Quais aspectos devem ser considerados na avaliação de risco cibernético para a transferência de serviços ou informações para um provedor de serviço em nuvem?

Os aspectos a serem considerados incluem:

Como deve ser o tratamento de dados classificados em ambiente de computação em nuvem?

Não podem ser tratadas em ambiente de nuvem pública informações e cargas de trabalho classificadas com grau de sigilo, nem documentos preparatórios que possam originar informações classificadas.

Quais são os modelos de implantação de nuvem descritos na Estratégia de Uso de Software e de Serviços de Computação em Nuvem?

Os modelos de implantação de nuvem são:

Quais critérios serão utilizados para a seleção de modelos de computação em nuvem?

A seleção poderá considerar:

Quais diretrizes devem ser observadas quanto ao uso seguro de software e de serviços de computação em nuvem?

Os provedores de serviços de computação em nuvem devem possuir:

Resolução BCB N° 454 | Banco Central

Q: O que são Integradores de Serviços em Nuvem (Cloud Brokers)?

Integradores de Serviços em Nuvem (Cloud Brokers) são intermediários que facilitam a integração e gestão de múltiplos provedores de serviços de computação em nuvem.

Q: O que é Finops?

Finops é o conjunto de práticas de gestão financeira concentradas na otimização de custos e investimentos em serviços de computação em nuvem.

Q: O que é computação em nuvem?

Computação em nuvem é um modelo que possibilita o provisionamento e a utilização sob demanda de recursos e serviços computacionais de qualquer lugar e a qualquer momento, com acesso por meio de rede a recursos configuráveis que podem ser rapidamente provisionados, utilizados e liberados com o mínimo de esforço em gerenciamento ou interatividade com o provedor de serviços em nuvem.

Q: Onde devem preferencialmente ocorrer o tratamento de dados e informações do Banco Central do Brasil em serviços de computação em nuvem?

O tratamento deve ocorrer preferencialmente em data centers localizados em território brasileiro. Armazenamento fora do país só é possível se houver cópia de segurança em data centers no Brasil.

Q: Com que frequência a Estratégia de Uso de Software e de Serviços de Computação em Nuvem deve ser revista?

A Estratégia deve ser revista pelo menos a cada dois anos.

A Resolução BCB nº 454 estabelece a nova Estratégia de Uso de Software e de Serviços de Computação em Nuvem do Banco Central do Brasil, que visa a utilização racional, segura e eficiente dos recursos computacionais. A resolução revoga a anterior (BCB nº 288/2023) e entra em vigor na data de sua publicação.

Os principais objetivos da nova estratégia incluem:

Alinhar o uso de software e serviços de nuvem aos objetivos estratégicos do Banco Central;
Priorizar soluções que otimizem o uso de recursos operacionais de computação em nuvem;
Aprimorar a qualidade e a oferta de serviços prestados ao SFN e à sociedade;
Capacitar continuamente os usuários em tecnologias de computação em nuvem;
Observar a legislação relativa à segurança da informação e à Lei Geral de Proteção de Dados (LGPD).

Entre os princípios estão:

Modernizar as aplicações com as melhores práticas em computação em nuvem;
Adotar até dois provedores principais (cloud brokers) para evitar pulverização e facilitar o gerenciamento;
Explorar novas tecnologias que melhorem a eficiência dos processos.

Outra determinação relevante é a de que serviços e informações do Banco Central preferencialmente sejam processados em data centers localizados no Brasil. Exceções são permitidas somente com a garantia de armazenamento de cópia de segurança em território brasileiro.

As unidades gestoras terão que realizar avaliações de risco cibernético e comunicar incidentes relevantes, além de necessitarem de aprovação prévia para a contratação de soluções de nuvem. A estratégia também prioriza a contratação de Software como Serviço (SaaS) sobre outras modalidades como Plataforma como Serviço (PaaS) e Infraestrutura como Serviço (IaaS).

Por fim, a revisão da estratégia deve ocorrer, no mínimo, a cada dois anos, e os casos omissos ou situações excepcionais serão resolvidos pelo Gestor de Segurança da Informação (GSI).

