Compreendendo os padrões de conformidade em nuvem: um guia prático para organizações

Por que a conformidade na nuvem é importante

Conformidade na nuvem é o processo de garantir que seus sistemas, dados e operações baseados em nuvem cumpram os padrões regulatórios, estruturas do setor e políticas internas relevantes. Não é apenas um exercício de caixa de seleção, mas um programa contínuo que abrange pessoas, processos e tecnologia.

A importância estratégica da conformidade em nuvem

De acordo com o Relatório de Custo de uma Violação de Dados de 2023 da IBM, o custo médio global de uma violação de dados foi de aproximadamente US$ 4,45 milhões – com os setores regulamentados muitas vezes enfrentando multas e custos de remediação mais elevados. Além das implicações financeiras, a não conformidade pode levar a danos à reputação, perda de confiança do cliente e interrupções operacionais.

Como as previsões da Gartner e da IDC indicam que a grande maioria das cargas de trabalho empresariais serão baseadas na nuvem dentro de alguns anos, os riscos para a conformidade em ambientes de nuvem continuam a aumentar. Seus clientes, parceiros e reguladores esperam salvaguardas demonstráveis ​​para dados e sistemas confidenciais.

O impacto multifacetado da conformidade na nuvem no risco organizacional e na confiança

A interseção entre segurança, privacidade e governança

A conformidade na nuvem está na interseção crítica de três disciplinas essenciais:

Segurança

Controles técnicos, incluindo criptografia, gerenciamento de identidade e acesso (IAM), segmentação de rede e recursos de detecção de ameaças que protegem os recursos da nuvem.

Privacidade

Gestão do ciclo de vida dos dados, mecanismos de consentimento, cumprimento dos direitos dos titulares dos dados e práticas adequadas de tratamento de dados que respeitam os regulamentos de privacidade.

Governança

Políticas, funções e responsabilidades, trilhas de auditoria, gerenciamento de riscos e supervisão de fornecedores que garantem o controle organizacional sobre as operações na nuvem.

A conformidade não é um projeto único; é um programa contínuo que abrange pessoas, processos e tecnologia.

Um programa de segurança em nuvem bem governado que incorpora princípios de privacidade e mapas para estruturas formais reduz riscos e simplifica auditorias, criando uma base para conformidade sustentável.

Principais estruturas e padrões de conformidade em nuvem

Comparação de estruturas de conformidade em nuvem amplamente adotadas

Estruturas de conformidade em nuvem amplamente adotadas

ISO 27001

Um padrão internacional para sistemas de gerenciamento de segurança da informação (SGSI) que fornece uma abordagem sistemática para gerenciar informações confidenciais. Ajuda as organizações a estabelecer um programa orientado por políticas e a demonstrar a gestão de riscos a parceiros em todo o mundo.

ISO 27001 é particularmente valioso para organizações que operam internacionalmente, pois é reconhecido mundialmente como uma referência em gestão de segurança da informação.

SOC 2

Uma estrutura de atestado centrada nos EUA que abrange segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade. SOC 2 relatórios fornecem evidências de que uma organização de serviços implementou controles específicos.

SOC 2 é especialmente popular entre provedores de serviços em nuvem e fornecedores de SaaS, pois oferece uma maneira padronizada de demonstrar controles de segurança a clientes e parceiros.

NIST Estruturas

O Instituto Nacional de Padrões e Tecnologia fornece diversas estruturas úteis, incluindo o NIST Cybersecurity Framework (CSF) para gerenciamento de riscos e a série NIST SP 800 para controles técnicos e orientação.

As estruturas NIST são particularmente relevantes para organizações que trabalham com agências federais dos EUA ou em setores regulamentados.

Simplifique sua jornada de conformidade

Baixe nosso Guia de mapeamento de estrutura gratuito para ver como os controles ISO 27001, SOC 2 e NIST são mapeados entre si, ajudando você a implementar controles uma vez e satisfazer várias estruturas.

Baixe o Guia de Mapeamento da Estrutura

O modelo de responsabilidade compartilhada em conformidade na nuvem

Compreender o modelo de responsabilidade compartilhada é crucial para a conformidade na nuvem. Este modelo delineia quais responsabilidades de segurança e conformidade pertencem ao provedor de nuvem e ao cliente.

