Dados sensíveis de governo agora só podem ficar em nuvem soberana

O Gabinete de Segurança Institucional da Presidência da República (GSI/PR) publicou hoje, 7 de outubro, a Instrução Normativa nº 8, que estabelece requisitos mínimos de segurança da informação para o tratamento de dados classificados — reservados ou secretos — em ambientes de computação em nuvem. A medida reforça a obrigatoriedade de uso de data centers localizados em território nacional para o armazenamento e processamento dessas informações.

Segundo o texto, apenas infraestruturas de nuvem privada ou comunitária poderão ser utilizadas, desde que geridas por órgãos públicos ou empresas habilitadas como postos de controle. O GSI proíbe expressamente que informações com grau de sigilo ultrassecreto sejam tratadas em cloud, e impede a replicação ou backup fora do país, mesmo em serviços contratados por órgãos da administração federal.

Requisitos técnicos e certificações obrigatórias

A norma detalha um conjunto de exigências técnicas que incluem criptografia de Estado em trânsito e repouso, segmentação de rede, autenticação multifatorial, auditoria independente de logs e políticas de acesso baseadas em papéis e atributos (RBAC e ABAC).

Os provedores de serviços de nuvem contratados pelo governo deverão comprovar estabelecimento no Brasil, situação cadastral ativa e certificações nas normas ABNT NBR ISO/IEC 27001, 27017, 27018, 27701 e 22237, que abrangem segurança da informação, proteção de dados e infraestrutura física de data centers.

Entre os deveres das contratadas está a implantação de infraestrutura física dedicada, sem compartilhamento com outros clientes, e a demonstração da localização de todos os servidores e equipamentos de rede em território nacional. O cumprimento dessas obrigações será verificado por auditoria técnica dos órgãos contratantes, de acordo com o GSI.

Contratos sigilosos e auditoria anual obrigatória

A contratação de serviços de nuvem para tratamento de dados classificados deverá ser formalizada por contrato sigiloso, conforme o artigo 48 do Decreto nº 7.845/2012. Os órgãos públicos ficam responsáveis por monitorar e auditar anualmente o provedor contratado, definir escopos técnicos mínimos de verificação e realizar o credenciamento de segurança de todas as pessoas com acesso à infraestrutura.

A Instrução Normativa também determina que as equipes internas dos órgãos de registro passem por capacitação periódica em proteção de dados, segurança cibernética e resposta a incidentes. Em caso de suspeita de comprometimento, o acesso às informações deve ser imediatamente suspenso.

Reforço à política de soberania digital

Com a edição da IN nº 8, o GSI atualiza a Instrução Normativa nº 5/2021 e introduz um novo parágrafo que reconhece formalmente a possibilidade de uso de computação em nuvem regulada para informações classificadas, desde que observadas as condições técnicas e contratuais estabelecidas.

A medida alinha-se à Estratégia Nacional de Cibersegurança (E-Ciber) e às discussões sobre soberania digital e infraestrutura crítica, conduzidas pelo governo federal desde agosto, incluindo o Decreto nº 12.572/2025, que trata da governança de dados e dos requisitos de segurança para ambientes de processamento na administração pública.

Confira a íntegra da norma aqui.