Resolução Nº 454

RESOLUÇÃO BCB Nº 454, DE 30 DE JANEIRO DE 2025

Dispõe sobre a Estratégia de Uso de Software e de Serviços de Computação em Nuvem do Banco Central do Brasil.

O Comitê de Governança, Riscos e Controles – GRC, com base no art. 11, caput, inciso XIII, alínea “a”, e no art. 139, caput, inciso III, alíneas “a” e “e”, do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB nº 340, de 21 de setembro de 2023, e tendo em vista o disposto no Voto 132/2025–GRC, de 30 de janeiro de 2025, na Instrução Normativa nº 5, de 30 de agosto de 2021, do Gabinete de Segurança Institucional da Presidência da República, e na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, da Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos,

R E S O L V E :

Art. 1º Fica divulgada, na forma do anexo a esta Resolução, a Estratégia de Uso de Software e de Serviços de Computação em Nuvem do Banco Central do Brasil.

Art. 2º Fica revogada a Resolução BCB nº 288, de 24 de janeiro de 2023.

Art. 3º Esta Resolução entra em vigor na data de sua publicação.

GABRIEL MURICCA GALÍPOLO
Presidente do Banco Central do Brasil

ESTRATÉGIA DE USO DE SOFTWARE E DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM DO BANCO CENTRAL DO BRASIL, ANEXO À RESOLUÇÃO BCB Nº 454, DE 30 DE JANEIRO DE 2025

CAPÍTULO I
OBJETIVOS E PRINCÍPIOS

Art. 1º A Estratégia de Uso de Software e de Serviços de Computação em Nuvem do Banco Central do Brasil visa à utilização racional, segura e eficiente dos recursos computacionais e à evolução constante de seus serviços, utilizando tecnologias modernas e inovadoras, e tem os seguintes objetivos:

I - alinhar a utilização do uso de software e de serviços de computação em nuvem aos objetivos estratégicos do Banco Central do Brasil;

II - orientar a contratação e a utilização de software e de serviços de computação em nuvem;

III - priorizar soluções que otimizem o uso dos recursos operacionais de serviços de computação em nuvem;

IV - proporcionar agilidade para o desenvolvimento de novos projetos e protótipos;

V - ampliar a capacidade de entrega de soluções de tecnologia da informação e comunicação – TIC;

VI - aprimorar a disponibilidade, a qualidade e a oferta dos serviços prestados à sociedade e ao Sistema Financeiro Nacional – SFN, bem como a resiliência cibernética do Banco Central do Brasil;

VII - prover aos usuários do Banco Central do Brasil a capacitação contínua em tecnologias de computação em nuvem; e

VIII - promover a observância, pelo Banco Central do Brasil, da legislação relativa à segurança da informação e da Lei nº 13.709, de 14 de agosto de 2018.

Art. 2º São princípios da Estratégia de Uso de Software e de Serviços de Computação em Nuvem:

I - explorar novas tecnologias disponibilizadas nos serviços de computação em nuvem, buscando soluções alinhadas aos requisitos de negócio e que melhorem a eficiência de processos;

II - modernizar as aplicações, adotando as melhores práticas de utilização de serviços de computação em nuvem;

III - avaliar a possibilidade de migração para infraestruturas de nuvem pública, transferindo as aplicações de sistemas locais para a nuvem;

IV - adotar o modelo de Integrador de Serviços em Nuvem (Cloud Brokers), de modo limitado a dois provedores principais de serviços de computação em nuvem; e

V - reduzir a complexidade do gerenciamento de serviços de provedores de serviços de computação em nuvem, evitando a pulverização de fornecedores e a migração entre eles.

Parágrafo único. A homologação de provedores principais de serviços de computação em nuvem deve ser realizada a partir de requisitos de confiabilidade, capacidade de inovação, de oferta de serviços e de presença ou capilaridade nacional e global.