Os provedores de nuvem normalmente protegem a infraestrutura (segurança física, hipervisores, sistemas operacionais host), enquanto os clientes são responsáveis ​​por proteger seus dados, configurações, identidades e aplicativos implantados na nuvem.

A má compreensão deste modelo é uma importante fonte de falhas de conformidade na nuvem. As organizações devem identificar claramente quais controles possuem e quais são herdados de seu fornecedor.

O modelo de responsabilidade partilhada em ambientes cloud

Mapeamento de quadros para requisitos regulamentares

As estruturas fornecem controles que podem ser mapeados de acordo com os requisitos legais, reduzindo a duplicação de esforços. Por exemplo:

HIPAA Mapeamento

A Regra de Segurança HIPAA exige salvaguardas administrativas, físicas e técnicas para informações de saúde protegidas (PHI). A implementação de controles ISO 27001 ou orientação NIST SP 800-66 pode ajudar a cumprir essas obrigações.

Por exemplo, um único controle como a criptografia em repouso pode satisfazer os requisitos ISO 27001 e as salvaguardas técnicas HIPAA.

GDPR Mapeamento

O GDPR exige proteção de dados desde a concepção e padrão, bases de processamento legais e direitos do titular dos dados. Os controles de ISO 27001 e NIST CSF ajudam a demonstrar medidas técnicas e organizacionais (TOMs) apropriadas.

Os controles de acesso implementados para ISO 27001 também podem oferecer suporte aos requisitos de GDPR para limitar o acesso a dados pessoais.

Principais requisitos regulamentares: HIPAA, GDPR e além

HIPAA Conformidade para serviços em nuvem

A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) protege as informações pessoais de saúde (PHI) nos Estados Unidos. Quando se trata de ambientes em nuvem, diversas considerações importantes se aplicam:

• Entidades abrangidas e parceiros comerciais: Os prestadores de cuidados de saúde, planos de saúde e câmaras de compensação de cuidados de saúde (entidades cobertas) e os seus prestadores de serviços (parceiros de negócios) devem cumprir com HIPAA ao lidar com PHI.
• Acordos de parceria comercial (BAAs): Os provedores de nuvem que criam, recebem, mantêm ou transmitem PHI em nome de uma entidade coberta devem assinar um BAA que descreve suas responsabilidades.
• Salvaguardas Técnicas: Implemente criptografia em trânsito e em repouso, gerenciamento forte de identidade e acesso e registro de auditoria para acesso a PHI.
• Avaliação de risco: Avalie regularmente os riscos para PHI em ambientes de nuvem e estratégias de mitigação de documentos.

Principais requisitos de conformidade HIPAA para serviços em nuvem

O Departamento de Saúde e Serviços Humanos (HHS) dos EUA fornece orientações específicas sobre conformidade com HIPAA em ambientes de computação em nuvem. Revise as orientações oficiais emHHS HIPAA e computação em nuvem.

GDPR Conformidade na nuvem

GDPR funções e responsabilidades em ambientes de nuvem

O Regulamento Geral de Proteção de Dados (GDPR) concentra-se na proteção de dados pessoais de indivíduos na União Europeia. As principais considerações para conformidade com a nuvem incluem:

• Funções de controlador versus processador: os clientes da nuvem normalmente atuam como controladores de dados (determinando as finalidades e os meios de processamento), enquanto os provedores de nuvem atuam como processadores de dados (processando dados em nome do controlador).
• Base legal para o tratamento: Os responsáveis ​​pelo tratamento devem ter uma base jurídica válida (consentimento, execução do contrato, interesses legítimos, etc.) para o tratamento de dados pessoais na nuvem.
• Transferências transfronteiriças: As transferências de dados pessoais fora do EU/EEE exigem salvaguardas adequadas, como cláusulas contratuais padrão (SCCs), regras corporativas vinculativas ou decisões de adequação.
• Direitos do Titular dos Dados: As organizações devem ser capazes de atender às solicitações dos titulares dos dados (acesso, correção, exclusão) de dados armazenados em ambientes de nuvem.

PCI DSS

O Padrão de Segurança de Dados da Indústria de Cartões de Pagamento aplica-se a organizações que processam dados de cartão de crédito. Os ambientes em nuvem que armazenam ou processam dados de titulares de cartão devem implementar controles de segurança específicos, incluindo segmentação de rede, criptografia e restrições de acesso.

