma estrutura complexa e formal cujo objectivo é gerar produtos ou serviços, com ou

Leia mais

Política de privacidade V2

Política de privacidade V2 Política de privacidade V2 Para os fins desta Política de Privacidade, as palavras grifadas em maiúsculo terão os seguintes significados: V2 é uma loja virtual disponibilizada na Internet para comercialização

Leia mais

Condições Contratuais Gerais

Condições Contratuais Gerais Condições Contratuais Gerais (Phoron do Brasil Ltda.) 1. 1. Fundamentos gerais / área de aplicação 1.1. Para todas as transações legais entre o Contratante e nossa empresa (Contratada; Phoron) aplicamse

Leia mais

Implementação de Políticas de Segurança da Informação baseados na ISO 27001:2013

Implementação de Políticas de Segurança da Informação baseados na ISO 27001:2013 Implementação de Políticas de Segurança da Informação baseados na ISO 27001:2013 Orador: Engº Divaldo Sousa Agenda O que é a informação? Formato da informação. Importância da informação para as organizações.

Leia mais

Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001. Susana Carias Lisboa, 24 de Outubro de 2008

Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001. Susana Carias Lisboa, 24 de Outubro de 2008 Implementação de Ferramentas de Gestão SOX ISO 20000 ISO 27001 Susana Carias Lisboa, 24 de Outubro de 2008 Agenda Introdução Desafio 1º passo Problemática ISO 27001 ISO 20000 Conclusões 2 Agenda Introdução

Leia mais

carácter intencional ou não intencional da sua violação.

carácter intencional ou não intencional da sua violação. NOVAS MEDIDAS, PROCEDIMENTOS E RECURSOS PARA ASSEGURAR O RESPEITO DOS DIREITOS DE PROPRIEDADE INTELECTUAL No passado dia 1 de Abril foi publicado o Decreto-Lei nº 16/2008, que transpôs para a nossa ordem

Leia mais

EXIN Cloud Computing Fundamentos

EXIN Cloud Computing Fundamentos Exame Simulado EXIN Cloud Computing Fundamentos Edição Maio 2013 Copyright 2013 EXIN Todos os direitos reservados. Nenhuma parte desta publicação pode ser publicado, reproduzido, copiado ou armazenada

Leia mais

PROJECTO DE NORMA REGULAMENTAR

PROJECTO DE NORMA REGULAMENTAR PROJECTO DE NORMA REGULAMENTAR Princípios aplicáveis ao desenvolvimento dos Sistemas de Gestão de Riscos e de Controlo Interno das Empresas de Seguros As melhores práticas internacionais na regulamentação

Leia mais

CONTRATO DE PRESTAÇÃO DE SERVIÇOS

CONTRATO DE PRESTAÇÃO DE SERVIÇOS CONTRATO DE PRESTAÇÃO DE SERVIÇOS O presente contrato estabelece condições para os relacionamentos comerciais derivados da contratação do uso da Loja virtual sistema denominado LOJA EFICAZ, constituída

Leia mais

Conheça a NBR ISO/IEC 27002

Conheça a NBR ISO/IEC 27002 Conheça a NBR ISO/IEC 27002 A norma NBR ISO/IEC 27002 Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar,

Leia mais

-AUDITORIA- PROTECÇÃO DE DADOS PESSOAIS. A sua protecção, com os melhores especialistas.

-AUDITORIA- PROTECÇÃO DE DADOS PESSOAIS. A sua protecção, com os melhores especialistas. -AUDITORIA- PROTECÇÃO DE DADOS PESSOAIS A sua protecção, com os melhores especialistas. Porquê a auditoria ao tratamento de dados pessoais? A regulamentação do tratamento de dados pessoais é uma área complexa

Leia mais

Relatório de Progresso

Relatório de Progresso Luís Filipe Félix Martins Relatório de Progresso Mestrado Integrado em Engenharia Electrotécnica e de Computadores Preparação para a Dissertação Índice Introdução... 2 Motivação... 2 Cloud Computing (Computação

Leia mais

POLÍTICA DE CONTRATAÇÃO DE TERCEIROS

POLÍTICA DE CONTRATAÇÃO DE TERCEIROS POLÍTICA DE CONTRATAÇÃO DE TERCEIROS 1 INDICE POLÍTICA DE CONTRATAÇÃO DE TERCEIROS... 1 INDICE... 2 1. Responsabilidade Legal e Social... 3 2. Processo de Contratação de Terceiros... 4 3. Categorias de

Leia mais

Com esta tecnologia Microsoft, a PHC desenvolveu toda a parte de regras de negócio, acesso a dados e manutenção do sistema.

Com esta tecnologia Microsoft, a PHC desenvolveu toda a parte de regras de negócio, acesso a dados e manutenção do sistema. Caso de Sucesso Microsoft Canal de Compras Online da PHC sustenta Aumento de 40% de Utilizadores Registados na Área de Retalho Sumário País: Portugal Industria: Software Perfil do Cliente A PHC Software

Leia mais

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO

SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO SERVIÇO PÚBLICO FEDERAL UNIVERSIDADE FEDERAL DA PARAÍBA CONSELHO UNIVERSITÁRIO RESOLUÇÃO Nº 32/2014 Institui a política de segurança da informação da UFPB, normatiza procedimentos com esta finalidade e

Leia mais