A OVHcloud e a soberania dos dados

A soberania dos dados na cloud: um desafio para todos na Europa

A soberania digital pode ser definida como a capacidade de um Estado para controlar todos os recursos digitais, tanto do ponto de vista económico como social e político, sem a intervenção de terceiros ou influências externas. Em suma, consiste em ter liberdade de escolha e estar menos dependente das infraestruturas, plataformas ou pontos de acesso à Internet não europeus.

A soberania dos dados, por seu lado, estende esta noção às organizações e determina a sua capacidade de proteger os seus dados de eventuais interferências, nomeadamente estrangeiras, e, por conseguinte, de agir de forma independente, em especial em ambientes estratégicos para o seu desenvolvimento. A conformidade com a regulamentação europeia, que limita as possibilidades de transferência de dados pessoais para fora da União Europeia, constitui uma garantia de soberania dos dados.

A European Cloud OVHcloud

Encontramo-nos atualmente num contexto de concorrência globalizada e de crescimento exponencial do volume de dados sensíveis e estratégicos utilizados na cloud. Um número crescente de organizações europeias já se apercebeu da importância da governação dos seus sistemas de informação e dos dados que manipulam, assim como dos riscos de ações de inteligência económica e de ingerência extraeuropeia através de dependências não controladas com alguns dos seus fornecedores de serviços cloud. Estes representam um risco tanto para a proteção dos dados como para a capacidade de desenvolver grandes atores portugueses ou europeus. É, assim, mais difícil fazer face à concorrência internacional no setor digital. Defender a soberania dos dados significa agir ao serviço da proteção e da liberdade de escolha das administrações, das empresas e dos cidadãos.

KPMG-livreblanc

Cloud europeia: os principais desafios para a Europa e cinco possíveis cenários com um impacto significativo até 2027-2030

Em maio de 2021, a KPMG publicou um Livro Branco com base em dados e informações provenientes de uma grande variedade de fontes, incluindo mais de 250 interações com os responsáveis públicos e privados europeus. Concluiu-se que a migração para a cloud se tornou uma passagem obrigatória e que a segurança e a soberania dos dados constituem uma das principais preocupações dos responsáveis. Além disso, o atual paradigma do mercado europeu da cloud não parece perene. Foram identificados cinco cenários com vários benefícios possíveis.

Como é que a OVHcloud garante o respeito pela soberania dos dados dos seus clientes?

 

"Na OVHcloud, acreditamos que a capacidade de exercer a nossa soberania digital é a chave para garantir a liberdade dos utilizadores dos nossos serviços. O objetivo é manter o controlo sobre o nosso futuro, garantir a segurança do emprego e defender os nossos valores europeus. Estes são os desafios de uma cloud de confiança que garante a proteção da soberania dos dados estratégicos dos Estados, das empresas e dos cidadãos. Queremos manter-nos fiéis à promessa inicial da Internet: transformar o mundo digital num espaço de liberdade, de autonomia e de inovação coletiva".

Four Triangles

“Pure player” francês da cloud, empenhado no ecossistema digital europeu

Uma cloud soberana é, antes de mais, uma cloud proporcionada por um fornecedor que se compromete a não fazer qualquer uso dos dados dos seus clientes. Este compromisso é uma parte intrínseca da proposta de valor da OVHcloud, um “pure player” e especialista em cloud, que não tem atividade noutros domínios que possam fazer concorrência com os seus clientes. Neste contexto, a OVHcloud comprometeu-se a criar uma oferta de cloud de confiança para contribuir para a proteção da soberania industrial.

