GSI autoriza armazenamento de dados sigilosos em nuvem

GSI – O Gabinete de Segurança Institucional da Presidência da República (GSI) alterou as normas que limitavam o uso de computação em nuvem para dados classificados. A nova Instrução Normativa nº 8/2025, publicada nesta terça-feira (7), define critérios de segurança e modifica a IN nº 5/2021, autorizando o armazenamento e o processamento de informações com grau de sigilo reservado ou secreto em ambientes de nuvem.

Segundo o GSI, os órgãos públicos poderão usar nuvens privadas ou comunitárias desde que geridas por entidades públicas ou empresas credenciadas como postos de controle pelo próprio gabinete.

LEIA: Caso de menino ‘amigo’ do ChatGPT reacende alerta sobre laços emocionais com IAs

A norma estabelece uma série de exigências técnicas, como segmentação de rede, virtualização certificada, criptografia estatal — tanto em trânsito quanto em repouso —, autenticação multifatorial, auditoria independente e controle periódico de identidade e acesso. Além disso, o provedor de nuvem não poderá ter acesso ao conteúdo das informações armazenadas.

Infraestrutura nacional

A instrução determina que “as informações classificadas em grau de sigilo reservado ou secreto e seus documentos preparatórios deverão ser transitados em redes localizadas exclusivamente em território nacional, preferencialmente em infraestruturas tecnológicas sob controle direto de órgãos da administração pública federal, direta e indireta, bem como de empresas públicas”.

Da mesma forma, o texto afirma que esses dados “deverão ser armazenados e processados em data centers localizados exclusivamente em território nacional, preferencialmente em infraestruturas tecnológicas sob controle direto de órgãos da administração pública federal, direta e indireta, bem como de empresas públicas, observadas as disposições constantes dos tratados e convenções internacionais de que o Brasil seja signatário”.

As empresas que desejarem oferecer serviços de nuvem para dados classificados precisarão estar sediadas no Brasil, apresentar certificações internacionais de segurança — como ISO 27001, 27017, 27018, 27701 e 22237 —, além de comprovar que toda a infraestrutura física está em território nacional. Também deverão garantir alta disponibilidade, resiliência contra ataques cibernéticos e oferecer infraestrutura dedicada.

Restrições e fiscalização

A nova norma proíbe a replicação ou o backup de dados fora do território nacional, exceto em casos de comunicações diplomáticas ou missões oficiais — desde que criptografadas e devidamente autorizadas pela alta administração do órgão responsável.

Informações ultrassecretas seguem impedidas de serem processadas em nuvem, mantendo o controle integral dentro das estruturas governamentais.

O credenciamento e a auditoria técnica das empresas serão responsabilidade dos próprios órgãos contratantes, que precisarão verificar anualmente o cumprimento das regras de segurança, capacitar suas equipes e manter contratos sob sigilo, conforme o Decreto nº 7.845/2012.

(Com informações de Convergência Digital)
(Foto: Reprodução/Freepik)