Leis estaduais de privacidade

Leis estaduais dos EUA, como a Lei de Privacidade do Consumidor da Califórnia (CCPA/CPRA), a CDPA da Virgínia e outras, impõem requisitos específicos para o processamento de dados pessoais que afetam as operações na nuvem, incluindo inventário de dados, direitos do consumidor e gerenciamento de fornecedores.

Padrões da Indústria

Estruturas específicas do setor, como HITRUST (saúde), FedRAMP (governo) e outras, fornecem requisitos adicionais para conformidade com a nuvem em setores específicos, muitas vezes mapeados para regulamentações mais amplas, como HIPAA.

Desafios e riscos comuns de conformidade em nuvem

Principais categorias de desafios de conformidade na nuvem enfrentados pelas organizações

Desafios Técnicos

Multilocação

Os ambientes de nuvem geralmente hospedam vários clientes em infraestrutura compartilhada, criando riscos potenciais de segurança e conformidade. As organizações devem garantir o isolamento adequado dos locatários e a separação de dados para evitar acesso não autorizado ou vazamento de dados entre locatários.

Residência de Dados

Muitas regulamentações impõem requisitos de residência de dados, restringindo onde os dados podem ser armazenados ou processados. As organizações devem selecionar cuidadosamente regiões de nuvem que cumpram as leis aplicáveis ​​e implementar controles para evitar transferências não autorizadas de dados.

Criptografia e gerenciamento de chaves

A criptografia eficaz requer gerenciamento de chaves adequado. As organizações devem decidir entre chaves gerenciadas pelo provedor e chaves gerenciadas pelo cliente, equilibrando o controle e a complexidade operacional, garantindo ao mesmo tempo a conformidade com os requisitos regulamentares.

De acordo com a pesquisa de segurança da Microsoft, a configuração incorreta continua sendo uma das principais causas de incidentes de segurança na nuvem. O gerenciamento adequado da configuração é essencial para manter a conformidade e prevenir violações.

Desafios Organizacionais e de Processo

Confusão de responsabilidade compartilhada

Muitas organizações assumem erroneamente que seu provedor de nuvem cuida de todas as responsabilidades de segurança e conformidade. Este mal-entendido pode levar a lacunas críticas de controlo e falhas de conformidade. A delimitação clara das responsabilidades é essencial.

Gestão de Fornecedores

A conformidade da nuvem muitas vezes depende da postura de segurança de vários fornecedores. A devida diligência insuficiente, os termos contratuais pouco claros e o monitoramento contínuo inadequado podem criar riscos de conformidade significativos que são difíceis de remediar.

Falta de visibilidade

Os ambientes em nuvem podem ser complexos e dinâmicos, dificultando a manutenção da visibilidade das configurações, fluxos de dados e padrões de acesso. Sem a visibilidade adequada, as organizações lutam para demonstrar conformidade e identificar possíveis problemas.

Lacuna de competências

Muitas organizações não possuem pessoal com as habilidades especializadas necessárias para implementar e manter a conformidade com a nuvem. Essa lacuna de competências pode levar a configurações incorretas, lacunas de controle e programas de conformidade ineficazes.

Validação de conformidade e desafios de auditoria

Coleta de evidências

As auditorias exigem evidências como logs, políticas, registros de alterações, verificações de vulnerabilidades e análises de acesso. Coletar e organizar essas evidências em ambientes de nuvem pode ser um desafio, especialmente entre diversos provedores e serviços.

Monitorização Contínua

Os ambientes de nuvem mudam rapidamente, tornando insuficientes as avaliações de conformidade pontuais. As organizações precisam de recursos de monitoramento contínuo para detectar e resolver problemas de conformidade prontamente, o que requer automação e ferramentas especializadas.

Atestados de terceiros

Embora as certificações e atestados do fornecedor (relatórios SOC, certificados ISO) sejam valiosos, eles não substituem os controles do lado do cliente. As organizações devem compreender o âmbito e as limitações destes atestados e implementar controlos complementares sempre que necessário.

