Face a determinada necessidade dos sistemas de informação de uma empresa, se for preciso esclarecer todos os ínfimos pormenores do serviço, então é porque o modelo não serve, considerou João Luís Traça, no Cloud Computing Forum.
Quando se avalia a utilização de uma cloud pública para satisfazer uma necessidade dos sistemas de informação “não se pode questionar o fornecedor sobre tudo”, apontou João Luís Traça – advogado da Miranda Correia Amendoeira & Associados – durante o Cloud Computing Forum.
“Até porque não se conseguem avaliar todos os aspectos do serviço, incluindo os tecnológicos”, lembra o causídico. Há, contudo várias cautelas a tomar, e muito passa pela avaliação dos potenciais riscos a correr .
Traça ilustrou a sua ideia com uma analogia envolvendo as diferenças entre o transporte pedestre, rodoviário e aéreo. O primeiro oferece maior controlo sobre a viagem. No segundo, é necessário delegar a pilotagem a um profissional que não conhecemos. No último caso, torna-se pouco prático ”conhecer bem o piloto e qual é o avião”. É necessário confiar na transportadora aérea.
Assim, “também é preciso acreditar nos cuidados de segurança e na metodologia de resolução dos problemas dos fornecedores de cloud computing”. E, no caso de ser arriscado apostar nessa solução para resolver o problema da empresa – como acelerar determinados processos -, então é porque a cloud computing não serve.
“Não há espaço para personalizar contratos e serviços”. E nesse sentido não é prático questionar tudo. É mais importante “medir riscos”. Também por isso é necessário acautelar determinados aspectos.
No caso da segurança e do ponto de vista legal é necessário perceber que esta tem “dois momentos”. “A implantação e manutenção de medidas de segurança é um problema técnico, enquanto a responsabilidade por problemas de segurança é um problema jurídico”, considera João Luís Traça.
Assim, não deixa de ser importante questionar determinados aspectos. “Onde estão localizados os fornecedores de serviços cloud?”, por exemplo. Ou como poderá a empresa cliente aceder aos dados em caso de o fornecedor falir ou de o serviço ser suspenso (por exemplo, por atrasos nos pagamentos). E depois da cessação do contrato, o que acontece?
“Por vezes, um esquecimento sobre a diferença horária pode levar a um atraso de pagamento e a empresa fica sem acesso a dados”, explica, referindo-se à diferença horária entre Europa e Estados Unidos. O advogado alerta também para a vertente imaterial dos sistemas da informação, suficiente para causar indisponibilidade de serviço – mesmo quando fisicamente não existem problemas.
“Basta haver um bug de software “, reforça. Por isso, vale a pena salvaguardar esse aspecto nos contratos de nível de serviço, ou Service Level Agreements (SLA), recomenda.
Sobre os cuidados gerais de segurança – confidencialidade, tratamento de dados pessoais e controlo sobre a informação – é importante confirmar como são assegurados, tendo em conta as práticas de infra-estrutura partilhada da cloud computing. Há o risco de os dados não serem devidamente apagados, quando se deixa de usar determinada infra-estrutura. Trata-se de uma questão menos óbvia, mas importante também para questões de regulamentação sectorial sobre, por exemplo, a confidencialidade dos dados dos cidadãos. Até porque, como referiu, nalguns casos é mais barato manter os dados do que apagá-los.