Conformidade com a Lei de TI da Índia na Cloudflare

A Cloudflare é uma empresa de segurança, desempenho e confiabilidade sediada nos Estados Unidos, com operações globais — incluindo um escritório na Índia —que fornecem uma ampla gama de serviços de rede a empresas de todos os tamanhos e em todas as regiões geográficas. Ajudamos a tornar os sites e aplicativos de internet de nossos clientes mais seguros, aprimoramos o desempenho de seus aplicativos críticos para os negócios e eliminamos o custo e a complexidade do gerenciamento de hardwares de rede individuais. A Rede Global da Cloudflare, que é alimentada por mais de 200 servidores de borda em todo o mundo, conforme descrito aqui, serve como uma base sobre a qual podemos desenvolver e implantar rapidamente nossos produtos para nossos clientes.

A Cloudflare não tem acesso nem exerce qualquer controle sobre os dados que seus clientes optam por transmitir, rotear, migrar e armazenar em cache por meio da nossa Rede Global. Em um número limitado de casos, os produtos da Cloudflare podem ser usados para armazenamento de conteúdo. No entanto, independentemente dos serviços da Cloudflare que utilizam, nossos clientes são totalmente responsáveis por sua própria conformidade com a legislação aplicável e seus acordos contratuais independentes no que diz respeito aos dados que optam por transmitir, rotear, trocar e armazenar em cache, ou armazenar por meio da Rede Global da Cloudflare.

Os tipos de dados pessoais que a Cloudflare processa em nome de um cliente dependem de quais serviços da Cloudflare são implementados. A grande maioria dos dados que transitam na Rede da Cloudflare permanece nos servidores de borda da Cloudflare, enquanto os metadados referentes a essa atividade são processados em nome de nossos clientes em nossos data centers principais, nos EUA e na Europa.

A Cloudflare mantém dados de registros sobre os eventos em nossa Rede. Alguns desses dados de registros incluirão informações sobre visitantes e/ou usuários autorizados dos domínios, redes, sites, interfaces de programação de aplicativos (“APIs”) ou aplicativos de um cliente, incluindo o produto Zero Trust da Cloudflare, conforme aplicável. Esses metadados contêm dados pessoais extremamente limitados, na maioria das vezes na forma de endereços de IP. Processamos esse tipo de informações em nome de nossos clientes nos nossos data centers principais nos EUA e na Europa por um período limitado.

Para a Cloudflare, a segurança é um elemento essencial para garantir a privacidade de dados. Desde o lançamento da Cloudflare em 2010, lançamos uma série de tecnologias de ponta que aprimoram a privacidade, normalmente à frente das demais empresas do ramo. Entre outras coisas, essas ferramentas permitem aos nossos clientes criptografar facilmente o conteúdo das comunicações por meio de SSL universal, criptografar os metadados em comunicações usando DNS sobre HTTPS ou DNS sobre TLS e SNI criptografado, bem como controlar onde suas chaves SSL são mantidas ou onde seu tráfego é inspecionado.

A Cloudflare mantém um programa de segurança que excede os padrões do setor. Nosso programa de segurança inclui mantermos políticas e procedimentos formais de segurança, estabelecermos controles de acesso lógicos e físicos adequados e implementarmos salvaguardas técnicas nos ambientes corporativos e de produção, incluindo o estabelecimento de configurações seguras, transmissão e conexões seguras, registros em log, monitoramento e a adoção de tecnologias de criptografia adequadas para dados pessoais.

Atualmente mantemos as seguintes validações: conformidade com o ISO 27001, ISO 27701, ISO 27018, SOC 2 Tipo II e PCI DSS Nível 1. Você pode saber mais sobre nossas certificações e relatórios clicando aqui.

Para conferir as medidas de segurança que a Cloudflare oferece para a proteção de dados pessoais, incluindo dados pessoais transferidos da Índia para os EUA, consulte o Apêndice 2 do nosso Adendo ao Processamento de Dados ("DPA") padrão.

O DPA padrão da Cloudflare está incorporado por referência ao nosso Contrato de Prestações de Serviços do Plano Enterprise e ao nosso Contrato de Assinatura por Autoatendimento. Os compromissos de proteção de dados que assumimos em nosso DPA oferecem o mesmo nível de proteção estabelecido pela Lei de Tecnologia da Informação e afirmam com clareza quais dados pessoais são processados e as finalidades do processamento, além de incluir medidas de segurança adequadas. A definição de "dados pessoais" da Cloudflare inclui "dados confidenciais" conforme definidos nas Regras de SPDI.

Quando emitimos nosso primeiro relatório de transparência em 2014 para processos judiciais recebidos em 2013, prometemos que exigiríamos um processo judicial antes de fornecer a qualquer entidade governamental quaisquer dados de clientes caso não se tratasse de uma emergência e que notificaríamos nossos clientes em caso de qualquer processo judicial que solicitasse suas informações de cliente ou de faturamento antes de divulgarmos tais informações, salvo se proibido por lei. Declaramos publicamente que jamais entregamos chaves de criptografia a nenhum governo, fornecemos a qualquer governo um feed de conteúdo em trânsito na nossa Rede nem implantamos equipamentos policiais na nossa Rede. Também prometemos que, se nos pedissem para realizar qualquer uma dessas ações, “esgotaríamos todos os recursos legais para proteger nossos clientes contra o que acreditamos ser solicitações ilegais ou inconstitucionais”. Desde os primeiros dias da história da Cloudflare, reafirmamos esses compromissos duas vezes por ano e até mesmo os expandimos em nossos Relatórios de Transparência.