A OVHcloud participa nos esforços desenvolvidos pelas autoridades públicas europeias e pelas associações profissionais que defendem a soberania digital na Europa. Membro fundador das associações CISPE (Cloud Infrastructure Services Providers in Europe) e do projeto GAIA-X, a OVHcloud contribui ativamente para estas iniciativas europeias com o objetivo de garantir a segurança, a interoperabilidade, a transparência e a confiança necessárias para a utilização correta dos dados. Em 2020, a OVHcloud iniciou o programa Open Trusted Cloud com o objetivo de criar um ecossistema de soluções SaaS e PaaS numa cloud aberta, reversível e fiável com todos os atores do setor digital. Estas iniciativas pretendem tirar o melhor partido dos nossos ecossistemas europeus e incentivar os círculos virtuosos.

 
Para as empresas

Clientes europeus protegidos contra as ações de ingerência de autoridades estrangeiras

A OVHcloud implementa medidas técnicas e organizacionais destinadas a proteger os dados armazenados pelos seus clientes europeus no seio da União Europeia contra a ingerência de autoridades não europeias. Tecnicamente, nenhuma entidade ou parceiro terceiro da OVHcloud, localizado num país terceiro que não assegure um nível de proteção dos dados conforme ao vigente na União Europeia, tem a possibilidade de operar e, portanto, de aceder às infraestruturas de alojamento dos referidos dados.

Por exemplo, no que diz respeito aos Estados Unidos, que já não são considerados um país que dispõe de um nível de proteção adequado desde a anulação do “Privacy Shield” pelo acórdão “Schrems II” do Tribunal de Justiça da União Europeia de 16 de julho de 2020. Desta forma, as entidades norte-americanas da OVHcloud não intervêm no âmbito dos serviços fornecidos aos clientes europeus da OVHcloud, nem têm a possibilidade técnica de aceder aos dados alojados nos datacenters europeus da OVHcloud. Por conseguinte, as referidas entidades norte-americanas não têm o controlo dos dados armazenados nesses datacenters nem podem dar uma resposta favorável aos pedidos de comunicação destes dados por parte das autoridades norte-americanas.

Apenas as entidades localizadas na União Europeia ou em países cujo nível de proteção tenha sido objeto de uma decisão de adequação da Comissão Europeia, em especial o Canadá, podem, nas condições de serviço em vigor, participar na execução dos serviços fornecidos aos clientes europeus da OVHcloud e intervir tecnicamente nas infraestruturas nas quais estes últimos alojam os seus dados.

Pleno respeito pela regulamentação, liberdades e direitos fundamentais europeus

Do ponto de vista organizacional, o Grupo OVHcloud é um grupo europeu no qual as entidades comerciais europeias, bem como as entidades suscetíveis de intervir nas infraestruturas de alojamento da OVHcloud situadas no seio da União Europeia e utilizadas pelos seus clientes europeus, são da competência exclusiva dos Estados-Membros da União Europeia ou dos Estados que tenham sido objeto de uma decisão de adequação da Comissão Europeia. Com efeito, as referidas entidades são controladas pela OVH Groupe SAS, que é uma sociedade de direito francês, sem ligação de dependência com qualquer entidade ou organização sujeita à jurisdição de Estados que não asseguram um nível adequado de proteção de dados.

Autoridades terceiras (governamentais, administrativas, judiciais ou outras) podem solicitar à União Europeia a comunicação de dados alojados por um cliente europeu da OVHcloud num datacenter localizado no seio da União Europeia. Neste caso, a OVHcloud tem plena capacidade para, em conformidade com a sua política de tratamento dos pedidos das autoridades e com as disposições do artigo 48º do RGPD, se opor a tais pedidos, se não forem realizados em conformidade com um acordo internacional, como um tratado de auxílio judiciário mútuo, em vigor entre o país requerente e o ou os Estados-Membros da União Europeia em causa.

Além disso, para os clientes que desejem que o tratamento dos dados que confiam à OVHcloud seja realizado exclusivamente a partir do território europeu, a OVHcloud implementa uma opção no âmbito da qual está previsto que apenas as entidades europeias participem na execução do serviço, com exclusão de qualquer outra entidade, incluindo as entidades localizadas em países terceiros que a Comissão Europeia considere terem um nível de proteção adequado.

