Mattes: Como os órgãos públicos podem atender a lei usando as nuvens públicas

Quatro regulamentos traçam as diretrizes para o investimento de órgãos públicos em nuvem. E nenhum serviço, sozinho, atende a todos os requisitos.

*Por Jonatas Mattes, CEO e fundador da O3S, revendedora e integradora de soluções multinuvem

Vários órgãos governamentais se movimentaram fortemente na direção da contratação de serviços em nuvem em 2019. Nos últimos dois anos vimos os primeiros ensaios governamentais através de consultas públicas e finalmente os editais do TCU e do extinto MPOG, hoje Ministério da Economia, que adotaram modelos de catálogo de serviços pagos por USN (Unidades de Serviço de Nuvem) e UST (Unidades de Serviço Técnico).

Estes movimentos são louváveis e as recentes atualizações da legislação brasileira foram muito bem estabelecidas. Resolvemos avaliar as contratações públicas à luz da Instrução Normativa Nº 1 (IN01), da Norma Complementar NC14 e da LGPD. E não só as contratações de nuvens públicas, mas também as aquisições de storage em curso.

Destas legislações vigentes avaliamos sob a ótica das quatro principais regulamentações do segmento os aspectos nas três principais nuvens públicas, a aquisição de storage (de forma geral) e o uso de uma solução de storage como serviço (STaaS Zadara), solução disponível nos Marketplaces das próprias nuvens públicas acima.

Os regulamentos levados em conta foram:
• A recomendação da IN01 por contratação de serviços de computação em nuvem (pública ou privada).
• A exigência da IN01 para que estas soluções possuam certificações de normas de segurança da informação.
• A análise comparativa de custos (TCO), considerando ciclo de vida dos bens e serviços, garantia, manutenção, etc.
• A recomendação de uso da nuvem pública conforme a classificação das informações.

O primeiro ponto que chama a atenção é que o modelo de aquisição de storage, apesar de poder atender os requisitos da LGPD e da NC14, não atende a orientação da IN01 relativa a contratação como serviço. E muitos órgãos ainda seguem este modelo de aquisição de hardware, que exige alto investimento de aquisição, mas péssima análise de TCO. O custo de aquisição é altíssimo por um volume que muitas vezes só é alocado anos depois e não consideram o End of Life dos produtos, os custos de garantia, manutenções, atualizações de firmware e depreciação de ativos.

O segundo ponto a se destacar é que as três principais nuvens públicas não atendem, pelo menos ainda, a possibilidade de serviços locais, on premise. Isto não chega a ser um problema, mas é uma entrave para muitos órgãos que têm esta necessidade de storage local, pois precisam atender o que pede a NC14 sobre a restrição de uso de nuvem pública para informações sigilosas ou classificadas.

Mas o terceiro ponto é o mais crítico: as nuvens públicas não atendem integralmente a LGPD. Nelas não é possível saber exatamente onde estão armazenados os dados. Não é possível apontar fisicamente os discos dada a arquitetura disponibilizada. Também não é possível garantir a total eliminação dos dados através da plena formatação dos discos. Por último, não é possível isolar dados no caso de intervenção/auditoria de autoridade competente, não é possível isolar e entregar os discos a autoridade. As nuvens também não atendem a restrição da NC14 quanto às informações sigilosas e classificadas.

A exigência de bloqueio mediante a guarda do dado pessoal ou do banco de dados é possível mediante a possibilidade de isolamento completo do dado, ou seja, sem nenhum tipo de acesso físico ou lógico durante o período do bloqueio. Da mesma forma a lei exige a eliminação através da exclusão definitiva dos dados pessoais. A LGPD é reiteradamente clara em relação a estas duas exigências.

Devido a este terceiro ponto, muitos órgãos acabam acreditando ser necessária a aquisição de storage local, on premise, mas que como já reportamos, não atende adequadamente aspectos de consumo sob demanda da IN01 e análise comparativa de custos (TCO).

Por último, testamos a solução de Storage como Serviço da Zadara, disponível através dos Marketplaces das nuvens públicas e também através de contratação direta. Em nossos testes, o storage Zadara foi utilizado em conjunto com as nuvens AWS, Azure ou Google, ou seja, toda a parte de processamento, de servidores, foi usada das nuvens e toda a parte de armazenamento foi utilizada a solução Zadara do Marketplace destas nuvens.

Através do STaaS Zadara foi possível usar armazenamento de blocos/volumes, de objetos e de arquivos, de forma totalmente integrada com as nuvens ou com soluções locais de servidores. Totalmente sob demanda, paga como serviço por hora. Diferentemente da AWS, AZURE ou GOOGLE, a Zadara isola os discos para o cliente na tecnologia patenteada chamada VPSA (Virtual Private Storage Array) e ainda permite que seja implementada chave de criptografia de uso exclusivo e não compartilhado com o provedor.

O Storage da Zadara está disponível para uso tanto nas principais regiões das nuvens públicas, como localmente. É possível ter o armazenamento sob demanda dentro do seu datacenter, configurando como desejar a quantidade e tipo de discos, criando tenants com criptografia específica, configurando a quantidade de processadores, de memória, de cache e até permite rodar Docker dentro do storage.

Concluindo: As nuvens públicas atendem de forma parcial os requisitos, mas integralmente quando usadas em conjunto com a solução STaaS da Zadara. Nesta arquitetura temos de forma objetiva o pleno atendimento a IN01, a LGPD e a NC14.

Avatar photo

Colaborador

Artigos: 317