CAUSA

A falta de soluções e tecnologias

padrões, bem como
procedimentos transparentes e
íntegros de uso do serviço de
cloud compunting

A perda de controle e governança

de serviços em cloud computing,
isto é, falta de clareza dos papeis
e responsabilidades, falta de
controle de vulnerabilidades ou
inexistência de processos para
checá-las, etc

O uso de public cloud para

ambientes e/ou sistemas
classificados como escopo PCI

O compartilhamento de recursos
por várias empresas hospedadas
em um provedor de cloud
computing

A aquisição de um provedor de
cloud computing por outro
provedor

A terceirização das atividades

internas do/pelo provedor de
cloud computing
Desempenho insatisfatório dos
serviços contratados

Deficiência no isolamento de um
ambiente de public cloud.

Deficiência no isolamento de um
ambiente private cloud

O abuso na utilização de acesso

com privilégio alto para realização
de atividades maliciosas

O uso de ferramentas de
gerenciamento de ambientes em
public cloud, feito através da
internet e sujeito as
vulnerabilidades dos browsers

A intercepção de dados em
trânsito

A exclusão de dados
ineficientemente

Ataques DDoS (Distributed Denial

of Service)
A perda da chave de criptografia

Scans ou sondas maliciosas

O comprometimento da
integridade dos softwares básicos
de virtualização

Conflitos entre os procedimentos

de hardening[1] de dois ou mais
clientes

Erros de operação ou
indisponibilidade dos serviços do
provedor de cloud computing

Equipe de suporte do provedor de

cloud computing mal preparada
ou gargalos no atendimento das
solicitações da empresa
contratante

[1] Segundo Sarmento (2012), “hardening é um processo de mapeamento de ameaças, atenuação de riscos e execução de a
 EFEITO

pode inviabilizar a migração dos serviços

de contratados por uma empresa para
outro provedor de cloud computing.

pode tornar a organização contratante

não aderente aos requisitos de
segurança, especialmente, os requisitos
preconizados pela norma PCI DSS.

pode levar a perda da certificação PCI.

pode provocar a deterioração do

desempenho e a perda de dados de uma
das empresas que compartilham os
recursos no provedor de cloud
computing.

pode acarretar a indisponibilidade dos

serviços, perda de dados e/ou
dificuldades para migrar para outro
provedor ou para datacenter próprio.

pode gerar a indisponibilidade do

serviço, perda de dados,
confidencialidade e integridade, e
consequente perda da certificação PCI.
pode prejudicar a imagem da empresa
no mercado devido à baixa qualidade
dos serviços disponibilizados.

pode provocar a vulnerabilidade dos

dados, interrupção dos serviços da
empresa contratante, além de prejudicar
sua imagem no mercado.

pode provocar a vulnerabilidade dos

dados, interrupção dos serviços da
empresa contratante, além de prejudicar
sua imagem no mercado.

pode acarretar perda de

confidencialidade, integridade e
disponibilidade de dados e serviços.

pode acarretar perda de

confidencialidade, integridade e
disponibilidade de dados e serviços.

pode provocar a perda de dados e

consequentemente o certificado PCI.

pode gerar perda da confidencialidade

dos dados e, consequentemente, o
certificado PCI.

pode provocar a deterioração do

desempenho dos serviços oferecidos
pela empresa contratante ao mercado.
pode gerar a perda da certificação PCI
em caso de vazamento de dados de
cartão do(s) portador (es).

podem provocar a perda de

confidencialidade, integridade e
disponibilidade de dados e serviços.

pode acarretar a perda do isolamento

entre os diferentes clientes do provedor
de cloud computing, bem como de seus
respectivos dados.

pode provocar a não aderência aos

requisitos da norma PCI e consequente
ponto de auditoria.

podem provocar falhas que implicam na

necessidade de reprocessamento e
rotinas ou recuperação de dados.

pode acarretar indisponibilidade dos

serviços contratados e/ou atrasos nas
implantações dos projetos.
 CAUSA E EFEITO NA MESMA COLUNA
A falta de soluções e tecnologias padrões, bem
como procedimentos transparentes e íntegros de
uso do serviço de cloud compunting pode
inviabilizar a migração dos serviços de
contratados por uma empresa para outro provedor
de cloud computing.

A perda de controle e governança de serviços em

cloud computing, isto é, falta de clareza dos
papeis e responsabilidades, falta de controle de
vulnerabilidades ou inexistência de processos
para checá-las, etc pode tornar a organização
contratante não aderente aos requisitos de
segurança, especialmente, os requisitos
preconizados pela norma PCI DSS.

O uso de public cloud para ambientes e/ou

sistemas classificados como escopo PCI pode
levar a perda da certificação PCI.

O compartilhamento de recursos por várias

empresas hospedadas em um provedor de cloud
computing pode provocar a deterioração do
desempenho e a perda de dados de uma das
empresas que compartilham os recursos no
provedor de cloud computing.
A aquisição de um provedor de cloud computing
por outro provedor pode acarretar a
indisponibilidade dos serviços, perda de dados
e/ou dificuldades para migrar para outro provedor
ou para datacenter próprio.
A terceirização das atividades internas do/pelo
provedor de cloud computing pode gerar a
indisponibilidade do serviço, perda de dados,
confidencialidade e integridade, e consequente
perda da certificação PCI.
Desempenho insatisfatório dos serviços
contratados pode prejudicar a imagem da
empresa no mercado devido à baixa qualidade
dos serviços disponibilizados.
Deficiência no isolamento de um ambiente de
public cloud. pode provocar a vulnerabilidade dos
dados, interrupção dos serviços da empresa
contratante, além de prejudicar sua imagem no
mercado.

Deficiência no isolamento de um ambiente private

cloud pode provocar a vulnerabilidade dos dados,
interrupção dos serviços da empresa contratante,
além de prejudicar sua imagem no mercado.

O abuso na utilização de acesso com privilégio

alto para realização de atividades maliciosas pode
acarretar perda de confidencialidade, integridade
e disponibilidade de dados e serviços.

O uso de ferramentas de gerenciamento de

ambientes em public cloud, feito através da
internet e sujeito as vulnerabilidades dos browsers
pode acarretar perda de confidencialidade,
integridade e disponibilidade de dados e serviços.

A intercepção de dados em trânsito pode provocar

a perda de dados e consequentemente o
certificado PCI.
A exclusão de dados ineficientemente pode gerar
perda da confidencialidade dos dados e,
consequentemente, o certificado PCI.
Ataques DDoS (Distributed Denial of Service)
pode provocar a deterioração do desempenho dos
serviços oferecidos pela empresa contratante ao
mercado.
A perda da chave de criptografia pode gerar a
perda da certificação PCI em caso de vazamento
de dados de cartão do(s) portador (es).

Scans ou sondas maliciosas podem provocar a

perda de confidencialidade, integridade e
disponibilidade de dados e serviços.

O comprometimento da integridade dos softwares

básicos de virtualização pode acarretar a perda do
isolamento entre os diferentes clientes do
provedor de cloud computing, bem como de seus
respectivos dados.

Conflitos entre os procedimentos de hardening[1]

de dois ou mais clientes pode provocar a não
aderência aos requisitos da norma PCI e
consequente ponto de auditoria.
Erros de operação ou indisponibilidade dos
serviços do provedor de cloud computing podem
provocar falhas que implicam na necessidade de
reprocessamento e rotinas ou recuperação de
dados.
Equipe de suporte do provedor de cloud
computing mal preparada ou gargalos no
atendimento das solicitações da empresa
contratante pode acarretar indisponibilidade dos
serviços contratados e/ou atrasos nas
implantações dos projetos.