Escolar Documentos
Profissional Documentos
Cultura Documentos
2
11................................................................................Armazenar dados em território nacional
8
12..........................................................Proibir o uso de informações pelo provedor de serviço
9
13..............................................................................Eliminar os dados ao término do contrato
9
15................................Manter sistemas executados em máquinas virtuais sempre atualizados
9
16............................Permitir que órgãos ou entidades acessem o log de acessos do hypervisor
10
17.........................Impor mecanismos de autenticação que impacte nas políticas de segurança
10
18...........................................Contradição em relação ao acesso ao ambiente de autenticação
10
19........................................................Proteger aplicações e sistemas dos órgãos ou entidades
10
20...........................................................................Adotar práticas de desenvolvimento seguro
10
21......................................................................Possuir um plano de recuperação de desastres
10
22........................................................................Estabelecer um canal de comunicação seguro
11
23...................................................................................................Segregar o tráfego de dados
11
24..............................................................Implementar dispositivos de segurança entre zonas
11
25.......................Demonstrar estar em conformidade com os padrões de segurança de nuvem
11
26..................................................................................Obrigatoriedade de usar cloud brokers
11
3
27.............................................................................Contratatação de plataforma multinuvem
12
28.....................................O cloud broker se responsabiliza por cumprir a instrução normativa
12
29...........................................................................Validar as certificações SOC dos provedores
12
Recomendações...........................................................................................................12
4
Equipe de Trabalho
Ricardo Makino
André Landim
Rodrigo Azevedo
Objetivo
Este relatório tem por objetivo descrever resumidamente os principais pontos da IN05 do GSI e os
impactos que podemos ter em nossos produtos e serviços.
Introdução
Já se passam mais de dois anos desde que o governo brasileiro estabeleceu a prioridade para a
computação em nuvem na contratação de serviços e soluções de tecnologia. Dentre os pontos que mais
despertaram a atenção, a segurança sempre foi destaque.
O Gabinete de Segurança Institucional da Presidência da República publicou, em 30 de agosto de
2021, a Instrução Normativa nº 5 (IN 05), que estabelece diretrizes para contratar e implementar soluções
ou infraestrutura em nuvem.
Ressalvas
Este relatório foi elaborado para auxiliar as diversas áreas da organização na implementação de
estratégias resultados da nova legislação. Boa leitura!
5
Pontos de destaques
6
o benefícios da adoção de uma solução de computação em nuvem, em relação aos
riscos de segurança e privacidade referentes à disponibilização de informações e
serviços a um terceiro;
Teremos que incluir no fluxo do processo de arquitetura e migração, considerando os
itens a, b, c e d;
Oportunidade: RNP apoiar os clientes na elaboração destas análises
O item C diz respeito ao valor dos ativos envolvidos, como precificar o valor das
informações pessoais?
7
b. Inviabiliza o acesso ao console do provedor de nuvem pública, sendo
necessário adotar contas locais;
c. Isso pode impedir a utilização de uma solução de SSO, pois em casos de SaaS
como Office365 ou Google Workspace há uma sincronização entre o AD/LDAP
da instituição com os sistemas do provedor para haver compartilhar usuários,
grupos, contatos, etc.;
d. Além disso, impede a utilização de serviços de autenticação de provedores de
serviços como o Cognito da AWS ou o Azure AD da Microsoft
8
11. Armazenar dados em território nacional
CAPÍTULO IV / Seção VII / Art. 18
Impacto médio
Todos os dados devem estar hospedados em território brasileiro
Dados sem restrição de acesso (ostensivo) podem possuir cópias de segurança fora do
Brasil
Dados com restrição de acesso não poderão ser tratados fora do território brasileiro
Para dados pessoais deve ser observada a LGPD;
9
Impacto alto
Diz que o provedor deve manter todos os sistemas operacionais e as aplicações em
execução na máquina virtual em suas versões mais atuais
Isso no caso de um IaaS é responsabilidade do cliente;
No caso de um PaaS é uma responsabilidade compartilhada, pois o provedor não pode
aplicar uma atualização que quebre o ambiente do cliente;
No caso de um SaaS é viável;
10
Desenvolver código web em conformidade com as melhores práticas de desenvolvimento seguro e
com os normativos existentes;
Não ficou claro se isso é para os serviços, portais e API do provedor;
11
26. Obrigatoriedade de usar cloud brokers
CAPÍTULO VI / Art. 21
Impacto baixo
Diz que o broker é um integrador entre o órgão e dois ou mais provedores são
obrigatórios
Não ficou claro se o conceito de broker se mantém caso existe apenas um provedor;
Recomendações
Este relatório foi elaborado para auxiliar as diversas áreas da organização na implementação de
estratégias resultados da nova legislação.
12
Título (Corpo 20)
Subtítulo (corpo 16)
13