O Gabinete de Segurança Institucional da Presidência da República (GSI) publicou nesta terça-feira (07) a Instrução Normativa (GSI/PR Nº 8), que define os requisitos mínimos de segurança da informação para o tratamento de dados classificados — reservados, secretos e ultrassecretos — em ambientes de computação em nuvem utilizados por órgãos públicos federais. A norma, assinada pelo Chefe do GSI, General Amaro, determina que informações classificadas como ultrassecretas e seus documentos preparatórios, não poderão ser tratados em ambiente de computação em nuvem, mesmo que dentro do território nacional.
A divulgação da nova Instrução Normativa ocorre um dia após ter sido anunciado que o Secretário de Segurança da Informação e Cibernética do Gabinete de Segurança Institucional, André Luiz Bandeira Molina, recebeu autorização para assinar o Acordo de Cooperação Técnica entre o GSI e a Amazon AWS Serviços Brasil Ltda.
Com a nova regulamentação, o governo busca fortalecer a “soberania digital” e a proteção das informações estratégicas do Estado, num momento em que o uso de infraestrutura de nuvem vem se expandindo rapidamente na administração pública e entre empresas estatais.
Nuvem sob controle nacional
De acordo com o texto, apenas infraestruturas de nuvem privada ou comunitária, geridas exclusivamente por órgãos públicos ou por empresas previamente habilitadas como “postos de controle”, poderão processar informações classificadas.
Os dados com grau de sigilo reservado ou secreto deverão ser processados e armazenados em datacenters localizados exclusivamente no território nacional, preferencialmente sob controle direto de órgãos da administração pública ou de empresas estatais. O texto proíbe expressamente a replicação ou o backup desses dados no exterior.
Apenas em casos excepcionais — como comunicações diplomáticas ou missões oficiais — será permitido o trânsito internacional dessas informações, desde que haja autorização da alta administração e uso de mecanismos criptográficos compatíveis com o nível de sigilo.
Requisitos técnicos rigorosos
Entre as exigências, a nova norma determina:
- Criptografia obrigatória de todos os dados em repouso e em trânsito, utilizando algoritmos aprovados pelo Estado;
- Gerenciamento exclusivo de chaves criptográficas pelos órgãos de registro;
- Autenticação multifatorial para todos os acessos;
- Políticas de acesso restritivas, garantindo que apenas pessoas credenciadas e com “necessidade de conhecer” possam visualizar informações sigilosas;
- Registro imutável de todos os acessos, com auditorias periódicas conduzidas por equipes independentes;
- Alertas automáticos para atividades suspeitas e sistemas centralizados de gestão de identidades e permissões.
A instrução também impede que os provedores de nuvem tenham acesso ao conteúdo das informações processadas e exige mecanismos de rastreabilidade e monitoramento integral de todos os pacotes de dados trafegados.
Credenciamento
Para oferecer serviços de nuvem voltados ao tratamento de informações classificadas, as empresas deverão:
- Estar estabelecidas no Brasil e ter a tecnologia da informação como atividade principal;
- Possuir certificações de segurança nas normas ABNT NBR ISO/IEC 27001, 27017, 27018, 27701 e 22237;
- Garantir que todos os servidores e equipamentos estejam em datacenters nacionais;
- Disponibilizar infraestrutura física dedicada, sem compartilhamento com outros clientes, e mecanismos de alta disponibilidade e recuperação de desastres.
Além disso, o provedor deverá ser habilitado pelo GSI como órgão de registro ou posto de controle, e suas instalações e equipes passarão por auditorias técnicas de segurança.
Responsabilidades compartilhadas
Os órgãos públicos que contratarem serviços de nuvem deverão firmar contratos sigilosos, monitorar o cumprimento das normas, auditar periodicamente os provedores e capacitar equipes em segurança da informação. Já as empresas contratadas deverão emitir relatórios anuais de conformidade, cooperar com autoridades em investigações de incidentes e preservar evidências sempre que houver suspeita de violação de segurança.
Veja a íntegra da Instrução Normativa GSI/PR Nº 8:
https://www.in.gov.br/en/web/dou/-/instrucao-normativa-gsi/pr-n-8-de-6-de-outubro-de-2025-660716869
