GSI autoriza armazenamento de dados sigilosos em nuvem
GSI – O Gabinete de Segurança Institucional da Presidência da República (GSI) alterou as normas que limitavam o uso de computação em nuvem para dados classificados. A nova Instrução Normativa nº 8/2025, publicada nesta terça-feira (7), define critérios de segurança e modifica a IN nº 5/2021, autorizando o armazenamento e o processamento de informações com grau de sigilo reservado ou secreto em ambientes de nuvem.
Segundo o GSI, os órgãos públicos poderão usar nuvens privadas ou comunitárias desde que geridas por entidades públicas ou empresas credenciadas como postos de controle pelo próprio gabinete.
LEIA: Caso de menino ‘amigo’ do ChatGPT reacende alerta sobre laços emocionais com IAs
A norma estabelece uma série de exigências técnicas, como segmentação de rede, virtualização certificada, criptografia estatal — tanto em trânsito quanto em repouso —, autenticação multifatorial, auditoria independente e controle periódico de identidade e acesso. Além disso, o provedor de nuvem não poderá ter acesso ao conteúdo das informações armazenadas.
A instrução determina que “as informações classificadas em grau de sigilo reservado ou secreto e seus documentos preparatórios deverão ser transitados em redes localizadas exclusivamente em território nacional, preferencialmente em infraestruturas tecnológicas sob controle direto de órgãos da administração pública federal, direta e indireta, bem como de empresas públicas”.
Da mesma forma, o texto afirma que esses dados “deverão ser armazenados e processados em data centers localizados exclusivamente em território nacional, preferencialmente em infraestruturas tecnológicas sob controle direto de órgãos da administração pública federal, direta e indireta, bem como de empresas públicas, observadas as disposições constantes dos tratados e convenções internacionais de que o Brasil seja signatário”.
As empresas que desejarem oferecer serviços de nuvem para dados classificados precisarão estar sediadas no Brasil, apresentar certificações internacionais de segurança — como ISO 27001, 27017, 27018, 27701 e 22237 —, além de comprovar que toda a infraestrutura física está em território nacional. Também deverão garantir alta disponibilidade, resiliência contra ataques cibernéticos e oferecer infraestrutura dedicada.
A nova norma proíbe a replicação ou o backup de dados fora do território nacional, exceto em casos de comunicações diplomáticas ou missões oficiais — desde que criptografadas e devidamente autorizadas pela alta administração do órgão responsável.
Informações ultrassecretas seguem impedidas de serem processadas em nuvem, mantendo o controle integral dentro das estruturas governamentais.
O credenciamento e a auditoria técnica das empresas serão responsabilidade dos próprios órgãos contratantes, que precisarão verificar anualmente o cumprimento das regras de segurança, capacitar suas equipes e manter contratos sob sigilo, conforme o Decreto nº 7.845/2012.
(Com informações de Convergência Digital)
(Foto: Reprodução/Freepik)
Apesar de criança ter tido conversa inocente com chatbot, relato viral do pai trouxe debate…
Com mais de 300 mil vagas abertas, empresas do setor têm adotado modelos flexíveis de…
Texto reduz prazo para transferência de salários e aposentadorias, garante débito automático entre instituições e…