O Gabinete de Segurança Institucional da Presidência da República publicou a Instrução Normativa 8/25, anunciando uma flexibilização para o armazenamento de dados sigilosos em nuvem. A norma também altera a IN 5/21 para permitir o tratamento de informações com grau de sigilo reservado ou secreto em ambientes de nuvem, desde que a infraestrutura seja privada ou comunitária e gerida por órgãos de registro ou por postos de controle habilitados pelo GSI.
Entre os requisitos técnicos estão segmentação de rede, virtualização certificada, criptografia estatal em trânsito e em repouso, autenticação multifatorial, auditoria independente de acessos e gestão de identidade e acesso com revisões periódicas. A norma ainda determina que o provedor de nuvem não poderá ter acesso ao conteúdo das informações.
A instrução estabelece que as informações classificadas em sigilo reservado ou secreto deverão transitar em redes localizadas exclusivamente no território nacional, com preferência por infraestruturas sob controle direto de órgãos públicos e de empresas públicas. Além disso, armazenamento e processamento deverão ocorrer em data centers nacionais, observando tratados internacionais dos quais o Brasil seja signatário.
É vedada a replicação ou backup fora do território nacional, excetuando comunicações diplomáticas ou missões oficiais, desde que criptografadas e autorizadas pela alta administração. Informações ultrassecretas continuam proibidas de serem tratadas em nuvem. Provedores interessados deverão atuar no Brasil, comprovar certificações ISO 27001/27017/27018/27701/22237 e demonstrar que todos os recursos físicos estão no território nacional, oferecendo infraestrutura dedicada e alta disponibilidade.
O credenciamento e a auditoria técnica ficarão a cargo dos órgãos contratantes, que deverão fiscalizar o cumprimento das normas anualmente, capacitar equipes e manter contratos sigilosos conforme o Decreto nº 7.845/2012. A mudança sinaliza uma mudança de paradigma na adoção da nuvem para dados sensíveis, mantendo o controle público sobre informações estratégicas.
