O Gabinete de Segurança Institucional da Presidência da República mudou a regra que restringia dados classificados em nuvem, como antecipado por esta Convergência Digital. Ao publicar uma nova Instrução Normativa (8/25) nesta terça, 7/10, o GSI estipulou uma série de controles sobre o armazenamento de dados, mas também modificou a IN 5/21 para permitir o uso de computação em nuvem para tratamento de informações com grau de sigilo reservado ou secreto.
A nova norma define os requisitos mínimos de segurança para que órgãos públicos possam armazenar, processar e transmitir dados sigilosos em ambiente de nuvem, desde que a infraestrutura utilizada seja privada ou comunitária, gerida por órgãos de registro ou por empresas habilitadas como postos de controle pelo próprio GSI.
Entre as exigências técnicas estão segmentação de rede, virtualização certificada, criptografia estatal em trânsito e em repouso, autenticação multifatorial, auditoria independente de acessos, e gestão de identidade e acesso com revisão periódica. Além disso, o provedor de nuvem não poderá ter acesso ao conteúdo das informações.
A norma diz expressamente que “as informações classificadas em grau de sigilo reservado ou secreto e seus documentos preparatórios deverão ser transitados em redes localizadas exclusivamente em território nacional, preferencialmente em infraestruturas tecnológicas sob controle direto de órgãos da administração pública federal, direta e indireta, bem como de empresas públicas”.
Diz, também, que “as informações classificadas em grau de sigilo reservado ou secreto e seus documentos preparatórios deverão ser armazenados e processados em data centers localizados exclusivamente em território nacional, preferencialmente em infraestruturas tecnológicas sob controle direto de órgãos da administração pública federal, direta e indireta, bem como de empresas públicas, observadas as disposições constantes dos tratados e convenções internacionais de que o Brasil seja signatário”.
É vedada a replicação ou backup fora do território nacional, com exceção de comunicações diplomáticas ou missões oficiais, desde que criptografadas e autorizadas pela alta administração do órgão responsável. Informações ultrassecretas continuam proibidas de serem tratadas em nuvem, mantendo-se o controle integral sobre esse tipo de dado sensível.
Os provedores que desejarem ofertar serviços de nuvem para o tratamento de informações classificadas precisarão ser estabelecidos no Brasil, comprovar certificações internacionais de segurança (como ISO 27001, 27017, 27018, 27701 e 22237) e demonstrar que todos os recursos físicos estão em território nacional. Eles deverão ainda disponibilizar infraestrutura dedicada, garantir alta disponibilidade e resiliência contra ameaças cibernéticas avançadas.
O credenciamento e a auditoria técnica dessas empresas caberão aos órgãos contratantes, que deverão fiscalizar anualmente o cumprimento das normas de segurança, capacitar suas equipes e manter contratos sigilosos conforme previsto no Decreto nº 7.845/2012.