CAPÍTULO II
DEFINIÇÕES

Art. 3º Para os efeitos da Estratégia de Uso de Software e de Serviços de Computação em Nuvem, adotam-se as seguintes definições:

I - aplicação: programa ou conjunto de programas que tem por objetivo realizar um grupo de funções, tarefas ou atividades coordenadas para benefício do usuário;

II - carga de trabalho (workload): conjunto de recursos que compõem uma arquitetura técnica destinada a suportar um ou mais serviços de TIC;

III - computação em nuvem: modelo que possibilita o provisionamento e a utilização sob demanda de recursos e serviços computacionais de qualquer lugar e a qualquer momento, com acesso por meio de rede a recursos configuráveis (e.g. redes, segurança, servidores, armazenamento, aplicações e serviços) que podem ser rapidamente provisionados, utilizados e liberados com o mínimo de esforço em gerenciamento ou interatividade com o provedor de serviços em nuvem;

IV - cópia de segurança atualizada: versão recente de um backup dos dados gerada segundo a periodicidade definida pela política de recuperação do sistema ou do serviço que utiliza as informações;

V - Financial Operations – Finops: práticas de gestão financeira concentradas na otimização de custos e investimentos em serviços de computação em nuvem;

VI - governança de nuvem: conjunto de processos e políticas destinados a assegurar o uso efetivo e seguro de serviços de computação em nuvem;

VII - grau de sigilo: informações e cargas de trabalho que, por sua natureza, são imprescindíveis à segurança da sociedade ou do Estado, sendo classificadas como ultrassecreta, secreta ou reservada, nos termos da Lei nº 12.527, de 18 de novembro de 2011;

VIII - Integrador de Serviços em Nuvem (Cloud brokers): intermediários que facilitam a integração e gestão de múltiplos provedores de serviços de computação em nuvem;

IX - interoperabilidade: capacidade de diferentes sistemas e aplicações trocarem e utilizarem informações entre si de forma eficaz;

X - modelos de implantação de nuvem: modelos que representam como a computação em nuvem pode ser organizada com base no controle e no compartilhamento de recursos físicos ou virtuais, sendo classificada em:

a) nuvem pública;

b) nuvem privada;

c) nuvem comunitária; e

d) nuvem híbrida;

XI - multicloud: uso combinado de serviços de múltiplos provedores de serviços de computação em nuvem para distribuir recursos e minimizar dependência de um único fornecedor;

XII - plataforma de gerenciamento de serviços em nuvem (Cloud Management Platform – CMP): sistema capaz de realizar o provisionamento e a orquestração, a requisição de serviço, o inventário e a classificação, o monitoramento e a análise, o gerenciamento de custos e a otimização de carga de trabalho, a migração em nuvem, o backup e recuperação de desastres, o gerenciamento de segurança, a conformidade e a identidade, o deployment e a implantação dos recursos nos provedores de serviços de computação em nuvem;

XIII - portabilidade: movimentação transparente de aplicações ou de dados entre os diferentes serviços de computação em nuvem ou para ambientes locais;

XIV - provedor de serviços em nuvem: empresa que possui infraestrutura de TIC destinada ao fornecimento de infraestrutura, de plataformas e de aplicativos baseados em computação em nuvem;

XV - solução de TIC: conjunto de bens e serviços que apoiam processos de negócio mediante a conjugação de recursos de TIC, conforme definições constantes no Anexo II da Instrução Normativa SGD/ME nº 94, de 23 de dezembro de 2022; e

XVI - unidade gestora do serviço: componente organizacional do Banco Central do Brasil que gerencia o processo organizacional e define o produto de software associado à sua execução.

CAPÍTULO III
COMPETÊNCIAS E ATRIBUIÇÕES

Art. 4º No âmbito da Estratégia de Uso de Software e de Serviços de Computação em Nuvem, são atribuições do Gestor de Segurança da Informação – GSI de que trata o art. 37 do anexo à Resolução BCB nº 287, de 24 de janeiro de 2023:

I - supervisionar a aplicação da Estratégia de Uso de Software e de Serviços de Computação em Nuvem;

II - propor ao Comitê de Governança, Riscos e Controles – GRC a lista de países em que os dados e as informações custodiadas pelo Banco Central do Brasil poderão ser armazenados em soluções de computação em nuvem; e

III - propor ao GRC a revisão da Estratégia de Uso de Software e de Serviços de Computação em Nuvem.