Melhores práticas para alcançar e manter a conformidade com a nuvem

Melhores práticas de controle de segurança

Controles de segurança essenciais para conformidade com a nuvem

Criptografia

Implemente criptografia para dados em repouso e em trânsito em todos os serviços de nuvem. Quando o controle regulatório for necessário, prefira chaves gerenciadas pelo cliente (CMKs) em vez de chaves gerenciadas pelo provedor para manter o controle sobre o acesso aos dados criptografados.

Gestão de identidades e acessos (IAM)

Aplique princípios de privilégio mínimo, implemente controle de acesso baseado em função (RBAC), habilite a autenticação multifator (MFA) e alterne credenciais regularmente. Implemente acesso just-in-time para operações privilegiadas para reduzir o risco de acesso não autorizado.

Registo e monitorização

Centralize os logs de todos os serviços em nuvem, retenha-os pelos períodos exigidos (com base nos requisitos regulatórios) e proteja a integridade dos logs. Implemente soluções de gerenciamento de eventos e informações de segurança (SIEM) e controles de detecção para identificar possíveis problemas de conformidade.

Melhores práticas operacionais

Políticas e Procedimentos

Mantenha políticas escritas que reflitam as operações em nuvem e as obrigações de conformidade. Garanta que as políticas abordem riscos e controles específicos da nuvem e revise-as regularmente para levar em conta as mudanças no ambiente e no cenário regulatório.

Formação e Sensibilização

Forneça treinamento regular para desenvolvedores, equipes de operações e pessoal de segurança sobre configuração segura de nuvem e responsabilidades de conformidade. Certifique-se de que as equipes entendam o modelo de responsabilidade compartilhada e seu papel na manutenção da conformidade.

Gestão de Fornecedores

Implemente práticas robustas de gerenciamento de riscos de fornecedores, incluindo questionários de segurança, revisão de auditorias de terceiros e cláusulas contratuais apropriadas (por exemplo, BAAs para HIPAA, SCCs para GDPR). Monitore a conformidade do fornecedor continuamente.

Simplifique sua conformidade com a nuvem

Obtenha nosso Manual Operacional de Conformidade em Nuvem com modelos de políticas prontos para uso, questionários de avaliação de fornecedores e materiais de treinamento.

Baixe o Manual Operacional

Automação e Ferramentaria

Conformidade como código

Codifique políticas de segurança usando modelos de infraestrutura como código (IaC) e abordagens de política como código (por exemplo, Open Policy Agent) para evitar desvios de configuração e garantir a aplicação consistente de controles em ambientes de nuvem.

Ferramentas de monitoramento contínuo

Implemente ferramentas nativas da nuvem e plataformas de terceiros para monitoramento contínuo de controle, verificação de configuração e coleta automatizada de evidências. Essas ferramentas podem identificar problemas de conformidade em tempo real e acelerar a correção.

Exemplo: AWS Regra de configuração para criptografia PHI

Esta simples regra de configuração AWS garante que os buckets S3 contendo PHI tenham criptografia habilitada:

{
"ConfigRuleName": "s3-bucket-server-side-encryption-enabled",
"Source": {
"Owner": "AWS",
"SourceIdentifier": "S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED"
}
}

Regras semelhantes podem ser implementadas em provedores de nuvem para automatizar verificações de conformidade e reduzir o esforço manual.

Abordagem prática para navegar pelos requisitos de conformidade da nuvem

O ciclo trifásico de conformidade na nuvem

Fase 1: Avaliar

A fase de avaliação estabelece seu estado atual e requisitos de conformidade:

1. Ativos de inventário e fluxos de dados: identifique onde residem os dados confidenciais e regulamentados e como eles se movem pelo seu ambiente de nuvem. Crie um mapa de dados abrangente que inclua todos os serviços em nuvem, tipos de dados e atividades de processamento.
2. Classificar dados: Marque dados de acordo com requisitos regulamentares e de sensibilidade (PHI, dados pessoais, dados de pagamento, etc.). Esta classificação orienta a seleção e implementação de controles apropriados.
3. Requisitos do mapa: identifique regulamentações e estruturas aplicáveis ​​com base em seus tipos de dados, setor e presença geográfica. Mapeie esses requisitos para ativos e fluxos de dados específicos.
4. Realizar avaliação de risco: Avalie ameaças, vulnerabilidades e impacto potencial nos negócios. Priorize itens de alto risco para correção imediata e documente sua metodologia e descobertas de avaliação de risco.

