GSI quer criptografia por hardware e direito ao esquecimento em nuvens do governo
O Gabinete de Segurança Institucional da Presidência da República baixou nesta terça, 31/8, novas regras para que os órgãos públicos adotem soluções de computação em nuvem. O objetivo central é apertar requisitos de segurança, como a preferência por criptografia por hardware, limitações sobre quais dados podem ser armazenados fora do país, além de detalhar responsabilidades a serem assumidas por orquestradores, ou cloud brokers.
Entre as medidas, o GSI determina que os órgãos públicos devem “utilizar, para os sistemas estruturantes, somente os modelos de implementação de nuvem privada ou de nuvem comunitária, desde que restritas às infraestruturas de órgãos ou de entidades”.
Uma das novidades é a exigência de cláusula contratual específica para o que o GSI chamou de “garantia do direito ao esquecimento para dados pessoais, conforme art. 16 da Lei nº 13.709, de 14 de agosto de 2018 – LGPD”. Trata-se do artigo da LGPD que determina que “dados pessoais serão eliminados após o término de seu tratamento”.
Especificamente na proteção de dados, as contratações deverão exigir “requisitos criptográficos mínimos para o armazenamento de dados e informações, custodiados pela administração pública federal, em soluções de computação em nuvem”, além de “utilizar, sempre que possível, chaves de encriptação baseadas em hardware”. Além disso, prevê que os órgãos avaliem “os riscos associados à execução de softwares proprietários a serem instalados no serviço de nuvem.”
As novas regras exigem análises de compatibilidade de normas sobre proteção de dados com a legislação brasileira – como a Lei Geral de Proteção de Dados, 13.709/18 0 – de forma a “estabelecer os países nos quais dados e informações custodiados pela administração pública federal poderão ser armazenados em soluções de computação em nuvem”.
Adicionalmente, a nova IN do GSI prevê que “os dados, metadados, informações e conhecimentos produzidos ou custodiados pelo órgão ou pela entidade, transferidos para o provedor de serviço de nuvem, devem estar hospedados em território brasileiro”, de forma que “pelo menos uma cópia atualizada de segurança deve ser mantida em território brasileiro”.
“Informação sem restrição de acesso poderá possuir cópias atualizadas de segurança fora do território brasileiro”. No entanto, a norma prevê que “informação classificada em grau de sigilo e documento preparatório que possa originar informação classificada não poderão ser tratados em ambiente de computação em nuvem”. Portanto, nesses casos nem cópia de segurança para ir para datacenter no exterior.
Ficam previstas, ainda, regras específicas para o uso de orquestradores, ou cloud brokers, como no caso da nuvem pública governamental. Entre elas, o broker “poderá ser responsabilizado, civil e administrativamente, por qualquer desconformidade nos provedores que ele representa”, além de ser o responsável pelos relatórios de auditoria de segurança (SOC 2) para todos os provedores de nuvem que representa.
Os órgãos ou as entidades da administração pública federal que já estiverem utilizando os serviços de provedor de serviço de nuvem terão um prazo de doze meses para adequação de seus contratos.