HDS Certification OVHcloud

Em conformidade com as normas de segurança e os modelos de referência soberanos mais exigentes

Na OVHcloud, não é autorizado o acesso aos dados dos clientes, salvo se este se realizar a pedido do cliente ou com o consentimento do cliente e, quando necessário, no âmbito de uma intervenção das equipas de suporte ou de uma operação de manutenção, por exemplo. A empresa assegura uma rastreabilidade completa destas ações, garantindo a soberania dos dados.

O visto de segurança SecNumCloud, obtido pela OVHcloud no início de 2021, garante aos clientes dos serviços cloud certificados a escolha de soluções cujo nível de segurança e de confiança foi verificado pela ANSSI francesa (Agência Nacional para a Segurança dos Sistemas de Informação). Além disso, a OVHcloud fornece os seus serviços cloud às administrações de França (UGAP), do Reino Unido (G-Cloud), da Itália (AgID) ou ainda às instituições da Comissão Europeia (DPS 1 MC5). A empresa também está envolvida nos trabalhos em curso da Agência Europeia para a Segurança das Redes e da Informação (ENISA) para a certificação em matéria de cibersegurança dos serviços cloud.

A OVHcloud também tem por missão responder às necessidades e exigências dos operadores de importância vital e dos operadores de serviços essenciais que, no âmbito dos seus procedimentos de homologação, devem realizar análises de risco e implementar várias regras de segurança. A documentação da OVHcloud baseada na aplicação de diferentes normas e modelos de referência (ISO 27001, ISO 27701, SecNumCloud, HDS, SOC, CSA Star, PCI-DSS, entre outros) permite aos clientes conduzir a sua análise de riscos, acedendo com total transparência às medidas e à organização implementadas pela OVHcloud para assegurar a proteção dos seus dados.

Best Value Dedicated Servers

Maior controlo da cadeia de subcontratação e das dependências tecnológicas

Nos últimos 20 anos, a OVHcloud tem desenvolvido um modelo de atividade industrial integrado que lhe permite controlar toda a sua cadeia de valor. Este modelo inclui a construção e o controlo dos datacenters, a conceção dos servidores e dos racks informáticos na fábrica de Croix (Hauts-de-France), assim como a exploração de uma rede de fibra ótica escura, iluminada pela OVHcloud. Esta gestão logística permite assegurar a soberania dos dados e dos diferentes serviços, graças a um controlo da cadeia de abastecimento, e limitar as dependências tecnológicas em relação aos subcontratantes e fornecedores da OVHcloud. A capacidade da empresa para apoiar o desenvolvimento da atividade dos seus clientes foi demonstrada durante a crise sanitária de 2020: a OVHcloud evitou as ruturas de stock, contrariamente a alguns concorrentes, mais dependentes dos seus fornecedores.

A OVHcloud tem também a particularidade de integrar nos seus produtos tecnologias open source, abertas e reversíveis, ou standard de mercado. Estas plataformas, especialmente concebidas para garantir a soberania dos dados dos clientes, são operadas de extremo a extremo pela OVHcloud sem intervenção de subcontratantes externos. Assim, a OVHcloud certifica-se de que os editores de softwares que concebem os componentes tecnológicos das suas soluções apresentam garantias de soberania.

Sob reserva das condições particulares de serviço, a OVHcloud assegura que os parceiros que intervêm no âmbito da manutenção da solução se comprometem a intervir apenas a partir dos Estados europeus ou que apresentam um nível de proteção de dados equivalente ao vigente na União Europeia, assim como a cumprir a regulamentação europeia. O controlo completo e o muito alto nível de integração de serviços terceiros integrados nos seus produtos permite à OVHcloud assegurar uma maior proteção da soberania dos dados dos seus clientes. O objetivo é avançar para uma cloud de confiança, respeitando a soberania dos dados portugueses e europeus.

Precisa de ajuda ou de informações?

Um conselheiro da OVHcloud liga-lhe gratuitamente