Mapeamento de dados e processo de avaliação de riscos

Fase 2: Implementar

Controles Técnicos

Implemente controles priorizados com base em sua avaliação de risco, incluindo criptografia, IAM, segmentação de rede, registro em log e soluções de backup. Concentre-se primeiro em abordar as áreas de alto risco enquanto constrói uma estrutura de controle abrangente.

Mapeamento da Estrutura

Use cruzamentos de estrutura (por exemplo, NIST CSF → ISO 27001 → HIPAA) para identificar sobreposições de controle e evitar trabalho redundante. Implemente controles que satisfaçam vários requisitos simultaneamente para maximizar a eficiência.

Proteções Contratuais

Garanta proteções contratuais adequadas com fornecedores de nuvem, incluindo BAAs para conformidade com HIPAA, SCCs para transferências transfronteiriças de GDPR e requisitos de segurança específicos em acordos de nível de serviço.

Documente claramente a propriedade do controle, distinguindo entre as responsabilidades do fornecedor e as responsabilidades do cliente. Esta documentação é essencial para auditorias e ajuda a evitar lacunas de controlo devido a mal-entendidos sobre o modelo de responsabilidade partilhada.

Fase 3: Validar e sustentar

Auditorias e Avaliações

Agende auditorias internas regulares para validar a eficácia do controle e a conformidade com os requisitos. Prepare evidências continuamente, em vez de se atrapalhar durante auditorias externas, e resolva as descobertas prontamente por meio de um processo estruturado de remediação.

Monitoramento Contínuo

Implemente verificações automatizadas de desvios de configuração, violações de políticas e atividades suspeitas. Use ferramentas de monitoramento nativas da nuvem e soluções de terceiros para manter visibilidade em tempo real da sua postura de conformidade.

Documentação

Mantenha documentação atualizada de políticas, procedimentos, avaliações de risco e registros de treinamento. Certifique-se de que a documentação reflita suas práticas reais e esteja prontamente disponível para fins de auditoria.

Gestão de Mudanças

Integre análises de conformidade ao seu processo de gerenciamento de mudanças para garantir que as alterações na infraestrutura em nuvem não introduzam novos riscos ou problemas de conformidade. Implemente proteções para evitar que alterações não conformes sejam implantadas.

Avalie sua postura de conformidade com a nuvem

Faça nossa avaliação gratuita de preparação para conformidade na nuvem para identificar lacunas em sua abordagem atual e receber um roteiro personalizado para melhorias.

Iniciar avaliação gratuita

Exemplos de casos e orientações de implementação

Implementando conformidade HIPAA para serviços em nuvem

Cenário:Um provedor de serviços de saúde SaaS armazena registros de pacientes e deseja hospedar esses dados na nuvem, mantendo a conformidade com HIPAA.

Etapas de implementação:

• Execute um Acordo de Parceria Comercial (BAA) com o provedor de nuvem e quaisquer subcontratados que lidam com PHI, definindo claramente responsabilidades e obrigações.
• Use uma região de nuvem dedicada nos EUA, se exigido contratualmente para fins de residência de dados, garantindo que as PHI permaneçam nas jurisdições apropriadas.
• Aplique criptografia em repouso usando chaves KMS gerenciadas pelo cliente e aplique TLS para todos os dados em trânsito, protegendo as PHI contra acesso não autorizado.
• Implemente funções IAM rigorosas com base em princípios de privilégio mínimo e registro abrangente com uma política de retenção de 6 anos para atender aos requisitos de auditoria HIPAA.
• Realize avaliações de risco e verificações de vulnerabilidades periódicas, mantendo registros de auditoria detalhados para possível revisão do HHS.

Resultado:Um ambiente documentado e auditável que mapeia salvaguardas HIPAA para controles específicos da nuvem, demonstrando conformidade e mantendo a eficiência operacional.

HIPAA implementação de conformidade em nuvem para saúde SaaS

Alcançando conformidade GDPR na nuvem para transferências internacionais de dados

GDPR fluxo de trabalho de conformidade para transferências internacionais de dados

Cenário:Uma empresa processa dados pessoais de EU clientes usando um provedor de nuvem com data centers em todo o mundo, exigindo conformidade com GDPR para transferências internacionais.

