Dados regulados podem exigir data centers certificados, contratos (BAAs) e suporte a auditoria. Verifique se o provedor assina BAAs (ex.: HIPAA) e tem ISO 27001 ou SOC 2. Residência de dados (ex.: GDPR) pode limitar onde hospedar.
Certificações e acordos
- BAA: Exigido para HIPAA quando o provedor lida com PHI. O provedor deve assinar e cumprir salvaguardas HIPAA. Nem todos os hosts oferecem.
- ISO 27001 / SOC 2: Indica que o provedor tem segurança e processos documentados. Muitas vezes exigido ou preferido para cargas empresariais e reguladas.
- Setor específico: PCI-DSS para dados de cartão; FedRAMP para governo US. Verifique se o provedor tem as certificações do seu setor.
Residência de dados
- GDPR: Dados pessoais da UE podem precisar ficar no EEE. Escolha uma região (ex.: UE) e garanta que o provedor se comprometa com localização e termos de processamento.
- Outras regulações: Alguns países exigem que os dados fiquem no país. Confirme que o provedor tem DCs na jurisdição necessária.
- Contratos: Acordos de processamento de dados (DPA) e cláusulas contratuais padrão (SCCs) podem ser exigidos.
O que perguntar aos provedores
- Vocês assinam BAAs (HIPAA) ou DPAs (GDPR)? Quais certificações têm (ISO 27001, SOC 2)?
- Onde os dados são armazenados? Podemos restringir a uma região ou país?
- Vocês apoiam auditorias (evidências, questionários)? Qual o processo?
Resumo
Para dados regulados: verifique BAAs/DPAs, ISO 27001 ou SOC 2 e opções de residência. Escolha um provedor que se comprometa com seus requisitos de compliance e apoie auditorias.
