Governo impõe nuvem soberana para dados sensíveis

O Gabinete de Segurança Institucional da Presideancia da Repfablica (GSI/PR) divulgou a Instruo Normativa nfam 8, estabelecendo requisitos mednimos de segurane7a da informao para o tratamento de dados classificados — reservados ou secretos — em ambientes de computao em nuvem. A norma determina a obrigatoriedade de data centers localizados em território nacional para o armazenamento e processamento dessas informae7f5es, alinhando-se e0 poledtica de soberania digital.

Conforme o texto, apenas infraestruturas de nuvem privada ou comunite1ria poderam ser contratadas pelo governo, desde que geridas por f3rge3os pfall publics ou empresas credenciadas como postos de controle. O GSI proibiu o tratamento de informae7f5es com grau ultrassecreto em cloud e impede a replicação ou backup fora do Brasil, mesmo para servie7os contratados pela administrae7e3o federal.

Entre os requisitos te9cnicos, destacam-se criptografia de Estado em tre1nsito e em repouso, segmentae7e3o de redes, autenticae7e3o multifator, auditoria independente de logs e poledticas de acesso baseadas em pape9is e atributos (RBAC e ABAC). c9 exigido tambe9m que os fornecedores comprovem estabelecimento no Brasil, situae7e3o cadastral ativa e certificae7f5es ABNT ISO/IEC 27001, 27017, 27018, 27701 e 22237, abrangendo segurane7a da informa7e3o, protee7e3o de dados e infraestrutura fedsica de data centers.

Entre os deveres das contratadas este3 a implantae7e3o de infraestrutura fedsica dedicada, sem compartilhamento com outros clientes, e a demonstrae7e3o da localizae7e3o de todos os servidores e equipamentos de rede em território nacional. O cumprimento dessas obrigae7f5es sere1 verificado por auditoria te9cnica dos órge3os contratantes, de acordo com o GSI.

Quanto aos contratos sigilosos e auditorias, a contratae7e3o de servie7os de nuvem para tratamento de dados classificados deve ser formalizada por contrato sigiloso, conforme o art. 48 do Decreto nbam 7.845/2012. Os agentes pfal itens pfa af3rge3os pfall publicos sfa cessar por fiscalizarem e auditarem anualmente o fornecedor, definir escopos te9cnicos mednimos de verificae7e3o e realizar o credenciamento de segurane7a de todas as pessoas com acesso a9 infraestrutura. A IN tambm determina que as equipes internas dos f3rge3os de registro passem por capacitae7e3o perif3dica em protee7e3o de dados, segurane7a ciberne9tica e resposta a incidentes. Em caso de suspeita de comprometimento, o acesso e0s informae7f5es deve ser suspenso imediatamente.

A norma tambe9m refora a poledtica de soberania digital ao atualizar a IN nfam 5/2021 e reconhecer formalmente a possibilidade de uso de computae7e3o em nuvem regulada para informae7f5es classificadas, desde que observadas as condie7f5es te9cnicas e contratuais estabelecidas. O movimento este1 alinhado
Estrate9gia Nacional de Cibersegurane7a (E-Ciber) e e0s discussf5es sobre soberania digital e infraestrutura credtica, conduzidas pelo governo federal desde agosto, incluindo o Decreto 12.572/2025.

Telesintese