Etapas de implementação:

• Determine funções: a empresa atua como controladora de dados, enquanto o provedor de nuvem atua como processador de dados, com responsabilidades documentadas em um Contrato de Processamento de Dados (DPA).
• Implementar e documentar bases legais para o processamento de dados pessoais e atualizar avisos de privacidade para refletir as atividades de processamento na nuvem.
• Para transferências transfronteiriças, implementar Cláusulas Contratuais Padrão (SCCs) e realizar avaliações de impacto de transferência para avaliar o ambiente jurídico nos países de destino.
• Sempre que possível, hospede dados pessoais de EU em regiões EU/EEE para minimizar os riscos de transferência e simplificar a conformidade.
• Implementar mecanismos para atender às solicitações dos titulares dos dados (acesso, correção, exclusão) para dados armazenados em ambientes de nuvem.

Resultado:Risco de transferência legal reduzido e proteção demonstrável para dados pessoais de EU, com documentação clara de medidas técnicas e organizacionais implementadas para garantir a conformidade de GDPR.

Lições aprendidas e armadilhas comuns

Equívocos sobre certificação de provedores

Uma armadilha comum é presumir que as certificações do provedor de nuvem isentam as responsabilidades do cliente. Embora as certificações dos fornecedores sejam valiosas, elas não substituem os controles do cliente nem eliminam as obrigações de responsabilidade compartilhada.

Recomendação:Documente claramente quais controles são gerenciados pelo fornecedor e quais são gerenciados pelo cliente e implemente controles apropriados do lado do cliente, independentemente das certificações do fornecedor.

Considerações sobre custos

Medidas de conformidade mais rigorosas geralmente aumentam os custos mensais da nuvem. Regiões dedicadas, conectividade privada, chaves de criptografia gerenciadas pelo cliente e registro aprimorado podem impactar significativamente seu orçamento de nuvem.

Recomendação:Faça um orçamento dos custos relacionados à conformidade desde o início e considere-os como parte do seu custo total de propriedade, em vez de despesas inesperadas.

Dicas de seleção de fornecedores

Nem todos os provedores de nuvem oferecem os mesmos recursos de conformidade ou flexibilidade contratual, o que pode afetar sua capacidade de atender aos requisitos regulatórios com eficiência.

Recomendação:Prefira provedores com artefatos de conformidade transparentes, termos contratuais flexíveis (SCCs, BAAs), recursos de segurança robustos e um histórico de suporte a cargas de trabalho regulamentadas.

Conclusão: seu roteiro de conformidade na nuvem

A conformidade na nuvem é essencial para proteger dados confidenciais, manter a confiança do cliente e evitar penalidades regulatórias. Ao adotar estruturas estruturadas como ISO 27001, SOC 2 e NIST CSF e mapeá-las para obrigações regulatórias como HIPAA e GDPR, você pode estabelecer um caminho repetível para demonstrar controles e prontidão.

Para ter sucesso em sua jornada de conformidade na nuvem:

• Priorizar controlos baseados no riscoque abordam suas ameaças e obrigações de conformidade mais significativas.
• Implementar práticas recomendadas de conformidade na nuvempara criptografia, IAM, registro, due diligence do fornecedor e treinamento.
• Utilize automação e monitoramento contínuopara manter a conformidade em ambientes de nuvem dinâmicos.
• Manter documentação clarapara auditorias e prontidão para resposta a incidentes.

Roteiro de implementação de conformidade em nuvem

Recursos e próximos passos

Orientação Oficial

• HHS HIPAA e computação em nuvem
• Comissão Europeia — Proteção de dados
• ISO 27001 Informações
• NIST Estrutura de segurança cibernética

Próximas etapas práticas

• Executar um inventário de dados e mapeá-lo de acordo com os regulamentos aplicáveis ​​
• Obtenha artefatos de conformidade do fornecedor (relatórios SOC, certificados ISO, BAAs)
• Implementar controlos técnicos de base e automatizar a monitorização contínua
• Agende uma auditoria interna e prepare planos de remediação

Recursos Adicionais

• Relatório de custo de violação de dados da IBM 2023
• Documentação de conformidade do provedor de nuvem (AWS, Azure, GCP)
• Orientações de conformidade específicas do setor de associações relevantes