Em uma época em que os dados se tornaram tão valiosos quanto ouro, garantir a soberania dos dados é mais do que uma questão de posse, é essencial para a segurança cibernética de um país. Se tratando do setor financeiro, no qual os dados são considerados sensíveis, estabelecer diretrizes claras quanto a forma como estas informações são tratadas é ainda mais importante.
Com a migração em massa de instituições e empresas para nuvens de big techs e o avanço da Inteligência Artificial (IA) generativa, se tornou urgente para governos e entidades regulamentarem o processamento e o armazenamento dos dados, que, muitas vezes, são tratados em territórios internacionais. Os dados que são alocados em plataformas de outros países podem estar sujeitos às leis e conjunturas deles, o que também envolve dimensões políticas, empresariais e tecnológicas. Por isso, proteger estas informações e montar estratégias para evitar riscos de vazamentos ou ataques é essencial.
No Brasil, reguladores como Banco Central (Bacen) e Conselho Monetário Nacional (CMN) estabeleceram diretrizes para exigir políticas claras de cibersegurança nas instituições do setor financeiro brasileiro, além de requisitos básicos para garantir um processamento seguro destes dados caso se utilize um provedor de nuvem estrangeiro. Mas, primeiro, vamos entender o conceito de soberania de dados e por que é relevante.
O que é soberania de dados?
A soberania de dados significa o armazenamento e o processamento de dados no país de origem. Representa o controle sobre os dados gerados no território, garantindo que estejam sujeitos às regulamentações locais. Este conceito busca garantir a conformidade com as normas adequadas e a proteção das informações, evitando violações e acessos não-autorizados.
Segundo a pesquisa Data Privacy Benchmark Study da Cisco, no Brasil, a soberania dos dados ainda é uma prioridade em empresas brasileiras. Para 92% dos entrevistados, os dados são inerentemente mais seguros se armazenados localmente. Além disso, 95% apoiam leis de privacidade, como a LGPD (Lei Geral de Proteção de Dados), reforçando a confiança em marcos regulatórios para garantir a segurança das informações.
Por que a soberania de dados é importante?
É comum que grandes provedores internacionais de nuvens armazenem dados em ambientes “multiclouds” e híbridos, muitas vezes em diferentes países, dificultando a identificação, por parte dos clientes, das regiões onde as informações estão alocadas e, consequentemente, seu compliance. Manter a retenção dos dados em uma jurisdição específica tem algumas vantagens, como:
Simplifica o atendimento às regulamentações da região;
Gera mais confiança ao cliente sobre o tratamento das informações, demonstrando compromisso com as práticas responsáveis;
Reduz o risco de multas ou outros tipos de repercussões legais por descumprir as regulamentações do local.
Resoluções CMN nº 4.893 e BCB nº 85
Visando garantir a segurança das informações das instituições financeiras brasileiras, o Banco Central e o Conselho Monetário Nacional estabeleceram diretrizes claras quanto à contratação de serviços de processamento, armazenamento de dados e computação em nuvem prestados no exterior. De acordo com as Resoluções CMN nº 4.893 e BCB nº 85, as instituições devem observar detalhes como:
A existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços serão prestados;
A necessidade de assegurar que os serviços não causem prejuízos à atuação do Banco Central;
O planejamento de alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços;
Caso não haja uma articulação entre as autoridades do país do provedor com o Bacen, a instituição deve solicitar autorização para a contratação do serviço. Além disso, há diversas exigências que ainda devem ser consideradas e cumpridas, como em casos de extinção de contrato, subcontratação de serviços, dentre outros.
Garantindo conformidade com a regulamentação
Todas estas medidas visam reforçar a segurança da informação e a aderência regulatória, mas é importante reforçar que, no Brasil, temos provedores alocados em território nacional, totalmente já em compliance com a regulamentação. A RTM, por exemplo, oferece a nuvem Cloud Services, que atende às normas do setor financeiro, facilitando o compliance, e possui uma infraestrutura de Data Center 100% local, mantendo a soberania dos dados. A solução é estruturada estrategicamente para responder às necessidades dos participantes deste mercado.
Para quem ainda tem interesse em utilizar serviços de nuvens do exterior, o ideal, para garantir a conformidade e a segurança dos dados, é contratar uma consultoria especializada. Assim, é possível ter uma avaliação e chancela na contratação de provedores de nuvem de fora do Brasil. A RTM possui especialistas que realizam esta análise minuciosa, incluindo serviços como due diligence do fornecedor, para verificação da estrutura, conformidade regulatória com o Bacen e comprovação de certificações; análise de riscos operacionais e controles; validação contratual e SLAs (acordo de nível de serviço) de acordo com as normas brasileiras; testes e simulações para comprovação da robustez da solução; e monitoramento contínuo para emissão de parecer e auditoria regular.
Ter o controle de todo o ecossistema no qual seus dados estão inseridos em um provedor internacional pode ser desafiador. É preciso conhecer as regulamentações a fundo, estar atento a possíveis mudanças políticas ou econômicas nos países envolvidos e saber avaliar os riscos. Colocar isto em prática demanda uma ação conjunta de diversas áreas, como compliance, jurídico e segurança da informação, e as empresas devem analisar todas estas questões para tomar uma decisão segura e estratégica sobre o serviço de nuvem para qual deseja migrar.
Marcio Castro, CEO da RTM e Rodrigo Royo, gerente Jurídico da RTM.
Fonte: TI INSIDE Online - Leia mais