Art. 5º Compete ao Departamento de Tecnologia da Informação – Deinf:

I - coordenar a implementação da Estratégia de Uso de Software e de Serviços de Computação em Nuvem, assegurando o alinhamento ao Plano Diretor de Tecnologia da Informação e Comunicação – PDTI vigente e a outras políticas relacionadas;

II - definir e implementar estratégias de gestão financeira para otimizar os custos e investimentos em serviços de computação em nuvem;

III - submeter ao GSI de que trata o art. 37 do anexo à Resolução BCB nº 287, de 24 de janeiro de 2023, proposta de revisão da Estratégia de Uso de Software e de Serviços de Computação em Nuvem;

IV - definir os requisitos criptográficos mínimos para o armazenamento de dados e informações, custodiados pelo Banco Central do Brasil, em soluções de computação em nuvem;

V - estabelecer as condições de portabilidade e interoperabilidade entre provedores de serviços de computação em nuvem;

VI - verificar o cumprimento dos controles e dos níveis mínimos de serviço definidos, devendo aplicar, em casos de eventuais desvios, medidas de correção; e

VII - comunicar aos órgãos competentes os incidentes cibernéticos, conforme sua relevância, informados pelo provedor de serviços de computação em nuvem.

Art. 6º Compete à unidade gestora do serviço ou da informação, em conjunto com o Deinf, como prévia condição para a transferência de serviços ou informações para ou de um provedor de serviço em nuvem:

I - realizar a avaliação de risco cibernético envolvido, observando pelo menos:

a) os aspectos de proteção de dados e de privacidade;

b) a segurança das informações, especialmente as de acesso restrito;

c) a criticidade do sistema ou do serviço para o Banco Central do Brasil; e

d) a rotulação da informação ou do dado;

II - definir as medidas de mitigação de riscos e de custos para a implementação de solução de computação em nuvem e para possibilidade de crescimento dessa solução; e

III - elaborar a Estratégia de Saída, considerando o disposto no inciso I, de serviços ou de informações do ambiente de computação em nuvem para o ambiente computacional próprio do Banco Central Brasil.

Parágrafo único. O Deinf deverá encaminhar ao Departamento de Riscos Corporativos e Referências Operacionais – Deris o relatório com a avaliação do risco cibernético e a lista das medidas de mitigação para a implementação de solução de computação em nuvem.

CAPÍTULO IV
DIRETRIZES

Seção I
Da identificação das necessidades de negócio

Art. 7º O Deinf identificará as necessidades de negócio para a contratação de software e de serviços de computação em nuvem, definindo os dados e os serviços que utilizarão preferencialmente uma ou outra solução.

§ 1º As iniciativas que irão utilizar computação em nuvem deverão estabelecer as metas, os benefícios e os resultados esperados com a adoção da solução, levando em consideração a linha de base estabelecida.

§ 2º Enquanto não estabelecidas as metas para os softwares e os serviços migrados para ambiente de computação em nuvem, devem ser consideradas aquelas anteriores à mudança.

Seção II
Da seleção dos modelos adequados

Art. 8º Os serviços de computação em nuvem pública, de governo ou híbrida, poderão ser empregados:

I - nos casos em que a nuvem privada não consiga promover a escalabilidade, a flexibilidade, a agilidade, a segurança cibernética ou a inovação tecnológica necessárias para atender aos requisitos técnicos e de negócio; ou

II - para promover a eficiência de custos e facilidade de gestão e sustentação.

Parágrafo único. Nas hipóteses em que os serviços de computação em nuvem sejam necessários apenas como parte de uma solução, poderá ser adotada a abordagem de nuvem híbrida, mantendo parte dos recursos em nuvem privada.

Art. 9º O Banco Central do Brasil priorizará o modelo mais abrangente de serviços de nuvem que atenda a suas demandas, tendo em conta os princípios da eficiência operacional, a melhor relação custo-benefício, a segurança cibernética, a flexibilidade e a escalabilidade.

§ 1º A adoção de serviços do modelo Software como Serviço – SaaS terá prioridade sobre o da Plataforma como Serviço – PaaS, e ambos sobre o da Infraestrutura como Serviço – IaaS.

§ 2º As contratações do modelo devem preferencialmente adotar prazos longevos, de forma a promover economia de escala e diminuição de custos administrativos associados.

Seção III
Da avaliação dos possíveis fornecedores

Art. 10. Os estudos técnicos preliminares à contratação dos serviços de computação em nuvem devem abranger o levantamento dos possíveis fornecedores aptos ao atendimento dos requisitos de negócio.

