Perspectiva de FSI: segurança, privacidade e compliance

Last reviewed 2025-07-28 UTC

Este documento do Google Cloud Framework bem arquitetado: perspectiva do setor de serviços financeiros fornece uma visão geral dos princípios e recomendações para atender aos requisitos de segurança, privacidade e compliance das cargas de trabalho do setor de serviços financeiros (FSI) em Google Cloud. As recomendações ajudam você a criar uma infraestrutura resiliente e em conformidade, proteger dados sensíveis, manter a confiança dos clientes, navegar pelo cenário complexo de requisitos regulatórios e gerenciar ameaças cibernéticas com eficácia. As recomendações neste documento estão alinhadas ao pilar de segurança do framework bem arquitetado.

A segurança na computação em nuvem é uma preocupação fundamental para as instituições financeiras, que são muito atraentes para os cibercriminosos devido às grandes quantidades de dados sensíveis que gerenciam, incluindo detalhes dos clientes e registros financeiros. As consequências de uma violação de segurança são excepcionalmente graves, incluindo perdas financeiras significativas, danos à reputação de longo prazo e multas regulatórias significativas. Portanto, as cargas de trabalho de FSI precisam de controles de segurança rigorosos.

Para garantir segurança e compliance abrangentes, é necessário entender as responsabilidades compartilhadas entre você (organizações de serviços financeiros) e o Google Cloud.O Google Cloud é responsável por proteger a infraestrutura subjacente, incluindo segurança física e de rede. Você é responsável por proteger dados e aplicativos, configurar o controle de acesso e configurar e gerenciar serviços de segurança. Para ajudar você nas iniciativas de segurança, o ecossistema de parceiros doGoogle Cloud oferece integração de segurança e serviços gerenciados.

As recomendações de segurança neste documento são mapeadas para os seguintes princípios básicos:

Implementar a segurança incorporada ao design

Regulamentações financeiras como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), a Lei Gramm-Leach-Bliley (GLBA) nos Estados Unidos e várias leis nacionais de proteção de dados financeiros exigem que a segurança seja integrada aos sistemas desde o início. O princípio de segurança por design enfatiza a integração da segurança em todo o ciclo de vida do desenvolvimento para ajudar a garantir que as vulnerabilidades sejam minimizadas desde o início.

Para aplicar o princípio de segurança por design às suas cargas de trabalho de FSI em Google Cloud, considere as seguintes recomendações:

  • Aplique o princípio de privilégio mínimo com o controle de acesso baseado em função (RBAC) granular no Identity and Access Management (IAM) para garantir que apenas as permissões necessárias sejam concedidas. O uso do RBAC é um requisito fundamental em muitas regulamentações financeiras.
  • Aplique perímetros de segurança em torno dos seus serviços e dados sensíveis no Google Cloud usando o VPC Service Controls. Os perímetros de segurança ajudam a segmentar e proteger dados e recursos sensíveis, além de evitar a exfiltração de dados e o acesso não autorizado, conforme exigido pelas regulamentações.
  • Defina configurações de segurança como código usando ferramentas de infraestrutura como código (IaC), como o Terraform. Essa abordagem incorpora controles de segurança desde a fase inicial de implantação, o que ajuda a garantir consistência e capacidade de auditoria.
  • Faça a verificação do código do aplicativo integrando o teste de segurança de aplicativos estático (SAST) ao pipeline de CI/CD com o Cloud Build. Estabeleça gates de segurança automatizados para evitar a implantação de código não compatível.
  • Forneça uma interface unificada para insights de segurança usando o Security Command Center. O uso do Security Command Center permite o monitoramento contínuo e a detecção precoce de configurações incorretas ou ameaças que podem levar a violações regulatórias. Para atender aos requisitos de padrões como ISO 27001 e NIST 800-53, use modelos de gerenciamento de postura.
  • Acompanhe a redução nas vulnerabilidades identificadas em implantações de produção e a porcentagem de implantações de IaC que seguem as práticas recomendadas de segurança. É possível detectar e ver vulnerabilidades e informações sobre a conformidade com os padrões de segurança usando o Security Command Center. Para mais informações, consulte Descobertas de vulnerabilidades.

Implementar a confiança zero

As regulamentações financeiras modernas enfatizam cada vez mais a necessidade de controles de acesso rigorosos e verificação contínua. Esses requisitos refletem o princípio da confiança zero, que visa proteger as cargas de trabalho contra ameaças internas e externas e agentes maliciosos. O princípio de zero trust defende a verificação contínua de todos os usuários e dispositivos, o que elimina a confiança implícita e reduz o movimento lateral.

Para implementar a confiança zero, considere as seguintes recomendações:

  • Ative o acesso baseado no contexto com base na identidade do usuário, segurança do dispositivo, localização e outros fatores combinando controles do IAM com o Chrome Enterprise Premium. Essa abordagem garante a verificação contínua antes da concessão de acesso a dados e sistemas financeiros.
  • Forneça gerenciamento de identidade e acesso seguro e escalonável configurando o Identity Platform (ou seu provedor de identidade externo se você usar a federação de identidade de colaboradores). Configure a autenticação multifator (MFA) e outros controles cruciais para implementar a confiança zero e garantir a conformidade regulamentar.
  • Implemente a MFA para todas as contas de usuário, especialmente aquelas com acesso a dados ou sistemas sensíveis.
  • Ofereça suporte a auditorias e investigações relacionadas à conformidade regulatória estabelecendo um registro e monitoramento abrangentes do acesso do usuário e da atividade de rede.
  • Ative a comunicação particular e segura entre serviços em ambientesGoogle Cloud e locais sem expor o tráfego à Internet pública usando o Private Service Connect.
  • Implemente controles de identidade granulares e autorize o acesso no nível do aplicativo usando o Identity-Aware Proxy (IAP) em vez de depender de mecanismos de segurança baseados em rede, como túneis VPN. Essa abordagem ajuda a reduzir o movimento lateral no ambiente.

Implementar a segurança de "shift-left"

Os reguladores financeiros incentivam medidas de segurança proativas. Identificar e resolver vulnerabilidades no início do ciclo de vida de desenvolvimento ajuda a reduzir o risco de incidentes de segurança e a possibilidade de penalidades por não conformidade. O princípio da segurança shift-left promove testes e integração de segurança antecipados, o que ajuda a reduzir o custo e a complexidade da correção.

Para implementar a segurança shift-left, considere as seguintes recomendações:

  • Garanta verificações de segurança automatizadas no início do processo de desenvolvimento integrando ferramentas de verificação de segurança, como verificação de vulnerabilidade de contêiner e análise estática de código, ao pipeline de CI/CD com o Cloud Build.

  • Use o Artifact Registry para garantir que apenas artefatos seguros sejam implantados. Ele oferece um repositório seguro e centralizado para pacotes de software e imagens de contêiner com verificação de vulnerabilidades integrada. Use repositórios virtuais para mitigar ataques de confusão de dependências, priorizando seus artefatos particulares em vez de repositórios remotos.

  • Faça a verificação automática de vulnerabilidades comuns em aplicativos da Web integrando o Web Security Scanner, que faz parte do Security Command Center, aos seus pipelines de desenvolvimento.

  • Implemente verificações de segurança para o código-fonte, o processo de build e a procedência do código usando o framework Níveis da cadeia de suprimentos para artefatos de software (SLSA). Aplique a origem das cargas de trabalho executadas nos seus ambientes usando soluções como a autorização binária. Use o Assured Open Source para garantir que suas cargas de trabalho usem apenas bibliotecas de software de código aberto verificadas.

  • Acompanhe o número de vulnerabilidades identificadas e corrigidas no ciclo de vida de desenvolvimento, a porcentagem de implantações de código que passam nas verificações de segurança e a redução nos incidentes de segurança causados por vulnerabilidades de software.O Google Cloud fornece ferramentas para ajudar nesse acompanhamento em diferentes tipos de cargas de trabalho. Por exemplo, para cargas de trabalho em contêineres, use o recurso de verificação de contêineres do Artifact Registry.

Implementar defesa cibernética preventiva

As instituições financeiras são os principais alvos de ataques cibernéticos sofisticados. As regulamentações geralmente exigem mecanismos robustos de defesa proativa e inteligência de ameaças. A defesa cibernética preventiva se concentra na detecção e resposta proativas a ameaças usando análises e automação avançadas.

Considere as seguintes recomendações:

Use a IA de forma segura e responsável, e use a IA para segurança

A IA e o ML são cada vez mais usados em casos de uso de serviços financeiros, como detecção de fraudes e negociação algorítmica. As regulamentações exigem que essas tecnologias sejam usadas de forma ética, transparente e segura. A IA também pode ajudar a melhorar seus recursos de segurança. Considere as seguintes recomendações para usar a IA:

  • Desenvolva e implante modelos de ML em um ambiente seguro e controlado usando a Vertex AI. Recursos como a explicabilidade do modelo e as métricas de justiça podem ajudar a resolver problemas de IA responsável.
  • Aproveite os recursos de análise e operações de segurança do Google Security Operations, que usa IA e ML para analisar grandes volumes de dados de segurança, detectar anomalias e automatizar a resposta a ameaças. Esses recursos ajudam a melhorar sua postura geral de segurança e auxiliam no monitoramento da conformidade.
  • Estabeleça políticas de governança claras para o desenvolvimento e a implantação de IA e ML, incluindo considerações relacionadas à segurança e à ética.
  • Alinhe-se aos elementos do framework de IA segura (SAIF), que oferece uma abordagem prática para lidar com as preocupações de segurança e risco dos sistemas de IA.
  • Acompanhe a precisão e a eficácia dos sistemas de detecção de fraudes com tecnologia de IA, a redução de falsos positivos em alertas de segurança e os ganhos de eficiência da automação de segurança baseada em IA.

Atender às necessidades regulatórias, de compliance e de privacidade

Os serviços financeiros estão sujeitos a uma ampla variedade de regulamentações, incluindo requisitos de residência de dados, trilhas de auditoria específicas e padrões de proteção de dados. Para garantir que os dados sensíveis sejam identificados, protegidos e gerenciados corretamente, as organizações de serviços financeiros precisam de políticas de governança de dados e esquemas de classificação de dados robustos. Considere as seguintes recomendações para atender aos requisitos regulamentares:

  • Configure limites de dados no Google Cloud para cargas de trabalho sensíveis e regulamentadas usando o Assured Workloads. Isso ajuda você a atender aos requisitos de compliance governamentais e específicos do setor, como FedRAMP e CJIS.
  • Identifique, classifique e proteja dados sensíveis, incluindo informações financeiras, implementando a Cloud Data Loss Prevention (Cloud DLP Cloud. Isso ajuda você a obedecer a regulamentações de privacidade de dados, como o GDPR e a CCPA.
  • Acompanhe os detalhes das atividades administrativas e o acesso aos recursos usando os Registros de auditoria do Cloud. Esses registros são cruciais para atender aos requisitos de auditoria estipulados por muitas regulamentações financeiras.
  • Ao escolher Google Cloud regiões para suas cargas de trabalho e dados, considere os regulamentos locais relacionados à residência de dados.A infraestrutura global do Google Cloud permite escolher regiões que podem ajudar você a atender aos requisitos de residência de dados.
  • Gerencie as chaves usadas para criptografar dados financeiros sensíveis em repouso e em trânsito usando o Cloud Key Management Service. Essa criptografia é um requisito fundamental de muitos regulamentos de segurança e privacidade.
  • Implemente os controles necessários para atender aos requisitos regulatórios. Valide se os controles funcionam conforme o esperado. Valide novamente os controles por um auditor externo para provar ao regulador que suas cargas de trabalho estão em conformidade com as regulamentações.

Priorizar iniciativas de segurança

Devido à amplitude dos requisitos de segurança, as instituições financeiras precisam priorizar iniciativas baseadas em avaliação de risco e mandatos regulatórios. Recomendamos a seguinte abordagem por fases:

  1. Estabeleça uma base de segurança sólida: concentre-se nas principais áreas de segurança, incluindo gerenciamento de identidade e acesso, segurança de rede e proteção de dados. Esse foco ajuda a criar uma postura de segurança robusta e garante uma defesa abrangente contra ameaças em evolução.
  2. Atenda a regulamentações críticas: priorize a conformidade com regulamentações importantes, como PCI DSS, GDPR e leis nacionais relevantes. Isso ajuda a garantir a proteção de dados, reduzir os riscos legais e criar confiança com os clientes.
  3. Implemente a segurança avançada: adote gradualmente práticas de segurança avançadas, como zero trust, soluções de segurança com tecnologia de IA e busca proativa de ameaças.