Também demonstramos nossa crença na transparência e nosso compromisso em proteger nossos clientes, movendo uma ação sempre que necessário. Em 2013, com a ajuda da Fundação das Fronteiras Eletrônicas, de modo a proteger os direitos de nossos clientes, contestamos legalmente uma carta de segurança nacional ("NSL") dos EUA emitida administrativamente com base em disposições que permitiam que o governo nos impedisse de divulgar informações sobre a NSL ao cliente envolvido. A Cloudflare não forneceu informações sobre o cliente em resposta a essa solicitação, mas as disposições de confidencialidade permaneceram em vigor até que um tribunal levantou as restrições em 2016.

Com frequência reafirmamos nossa posição no sentido de que todas as solicitações governamentais de dados pessoais que estejam em conflito com as leis de privacidade do país de residência de uma pessoa devem ser contestadas judicialmente (confira, como um exemplo, nosso Relatório de Transparência e nosso artigo técnico Políticas da Cloudflare relativas à privacidade de dados e às solicitações das autoridades no que se refere a solicitações de dados por parte do governo). Em consonância com a jurisprudência e as estruturas estatutárias existentes nos EUA, a Cloudflare pode solicitar aos tribunais dos EUA que anulem uma solicitação de dados pessoais por parte das autoridades dos EUA com base em tal conflito de leis.

Nosso DPA de clientes padrão incorpora, ainda, as medidas descritas acima na forma de compromissos contratuais. Você pode conferir esses compromissos contratuais na seção 7 do nosso DPA.

Seção 702. A Seção 702 da Lei de Vigilância de Inteligência Estrangeira (FISA) confere autoridade ao governo dos EUA para solicitar as comunicações de pessoas não americanas localizadas fora dos Estados Unidos para fins de inteligência estrangeira. O governo dos EUA usa a Seção 702 para coletar o conteúdo das comunicações por meio de “seletores” específicos, como endereços de e-mail, que estão associados a alvos específicos de inteligência estrangeira. Uma vez que a autoridade é normalmente utilizada para coletar o conteúdo das comunicações, os “prestadores de serviços de comunicações eletrônicas” solicitados a cumprir o disposto na Seção 702 são, em geral, provedores de e-mail ou outros provedores com acesso ao conteúdo das comunicações.

Conforme observado no nosso Relatório de Transparência, a Cloudflare não tem acesso a esse tipo de conteúdo tradicional de clientes para os fins de seus serviços básicos. Além disso, a Cloudflare mantém um compromisso público assumido há muitos anos no sentido de que jamais fornecemos a nenhum governo o feed de conteúdo de nossos clientes que transita na nossa rede e de que esgotaríamos todos os recursos legais se nos pedissem para fazê-lo, para proteger nossos clientes contra o que acreditamos ser solicitações ilegais ou inconstitucionais.

Ordem Executiva 12333. A Ordem Executiva 12333 rege a coleta de inteligência estrangeira por agências de inteligência dos EUA direcionada a pessoas que não são cidadãs dos EUA localizadas fora dos Estados Unidos. A Ordem Executiva 12333 não tem disposições para obrigar a assistência de empresas dos EUA.

A Cloudflare tem um compromisso de longa data no sentido de exigir um processo legal antes de fornecer a qualquer entidade governamental um acesso a dados de clientes se não houver uma emergência. Portanto, não iremos satisfazer solicitações voluntárias de dados ao abrigo da Ordem Executiva 12333. Além disso, a Cloudflare é líder no incentivo à segurança adicional para dados em trânsito, tanto para conteúdo quanto para metadados, de modo a proteger dados pessoais de qualquer tipo de olhares curiosos. Em 2014, por exemplo, lançamos o Universal SSL, tornando a criptografia, algo que costumava ser caro e difícil, gratuita para todos os clientes da Cloudflare. Na semana do lançamento, duplicamos o tamanho da web criptografada. Devido a um número crescente de leis que tentam afetar a criptografia, até assumimos um compromisso no sentido de jamais enfraquecer, comprometer ou subverter nossa criptografia a pedido de um governo ou outro terceiro.

Lei CLOUD. A Lei CLOUD (Clarifying Lawful Overseas Use of Data [Esclarecimento do Uso Legítimo de Dados no Exterior]) não amplia o alcance da autoridade investigativa dos EUA. As rigorosas exigências para que as autoridades policiais obtenham um mandado de busca válido permanecem inalterados. A Lei CLOUD também se aplica ao acesso a conteúdo que, de modo geral, não armazenamos, conforme descrito acima. É importante observar que, usualmente, as autoridades policiais buscam obter dados junto à entidade que exerce um controle efetivo sobre esses dados (isto é, nossos clientes) e não junto aos provedores de nuvem.

