João Miguel Mesquita
A disponibilidade geral da AWS European Sovereign Cloud, anunciada em janeiro de 2026, marcou a entrada em operação de uma infraestrutura separada, tanto ao nível físico como lógico, das restantes regiões globais da plataforma. Integralmente alojada na União Europeia, esta arquitetura foi concebida para responder às exigências de tratamento de informação sensível por parte do setor público e do tecido empresarial europeu, assegurando que conteúdos e metadados permanecem estritamente dentro do espaço comunitário.
Como concretização desta estratégia, a infraestrutura passou a incluir relatórios de acreditação SOC 2 e C5 de tipo 1, além de sete certificações ISO, abrangendo 69 serviços já disponíveis nesta região soberana. Para os responsáveis de compras tecnológicas e líderes de TI, este conjunto documental funciona como uma validação independente das práticas operacionais e dos mecanismos de controlo implementados pela cloud.
O relatório SOC 2 constitui um dos pilares deste enquadramento. A auditoria, realizada por entidades externas, valida critérios de segurança, disponibilidade e confidencialidade, confirmando a existência de mecanismos de controlo interno. A avaliação também verificou a implementação de estruturas empresariais independentes na União Europeia, a operação exclusiva por equipas residentes no território comunitário e a separação face a outras regiões comerciais da AWS.
Já a acreditação C5 confirma o cumprimento dos requisitos de segurança exigidos para serviços cloud pela administração pública alemã, um dos referenciais mais exigentes na Europa. Os testes realizados abrangem controlos fundamentais como gestão de acessos, segurança física, criptografia, políticas de recursos humanos e resposta a incidentes, estendendo-se também às medidas adicionais exigidas para aplicações críticas e dados de elevada sensibilidade.
No mesmo pacote, a AWS integrou sete normas ISO focadas na gestão da segurança, privacidade e continuidade do negócio. Em vez de certificações avaliadas de forma isolada, este bloco cobre, de forma articulada, a gestão da segurança da informação, os controlos específicos para ambientes cloud, a proteção de dados pessoais, a prestação de serviços de tecnologias de informação e a gestão operacional baseada em análise sistemática de risco.
Os relatórios de auditoria podem ser consultados diretamente por equipas técnicas e responsáveis de compliance através de um portal de autosserviço integrado na consola de gestão do ambiente cloud. Esta disponibilização representa a fase inicial de um programa de conformidade que deverá ser alargado ao longo dos próximos meses.
A evolução deste programa continuará a assentar no modelo de responsabilidade partilhada entre o fornecedor tecnológico e a organização cliente, princípio que distribui entre ambas as partes a proteção contínua dos sistemas, das aplicações e dos dados alojados na infraestrutura.
