Alterações nas Regras de Armazenamento de Dados Classificados em Nuvem
O Gabinete de Segurança Institucional (GSI) da Presidência da República atualizou as diretrizes que restringiam o armazenamento de dados classificados em nuvem. A nova Instrução Normativa (8/25), publicada em 7 de outubro, estabelece controles sobre o armazenamento de dados, permitindo agora o uso de computação em nuvem para informações com grau de sigilo reservado ou secreto.
Requisitos de Segurança para Armazenamento em Nuvem
A norma define requisitos mínimos de segurança que órgãos públicos devem seguir para armazenar, processar e transmitir dados sigilosos em ambientes de nuvem. A infraestrutura utilizada deve ser privada ou comunitária, gerida por órgãos de registro ou empresas habilitadas pelo GSI.
Exigências Técnicas
Entre as exigências técnicas, destacam-se:
- Segmentação de rede
- Virtualização certificada
- Criptografia estatal em trânsito e em repouso
- Autenticação multifatorial
- Auditoria independente de acessos
- Gestão de identidade e acesso com revisão periódica
Além disso, os provedores de nuvem não poderão acessar o conteúdo das informações armazenadas.
Regras de Localização e Armazenamento
A norma determina que informações classificadas em grau de sigilo reservado ou secreto devem ser transmitidas e armazenadas exclusivamente em território nacional, preferencialmente em infraestruturas sob controle de órgãos da administração pública federal. A replicação ou backup fora do Brasil é proibida, exceto em comunicações diplomáticas ou missões oficiais, desde que criptografadas e autorizadas pela alta administração.
Credenciamento e Auditoria de Provedores de Nuvem
Os provedores que desejam oferecer serviços de nuvem para dados classificados devem estar estabelecidos no Brasil e comprovar certificações internacionais de segurança, como ISO 27001 e outras. Eles também precisam garantir que todos os recursos físicos estejam em território nacional, além de oferecer infraestrutura dedicada e resiliência contra ameaças cibernéticas.
A responsabilidade pelo credenciamento e auditoria técnica dessas empresas será dos órgãos contratantes, que devem fiscalizar anualmente o cumprimento das normas de segurança e manter contratos sigilosos conforme o Decreto nº 7.845/2012.
Fonte por: Convergencia Digital