Como as empresas em setores altamente regulamentados podem garantir que seus serviços de TI permanecem compatíveis na indústria? A resposta envolve primeiro entender o que significa o cumprimento, e, em seguida, certificar que os prestadores de serviços não vão apenas proteger informações sensíveis, mas também seguir as políticas e procedimentos de conformidade necessários.
A lista de normas de conformidade é longa: PCI DSS (Payment Card Industry Standard Data Security), SOX (Sarbanes Oxley), GLBA (Gramm Leach Bliley) e HIPAA (Health Insurance Portability and Accountability). As siglas podem ser meio confusas, mas o objetivo é bem simples: fazer com que os reguladores tenham certeza de que as empresas estão colocando os processos em andamento para proteger as informações pessoais, especialmente nos itens como número de contas, informações de segurança social e os dados do cartão de crédito.
Quando se examina a nuvem, a primeira preocupação é saber onde os dados serão armazenados. Os modelos de nuvem privada e híbridas são pontos de partida interessantes para as empresas em mercados altamente regulamentados. Cada vez mais, a criptografia, o que torna os dados ilegíveis e inúteis para os bandidos, é usada para garantir que intrusos não possam pegar informações sigilosas. As VPNs (Redes Privadas Virtuais) são populares com a nuvem, pois elas abrem uma conexão com a Internet e conseguem criptografar os dados à medida que se desloca de um lugar para outro.
Baseando-se na nuvem pública aumenta funções de monitorização do cumprimento de um negócio, porque, em última análise, o cliente é responsável por qualquer infração, mesmo aqueles no site do seu provedor. O Serviço de Controle de Organização (SOC) gera relatórios que garantem que as empresas tenham não só a informação de forma segura, como também os mecanismos de informação e auditoria colocadas em prática para demonstrar a conformidade com as regras existentes.
Em alguns casos, o provedor de nuvem pode cultivar algumas das suas tarefas de processamento a terceiros, de modo que o cliente precisa de transparência e capacidade de identificar não só os subcontratantes que tenham acesso aos seus dados, mas também quais as medidas que tomar para protegê-lo.
As empresas têm desenvolvido políticas e controles para suas soluções locais. Ao estender esses conceitos para a nuvem e abordar algumas questões de conformidade específica, as empresas podem ter certeza que seu sistema não só cumpre com os regulamentos da indústria, como também está colhendo os benefícios da nuvem: menor complexidade, as implantações mais rápidas e menor custo de gestão global e operacional.