Parágrafo único. A avaliação incluirá critérios de segurança cibernética, de conformidade, de disponibilidade, de suporte técnico, custo de migração, custo de capacitação e de risco do fornecedor.

Art. 11. A fim de assegurar que o uso das plataformas de nuvem ou software contratados esteja alinhado às melhores práticas de arquitetura e segurança cibernética, na forma recomendada pelos próprios fornecedores e fabricantes, será avaliada a necessidade de contratação de suporte técnico especializado.

Parágrafo único. No caso de contratação de software, o suporte técnico especializado do fabricante deve fazer parte da solução.

Seção IV
Das diretrizes de uso seguro de software e de serviços de computação em nuvem

Art. 12. Os provedores de serviços de computação em nuvem deverão possuir:

I - criptografia de dados em seus ambientes;

II - controles de segurança cibernética alinhados às melhores práticas de mercado;

III - processo implementado de atualizações do serviço que mitigue vulnerabilidades conhecidas dentro de um período compatível com a criticidade de cada vulnerabilidade;

IV - plataforma de gerenciamento de serviços em nuvem; e

V - capacidade de resiliência na manutenção do serviço e na recuperação de informações em casos de desastre.

Art. 13. Os fornecedores de Serviços Técnicos de Intermediação para Nuvens Públicas deverão observar as disposições da Lei nº 13.709, de 14 de agosto de 2018, no tratamento dos dados pessoais ou sensíveis, em especial quanto à finalidade e à boa-fé.

Art. 14. Não poderão ser tratadas em ambiente de nuvem pública informações e cargas de trabalho classificadas, conforme a Lei nº 12.527, de 18 de novembro de 2011, em grau de sigilo, nem documentos preparatórios que possam originar informações que possam ser classificadas em grau de sigilo.

Art. 15. As cargas de trabalho que tratam de informações submetidas à restrição de acesso público em virtude de seu caráter pessoal ou por estarem abrangidas por outras hipóteses de sigilo legal poderão ser mantidas em ambiente de nuvem pública.

Art. 16. O tratamento de dados e informações do Banco Central do Brasil em serviços de computação em nuvem deve ocorrer preferencialmente em data centers localizados em território brasileiro.

Parágrafo único. O armazenamento de dados e de informações fora do território brasileiro é possível somente nos casos em que haja cópia de segurança atualizada armazenada em data centers localizados em território brasileiro.

CAPÍTULO V
DISPOSIÇÕES GERAIS

Art. 17. A Estratégia de Uso de Software e de Serviços de Computação em Nuvem deve estar alinhada aos seguintes planos e políticas do Banco Central do Brasil, respeitados seus aspectos específicos:

I - Plano Estratégico Institucional – PEI;

II - PDTI;

III - Plano de Contratações Anual – PCA;

IV - Política de Governança da Informação – PGI; e

V - Política de Segurança da Informação – PSIBC.

Art. 18. Os contratos de software e serviços de computação em nuvem observarão o disposto na Estratégia de Uso de Software e de Serviços de Computação em Nuvem, abrangendo-se as seguintes categorias:

I - SaaS;

II - IaaS;

III - PaaS;

IV - licenciamento de software perpétuo;

V - licenciamento de software por subscrição ou assinatura;

VI - manutenção de softwares ou computação em nuvem;

VII - consultoria especializada em software ou computação em nuvem; e

VIII - serviços de migração, integração, operação e gestão de recursos de computação em nuvem.

Art. 19. O Banco Central do Brasil estabelecerá programa de capacitação contínua de usuários nas melhores metodologias de trabalho e em novas tecnologias.

Parágrafo único. A equipe competente para gerenciar, operar e utilizar os recursos de software e de serviços em nuvem deve ser capacitada adequadamente.

Art. 20. A Estratégia de Uso de Software e de Serviços de Computação em Nuvem deve ser revista pelo menos a cada dois anos.

Art. 21. Os casos omissos e exceções serão resolvidos pelo GSI de que trata o art. 37 do anexo à Resolução BCB nº 287, de 24 de janeiro de 2023.

Resolução BCB N° 454

Registros selecionados

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes