Perspetiva das IFs: segurança, privacidade e conformidade

Last reviewed 2025-07-28 UTC

Este documento no Google Cloud Framework bem arquitetado: perspetiva da FSI oferece uma vista geral dos princípios e das recomendações para abordar os requisitos de segurança, privacidade e conformidade das cargas de trabalho da indústria de serviços financeiros (FSI) no Google Cloud. As recomendações ajudam a criar uma infraestrutura resiliente e em conformidade, salvaguardar dados confidenciais, manter a confiança dos clientes, navegar no panorama complexo dos requisitos regulamentares e gerir eficazmente as ameaças cibernéticas. As recomendações neste documento estão alinhadas com o pilar de segurança do Well-Architected Framework.

A segurança na computação em nuvem é uma preocupação crítica para as organizações de serviços financeiros, que são altamente atrativas para os cibercriminosos devido às grandes quantidades de dados confidenciais que gerem, incluindo detalhes dos clientes e registos financeiros. As consequências de uma violação de segurança são extremamente graves, incluindo perdas financeiras significativas, danos de reputação a longo prazo e multas regulamentares significativas. Por conseguinte, as cargas de trabalho de FSI precisam de controlos de segurança rigorosos.

Para ajudar a garantir a segurança e a conformidade abrangentes, tem de compreender as responsabilidades partilhadas entre si (organizações de ISF) e a Google Cloud. Google Cloud é responsável por proteger a infraestrutura subjacente, incluindo a segurança física e a segurança de rede. É responsável pela proteção de dados e aplicações, pela configuração do controlo de acesso e pela configuração e gestão de serviços de segurança. Para ajudar nos seus esforços de segurança, o Google Cloud ecossistema de parceiros oferece integração de segurança e serviços geridos.

As recomendações de segurança neste documento estão mapeadas para os seguintes princípios fundamentais:

Implemente a segurança desde a conceção

Os regulamentos financeiros, como a Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), a Lei Gramm-Leach-Bliley (GLBA) nos Estados Unidos e várias leis nacionais de proteção de dados financeiros exigem que a segurança seja integrada nos sistemas desde o início. O princípio da segurança por design enfatiza a integração da segurança ao longo do ciclo de vida de desenvolvimento para ajudar a garantir que as vulnerabilidades são minimizadas desde o início.

Para aplicar o princípio de segurança por design às suas cargas de trabalho de FSI no Google Cloud, considere as seguintes recomendações:

  • Certifique-se de que apenas são concedidas as autorizações necessárias aplicando o princípio do menor privilégio através do controlo de acesso baseado em funções (CABF) detalhado na gestão de identidade e de acesso (IAM). A utilização do RBAC é um requisito fundamental em muitos regulamentos financeiros.
  • Aplique perímetros de segurança em torno dos seus serviços e dados sensíveis através dos Google Cloud VPC Service Controls. Os perímetros de segurança ajudam a segmentar e proteger dados e recursos confidenciais, e ajudam a evitar a exfiltração de dados e o acesso não autorizado, conforme exigido pelos regulamentos.
  • Defina as configurações de segurança como código através de ferramentas de infraestrutura como código (IaC), como o Terraform. Esta abordagem incorpora controlos de segurança desde a fase de implementação inicial, o que ajuda a garantir a consistência e a capacidade de auditoria.
  • Analise o código da sua aplicação integrando os testes de segurança de aplicações estáticos (SAST) no pipeline de CI/CD com o Cloud Build. Estabelecer limites de segurança automatizados para impedir a implementação de código não conforme.
  • Forneça uma interface unificada para estatísticas de segurança através do Security Command Center. A utilização do Security Command Center permite a monitorização contínua e a deteção precoce de configurações incorretas ou ameaças que podem levar a violações regulamentares. Para cumprir os requisitos de normas como ISO 27001 e NIST 800-53, pode usar modelos de gestão da postura.
  • Acompanhe a redução das vulnerabilidades identificadas nas implementações de produção e a percentagem de implementações de IaC que cumprem as práticas recomendadas de segurança. Pode detetar e ver vulnerabilidades e informações sobre a conformidade com as normas de segurança através do Security Command Center. Para mais informações, consulte o artigo Resultados de vulnerabilidades.

Implemente a confiança zero

Os regulamentos financeiros modernos enfatizam cada vez mais a necessidade de controlos de acesso rigorosos e validação contínua. Estes requisitos refletem o princípio de confiança zero, que visa proteger as cargas de trabalho contra ameaças internas e externas, bem como intervenientes prejudiciais. O princípio de confiança zero defende a validação contínua de todos os utilizadores e dispositivos, o que elimina a confiança implícita e mitiga o movimento lateral.

Para implementar a confiança zero, considere as seguintes recomendações:

  • Ative o acesso sensível ao contexto com base na identidade do utilizador, na segurança do dispositivo, na localização e noutros fatores combinando os controlos da IAM com o Chrome Enterprise Premium. Esta abordagem garante a validação contínua antes de ser concedido o acesso a dados e sistemas financeiros.
  • Forneça uma gestão de identidade e acesso segura e escalável configurando a Identity Platform (ou o seu fornecedor de identidade externo se usar a federação de identidade da força de trabalho). Configure a autenticação multifator (MFA) e outros controlos que são cruciais para implementar a confiança zero e ajudar a garantir a conformidade regulamentar.
  • Implemente a MFA para todas as contas de utilizador, especialmente para contas com acesso a dados ou sistemas sensíveis.
  • Apoiar auditorias e investigações relacionadas com a conformidade regulamentar através do estabelecimento de registos e monitorização abrangentes do acesso dos utilizadores e da atividade de rede.
  • Ative a comunicação privada e segura entre serviços nos ambientesGoogle Cloud e no local sem expor o tráfego à Internet pública através do Private Service Connect.
  • Implemente controlos de identidade detalhados e autorize o acesso ao nível da aplicação através do Identity-Aware Proxy (IAP), em vez de depender de mecanismos de segurança baseados na rede, como túneis VPN. Esta abordagem ajuda a reduzir o movimento lateral no ambiente.

Implemente a segurança shift-left

Os reguladores financeiros incentivam medidas de segurança proativas. A identificação e a resolução de vulnerabilidades no início do ciclo de vida de desenvolvimento ajudam a reduzir o risco de incidentes de segurança e o potencial de penalizações por não conformidade. O princípio da segurança deslocada para a esquerda promove os testes de segurança e a integração antecipados, o que ajuda a reduzir o custo e a complexidade da correção.

Para implementar a segurança shift-left, considere as seguintes recomendações:

  • Garanta verificações de segurança automáticas numa fase inicial do processo de desenvolvimento através da integração de ferramentas de verificação de segurança, como a verificação de vulnerabilidades de contentores e a análise de código estático, no pipeline de CI/CD com o Cloud Build.

  • Certifique-se de que apenas são implementados artefactos seguros através do Artifact Registry para fornecer um repositório seguro e centralizado para pacotes de software e imagens de contentores com análise de vulnerabilidades integrada. Use repositórios virtuais para mitigar ataques de confusão de dependências, dando prioridade aos seus artefactos privados em detrimento dos repositórios remotos.

  • Analise automaticamente as aplicações Web quanto a vulnerabilidades comuns através da integração do Web Security Scanner, que faz parte do Security Command Center, nos seus pipelines de desenvolvimento.

  • Implemente verificações de segurança para o código-fonte, o processo de compilação e a proveniência do código através da estrutura Supply-chain Levels for Software Artifacts (SLSA). Aplique a proveniência das cargas de trabalho executadas nos seus ambientes através de soluções como a Autorização binária. Certifique-se de que as suas cargas de trabalho usam apenas bibliotecas de software de código aberto validadas através do Assured Open Source.

  • Acompanhe o número de vulnerabilidades identificadas e corrigidas no seu ciclo de vida de desenvolvimento, a percentagem de implementações de código que passam nas verificações de segurança e a redução nos incidentes de segurança causados por vulnerabilidades de software.O Google Cloud oferece ferramentas para ajudar neste acompanhamento para diferentes tipos de cargas de trabalho. Por exemplo, para cargas de trabalho em contentores, use a funcionalidade de análise de contentores do Artifact Registry.

Implemente a cibersegurança preventiva

As instituições financeiras são alvos privilegiados de ciberataques sofisticados. Os regulamentos exigem frequentemente mecanismos robustos de inteligência contra ameaças e defesa proativa. A defesa cibernética preventiva centra-se na deteção e resposta proativas a ameaças através da utilização de estatísticas e automatização avançadas.

Considere as seguintes recomendações:

Use a IA de forma segura e responsável, e use a IA para segurança

A IA e a AA são cada vez mais usadas para exemplos de utilização de serviços financeiros, como a deteção de fraudes e a negociação algorítmica. Os regulamentos exigem que estas tecnologias sejam usadas de forma ética, transparente e segura. A IA também pode ajudar a melhorar as suas capacidades de segurança. Considere as seguintes recomendações para usar a IA:

  • Desenvolva e implemente modelos de ML num ambiente seguro e regido através da Vertex AI. As funcionalidades, como a explicabilidade do modelo e as métricas de equidade, podem ajudar a resolver preocupações relacionadas com a IA responsável.
  • Tire partido das capacidades de análise e operações de segurança do Google Security Operations, que usa a IA e a AA para analisar grandes volumes de dados de segurança, detetar anomalias e automatizar a resposta a ameaças. Estas capacidades ajudam a melhorar a sua postura de segurança geral e facilitam a monitorização da conformidade.
  • Estabelecer políticas de governação claras para o desenvolvimento e a implementação de IA e AA, incluindo considerações relacionadas com a segurança e a ética.
  • Alinhe-se com os elementos da Secure AI Framework (SAIF), que oferece uma abordagem prática para resolver as preocupações de segurança e risco dos sistemas de IA.
  • Acompanhe a precisão e a eficácia dos sistemas de deteção de fraudes com tecnologia de IA, a redução de falsos positivos nos alertas de segurança e os ganhos de eficiência da automatização da segurança orientada por IA.

Cumprir as necessidades regulamentares, de conformidade e de privacidade

Os serviços financeiros estão sujeitos a uma vasta gama de regulamentos, incluindo requisitos de residência de dados, registos de auditoria específicos e normas de proteção de dados. Para garantir que os dados confidenciais são devidamente identificados, protegidos e geridos, as organizações de FSI precisam de políticas de gestão de dados robustas e esquemas de classificação de dados. Considere as seguintes recomendações para ajudar a cumprir os requisitos regulamentares:

  • Configure limites de dados em Google Cloud para cargas de trabalho confidenciais e regulamentadas usando o Assured Workloads. Isto ajuda a cumprir os requisitos de conformidade governamentais e específicos da indústria, como o FedRAMP e o CJIS.
  • Identifique, classifique e proteja dados confidenciais, incluindo informações financeiras, implementando o Cloud Data Loss Prevention (Cloud DLP). Ao fazê-lo, ajuda a cumprir os regulamentos de privacidade de dados, como o RGPD e a CCPA.
  • Monitorize os detalhes das atividades administrativas e o acesso aos recursos através dos registos de auditoria do Cloud. Estes registos são fundamentais para cumprir os requisitos de auditoria estipulados por muitos regulamentos financeiros.
  • Quando escolhe Google Cloud regiões para as suas cargas de trabalho e dados, considere os regulamentos locais relacionados com a residência dos dados. Google Cloud A infraestrutura global permite-lhe escolher regiões que podem ajudar a cumprir os seus requisitos de residência dos dados.
  • Faça a gestão das chaves usadas para encriptar dados financeiros confidenciais em repouso e em trânsito através do Cloud Key Management Service. Esta encriptação é um requisito fundamental de muitos regulamentos de segurança e privacidade.
  • Implemente os controlos necessários para cumprir os seus requisitos regulamentares. Valide se os controlos funcionam como esperado. Volte a validar os controlos por um auditor externo para provar ao regulador que as suas cargas de trabalho estão em conformidade com os regulamentos.

Priorize as iniciativas de segurança

Dada a amplitude dos requisitos de segurança, as instituições financeiras têm de dar prioridade a iniciativas baseadas na avaliação de risco e nos mandatos regulamentares. Recomendamos a seguinte abordagem faseada:

  1. Estabeleça uma base de segurança sólida: foque-se nas áreas essenciais da segurança, incluindo a gestão de identidades e acessos, a segurança de rede e a proteção de dados. Este foco ajuda a criar uma postura de segurança robusta e ajuda a garantir uma defesa abrangente contra ameaças em evolução.
  2. Aborde os regulamentos críticos: dê prioridade à conformidade com regulamentos importantes, como a PCI DSS, o RGPD e as leis nacionais relevantes. Isto ajuda a garantir a proteção de dados, mitiga os riscos legais e cria confiança junto dos clientes.
  3. Implemente segurança avançada: adote gradualmente práticas de segurança avançadas, como a confiança zero, soluções de segurança baseadas em IA e deteção proativa de ameaças.
Anterior
Excelência operacional
Avançar
Fiabilidade