Padrões de conformidade e auditoria de data centers
Um dos recursos mais importantes de qualquer data center é a segurança.
Afinal, as empresas confiam que seus dados de missão crítica estarão contidos nas instalações.
Nos últimos anos, a segurança tornou-se ainda mais crítica para as empresas. Quer você armazene seus dados em um data center interno ou em um provedor terceirizado, os ataques cibernéticos são uma ameaça real e crescente às suas operações. Eles têm um plano para prevenir ataques DDoS?
Todos os anos, o número de incidentes de segurança aumenta e o volume de dados comprometidos aumenta proporcionalmente.
Nos primeiros 6 meses de 2018, 3.353.172.708 registros foram comprometidos. Um aumento de 72% em comparação com o mesmo período de 2017 de acordo com o Breach Level Index.
Da mesma forma, a proteção de dados em todos os níveis é mais importante do que nunca. Proteger seu data center ou escolher um provedor compatível deve ser o centro de sua estratégia de segurança.
A realidade é que os incidentes e ataques de segurança cibernética estão se tornando cada vez mais frequentes e agressivos.
Quais são os níveis de segurança do data center?
Os padrões de segurança do data center ajudam a aplicar as melhores práticas de proteção de dados. Compreender seu escopo e valor é essencial para escolher um fornecedor. Também desempenha um papel no desenvolvimento de uma estratégia de TI de longo prazo que pode envolver terceirização extensa.
Este artigo aborda padrões críticos de data center e seus históricos de mudanças. Além de aprender o que esses padrões significam, as empresas também precisam se manter informadas sobre quaisquer atualizações operacionais que possam afetá-las.
O verdadeiro desafio é que muitos fora do domínio da auditoria podem não compreender completamente as diferentes classificações. Eles podem nem saber o que procurar no projeto e na certificação de um data center.
Para ajudá-lo a tomar uma decisão mais informada sobre os serviços do seu data center, aqui está uma visão geral dos conceitos que você deve compreender.
Conformidade do data center
Padrão e Certificação de Auditoria SSAE 18
Um padrão de longa data em toda a indústria de data centers, o SAS 70 foi oficialmente retirado no final de 2010. Logo após sua descontinuação, muitas instalações mudaram para o SSAE 16.
Porém, é fundamental entender que não existe certificação para SSAE 16. É uma norma desenvolvida pelo Auditing Standards Board (ASB) do American Institute of Certified Public Accountants (AICPA).
Deixando de lado as siglas complicadas, o SSAE 16 não é algo que uma empresa possa alcançar. É um padrão de atestado utilizado para dar credibilidade aos processos organizacionais. Ao contrário da SAS 70, a SSAE 16 exigia que os prestadores de serviços “fornecem uma declaração escrita relativa à eficácia dos controlos. ” Dessa forma, o SSAE 18 introduziu um controle mais eficaz dos processos e sistemas de uma empresa, enquanto o SAS 70 era principalmente uma prática de auditoria.
É importante mencionar que o SSAE 16 resultava em um relatório de Controle de Organização de Serviços (SOC ou centro de operações de segurança) 1. Este relatório ainda está em uso e fornece informações sobre as políticas e processos de relatórios da empresa.
Após anos de existência, o SSAE 16 foi recentemente substituído por uma versão revisada. A partir de 1º de maio de 2017, ele não poderá mais ser emitido e, em seu lugar, será usado um SSAE 18 aprimorado.
O SSAE 18 baseia-se na versão anterior com várias adições significativas. Ambos se referem aos processos de avaliação de risco, que anteriormente faziam parte apenas da certificação SOC 2.
As atualizações do SSAE 18 incluem:
- A orientação sobre avaliação de risco. Esta parte ajuda a obrigar as organizações a avaliar e revisar regularmente os riscos tecnológicos potenciais.
- Controles Complementares da Organização de Subserviços. Uma nova seção da norma visa dar mais clareza às atividades de um fornecedor terceirizado específico.
Com essas mudanças, o padrão atualizado visa melhorar ainda mais o monitoramento dos data centers. Uma das medidas de precaução mais importantes contra violações e ações fraudulentas, o monitoramento de sistemas e atividades críticas, é a base de organizações seguras. Isso pode ter gerado um pouco mais de trabalho para um provedor de serviços, mas também leva sua segurança para o próximo nível.
Dos relatórios relevantes para data centers, o SOC 1 é o que mais se aproxima do antigo SAS 70. A organização de serviços (data center) define os controles internos contra os quais as auditorias são realizadas.