A Lei CLOUD fornece mecanismos para que um provedor solicite a um tribunal a anulação ou modificação de uma solicitação legal que apresente tal conflito de leis. Esse processo também permite que um provedor divulgue a existência da solicitação a um governo estrangeiro cujo cidadão seja afetado, caso esse governo tenha assinado um acordo no âmbito da Lei CLOUD com os Estados Unidos. A Cloudflare mantém um compromisso no sentido de contestar judicialmente quaisquer ordens judiciais que representem tais conflitos de leis. Até o momento não recebemos nenhuma ordem judicial que identificamos como representando conflitos dessa natureza.

Para terminar, tenham em mente que o nosso DPA assume um compromisso no sentido de que, salvo se proibido por lei, notificaremos o cliente se conseguirmos identificar que um processo judicial de terceiros, que solicite os dados pessoais que processamos em nome desse cliente, resulta em um conflito de leis. Os clientes notificados a respeito de uma solicitação judicial pendente podem tentar intervir para evitar a divulgação de seus dados pessoais.

As diretrizes do Reserve Bank of India (“RBI”) exigem que os provedores de sistemas de pagamento e seus provedores de serviços, intermediários, fornecedores terceirizados e outras entidades do ecossistema de pagamentos se certifiquem de que todos os dados relacionados aos sistemas de pagamento operados por eles sejam armazenados na Índia. Os dados dos sistemas de pagamento incluem detalhes das transações de ponta a ponta e informações relativas à transação de pagamento ou liquidação que são coletados/ transmitidos/ processados como parte de uma mensagem/ instrução de pagamento. Isso poderá envolver dados de clientes (nome, número do celular, e-mail, número Aadhaar, número de PAN etc.); dados confidenciais de pagamento (dados de conta do cliente e do beneficiário); credenciais de pagamento (OTP, PIN, senhas etc.); e dados de transações (informações do sistema de origem e destino, referência da transação. carimbo de hora, valor etc.)

Para os clientes que utilizam os serviços mais populares da Cloudflare para a camada de aplicação, incluindo nossa Rede de Distribuição de Conteúdo (CDN), a Cloudflare não armazena conteúdo de clientes. A Cloudflare armazena somente dados de log, incluindo metadados sobre a interação entre o usuário final, a Cloudflare e a origem. De modo geral, esses dados deverão incluir informações referentes à hora da solicitação, tipo de navegador, tempo de resposta e endereços de IP do cliente e do servidor. Como resultado, acreditamos que os clientes podem usar os serviços da Cloudflare em conformidade com as Diretrizes do RBI. Reconhecemos, no entanto, que alguns clientes acreditam que as Diretrizes do RBI requerem a localização dos dados. Nosso Pacote de Localização de Dados, descrito abaixo, pode esclarecer isso melhor.

Estamos cientes de que alguns de nossos clientes indianos preferem que determinados tipos de dados pessoais regulamentados permaneçam na Índia e não sejam transferidos para os EUA para fins de processamento. Para este fim, lançamos o Pacote de Localização de Dados, que ajuda as empresas a obterem os benefícios de desempenho e segurança da Rede global da Cloudflare e, ao mesmo tempo, facilita a configuração de regras e controles na borda que definem onde seus dados serão armazenados e protegidos.

O Pacote de Localização de Dados reúne algumas ofertas existentes com alguns recursos novos:

• Serviços Regionais. A Cloudflare tem data centers em mais de 270 cidades, localizadas em mais de 100 países. Juntamente com nossa solução Geo Key Manager, os Serviços Regionais permitem que os clientes escolham as localizações dos data centers onde as chaves TLS são armazenadas e a terminação TLS ocorre. O tráfego é ingerido globalmente, aplicando mitigações de DDoS nas camadas 3/4, enquanto as funções de segurança, desempenho e confiabilidade (como WAF, CDN, mitigação de DDoS etc.) são executadas somente em data centers designados da Cloudflare.

• Keyless SSL. O Keyless SSL permite que um cliente armazene e gerencie suas próprias chaves privadas de SSL que serão usadas com a Cloudflare. Os clientes podem usar vários sistemas para armazenar suas chaves, incluindo módulos de segurança de hardware ("HSMs"), servidores virtuais e hardware rodando Unix/Linux e Windows hospedado em ambientes controlados pelos clientes.

• Geo Key Manager. A Cloudflare tem uma base de clientes verdadeiramente internacional. Aprendemos que os clientes em todo o mundo têm diferentes exigências regulamentares e estatutárias, além de perfis de risco distintos no que diz respeito à colocação de suas chaves privadas. Com essa filosofia em mente, nos propusemos a desenvolver um sistema muito flexível para decidir onde as chaves podem ser guardadas. O Geo Key Manager permite que os clientes limitem a exposição de suas chaves privadas a determinados locais. É semelhante ao Keyless SSL, mas você não precisa executar um servidor de chaves dentro de sua infraestrutura: a Cloudflare hospeda servidores de chaves nos locais de sua escolha.