O principal objetivo do SOC 1 é fornecer informações sobre a estrutura de controle de um provedor de serviços. É particularmente crucial para empresas de SaaS e de tecnologia que oferecem alguns serviços vitais às empresas. Nesse aspecto, estão mais integrados nos processos dos seus clientes do que estaria um parceiro de negócios ou colaborador geral.
O SOC 1 também se aplica sempre que as aplicações financeiras ou a infraestrutura subjacente dos clientes estiverem envolvidas. A nuvem se qualificaria para esse tipo de relatório. No entanto, o SOC 1 não se aplica a provedores de colocation que não prestam serviços gerenciados.
O SOC 2 é exclusivo para organizações de serviços cujos controles não são relevantes para as aplicações financeiras ou requisitos de relatórios dos clientes. Instalações de data center de colocation que fornecem energia e controles ambientais se qualificariam aqui. No entanto, ao contrário de um SOC 1, os controles são fornecidos (ou prescritos) pelo AICPA (Princípios de Serviços de Confiança) e auditados.
Tornar-se uma reclamação SOC 2 é um processo mais rigoroso. Exige que os prestadores de serviços relatem todos os detalhes relativos às suas práticas internas de acesso e controle de autorização, bem como aos processos de monitoramento e notificação.
>O SOC 3 exige uma auditoria semelhante ao SOC 2 (controles prescritos). No entanto, não inclui relatórios ou tabelas de teste. Qualquer organização do tipo consumidor pode optar por seguir esse caminho para poder postar um logotipo do SOC em seus sites, etc.
Padrões Adicionais de Conformidade
HIPAA e PCI DSS são duas noções críticas a serem compreendidas ao avaliar a segurança do data center.
HIPAA
A HIPAA (Lei de Responsabilidade e Portabilidade de Seguros de Saúde) regula dados, segurança de armazenamento em nuvem e práticas recomendadas de gerenciamento no setor de saúde. Dada a natureza sensível dos dados de saúde, qualquer instituição que os trate deve seguir práticas rigorosas de segurança.
A conformidade com a HIPAA também afeta os provedores de data center. Na verdade, aplica-se a qualquer organização que trabalhe com um prestador de cuidados de saúde e tenha acesso a dados médicos. A HIPAA considera todas essas organizações como prestadores de cuidados de saúde associados comerciais.
Se você ou seus clientes tiverem acesso a dados de saúde, será necessário verificar se você está usando um provedor de hospedagem compatível com HIPAA. Esta conformidade garante que pode fornecer os níveis necessários de segurança de dados. Além disso, pode fornecer a documentação que você pode precisar enviar para comprovar a conformidade.
Padrão de segurança de dados da indústria de cartões de pagamento PCI-DSS
Já o PCI DSS (Payment Card Industry Data Security Standard), é um padrão relacionado a todos os tipos de negócios de comércio eletrônico. Qualquer site ou empresa que aceite transações online deve ser verificado pelo PCI DSS. Criamos uma lista de verificação de conformidade com PCI para ajudar.
O PCI DSS foi desenvolvido pelo PCI SSC (Payment Card Industry Security Standards Council), cujos membros incluíam empresas de cartão de crédito como Visa, Mastercard, American Express, etc. segurança das informações financeiras dos clientes.
O PCI DSS 3.2 foi atualizado recentemente. Envolve uma série de atualizações para lidar com pagamentos móveis. Ao acompanhar o ritmo das mudanças na indústria, o PCI continua a ser um padrão relevante para todas as empresas de comércio eletrônico.
Considerações finais: Auditoria e conformidade de data centers
Os padrões de auditoria de segurança de data centers continuam a evoluir.
As revisões e atualizações contínuas ajudam-nos a permanecer relevantes e oferecem informações valiosas sobre o compromisso de uma empresa com a segurança. É verdade que esses padrões geram algumas dúvidas de tempos em tempos e não podem fornecer uma garantia de 100% sobre a segurança da informação.
No entanto, eles ainda ajudam a avaliar a credibilidade de um fornecedor. Um provedor de serviços de segurança gerenciado que se esforça para cumprir as regulamentações governamentais tem maior probabilidade de oferecer proteção de dados de qualidade. Isto é particularmente importante para fornecedores de SaaS e IaaS. Suas plataformas e serviços tornam-se partes vitais das operações de seus clientes e devem fornecer segurança avançada.
Ao escolher seu provedor de data center, compreender esses padrões pode ajudá-lo a fazer uma escolha mais inteligente. Se não tiver certeza de qual se aplica ao data center, você pode sempre perguntar.
Verifique se seus padrões correspondem ao estabelecido pela AICPA e outras organizações. Isso lhe dará tranquilidade quanto à sua escolha e à segurança dos seus dados.