Perspectiva de serviços financeiros: segurança, privacidade e compliance

Last reviewed 2025-07-28 UTC

Este documento no Google Cloud Well-Architected Framework: perspectiva de serviços financeiros (FS, na sigla em inglês) oferece uma visão geral dos princípios e recomendações para atender aos requisitos de segurança, privacidade e compliance das cargas de trabalho de serviços financeiros (FS) no Google Cloud. As recomendações ajudam a criar uma infraestrutura resiliente e em conformidade, proteger dados sensíveis, manter a confiança do cliente, navegar pelo cenário complexo de requisitos regulatórios e gerenciar ameaças cibernéticas com eficácia. As recomendações neste documento estão alinhadas ao pilar de segurança do Well-Architected Framework.

A segurança na computação em nuvem é uma preocupação fundamental para as organizações de FS, que são muito atraentes para os criminosos cibernéticos devido às grandes quantidades de dados sensíveis que elas gerenciam, incluindo detalhes de clientes e registros financeiros. As consequências de uma violação de segurança são excepcionalmente graves, incluindo perdas financeiras significativas, danos à reputação de longo prazo e multas regulatórias significativas. Portanto, as cargas de trabalho de FS precisam de controles de segurança rigorosos.

Para garantir segurança e compliance abrangentes, é necessário entender as responsabilidades compartilhadas entre você (organizações de FS) e Google Cloud. Google Cloud é responsável por proteger a infraestrutura subjacente, incluindo segurança física e de rede. Você é responsável por proteger dados e aplicativos, configurar o controle de acesso e configurar e gerenciar serviços de segurança. Para ajudar nos seus esforços de segurança, o Google Cloud ecossistema de parceiros oferece integração de segurança e serviços gerenciados.

As recomendações de segurança neste documento são mapeadas para os seguintes princípios básicos:

Implementar a segurança incorporada ao design

Regulamentações financeiras, como o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS), a Lei Gramm-Leach-Bliley (GLBA) nos Estados Unidos e várias leis nacionais de proteção de dados financeiros, exigem que a segurança seja integrada aos sistemas desde o início. O princípio de segurança incorporada ao design enfatiza a integração da segurança em todo o ciclo de vida de desenvolvimento para ajudar a garantir que as vulnerabilidades sejam minimizadas desde o início.

Para aplicar o princípio de segurança incorporada ao design nas cargas de trabalho de FS no Google Cloud, considere as seguintes recomendações:

  • Garanta que apenas as permissões necessárias sejam concedidas aplicando o princípio de privilégio mínimo por meio do controle de acesso granular baseado em papéis (RBAC) no Identity and Access Management (IAM). O uso do RBAC é um requisito fundamental em muitas regulamentações financeiras.
  • Aplique perímetros de segurança aos seus serviços e dados sensíveis no Google Cloud usando o VPC Service Controls. Os perímetros de segurança ajudam a segmentar e proteger dados e recursos sensíveis e a evitar a exfiltração de dados e o acesso não autorizado, conforme exigido pelas regulamentações.
  • Defina configurações de segurança como código usando ferramentas de infraestrutura como código (IaC, na sigla em inglês), como o Terraform. Essa abordagem incorpora controles de segurança desde a fase inicial de implantação, o que ajuda a garantir consistência e capacidade de auditoria.
  • Verifique o código do aplicativo integrando o teste de segurança de aplicativos estáticos (SAST, na sigla em inglês) ao pipeline de CI/CD com o Cloud Build. Estabeleça portões de segurança automatizados para evitar a implantação de código não compatível.
  • Forneça uma interface unificada para insights de segurança usando o Security Command Center. O uso do Security Command Center permite o monitoramento contínuo e a detecção precoce de configurações incorretas ou ameaças que podem levar a violações regulatórias. Para atender aos requisitos de padrões como ISO 27001 e NIST 800-53, use modelos de gerenciamento de postura.
  • Acompanhe a redução de vulnerabilidades identificadas em implantações de produção e a porcentagem de implantações de IaC que aderem às práticas recomendadas de segurança. É possível detectar e visualizar vulnerabilidades e informações sobre a conformidade com os padrões de segurança usando o Security Command Center. Para mais informações, consulte Descobertas de vulnerabilidades.

Implementar a confiança zero

As regulamentações financeiras modernas enfatizam cada vez mais a necessidade de controles de acesso rigorosos e verificação contínua. Esses requisitos refletem o princípio de confiança zero, que visa proteger cargas de trabalho contra ameaças internas e externas e agentes mal-intencionados. O princípio de confiança zero defende a verificação contínua de cada usuário e dispositivo, o que elimina a confiança implícita e atenua o movimento lateral.

Para implementar o zero trust, considere as seguintes recomendações:

  • Ative o acesso baseado no contexto de acordo com a identidade do usuário, a segurança do dispositivo, a localização e outros fatores combinando controles de IAM com o Chrome Enterprise Premium. Essa abordagem garante a verificação contínua antes que o acesso a dados e sistemas financeiros seja concedido.
  • Forneça gerenciamento de identidade e acesso seguro e escalonável configurando o Identity Platform (ou seu provedor de identidade externo, se você usar a federação de identidade de colaboradores). Configure a autenticação multifator (MFA) e outros controles essenciais para implementar a confiança zero e garantir a conformidade regulatória.
  • Implemente a MFA para todas as contas de usuário, especialmente para contas com acesso a dados ou sistemas sensíveis.
  • Ofereça suporte a auditorias e investigações relacionadas à conformidade regulatória estabelecendo registros e monitoramento abrangentes do acesso do usuário e da atividade de rede.
  • Ative a comunicação particular e segura entre serviços em ambientes locais e no Google Cloud sem expor o tráfego à Internet pública usando o Private Service Connect.
  • Implemente controles de identidade granulares e autorize o acesso no nível do aplicativo usando o Identity-Aware Proxy (IAP) em vez de depender de mecanismos de segurança baseados em rede, como túneis VPN. Essa abordagem ajuda a reduzir o movimento lateral no ambiente.

Implementar a segurança com o modelo shift left

Os reguladores financeiros incentivam medidas de segurança proativas. Identificar e resolver vulnerabilidades no início do ciclo de vida de desenvolvimento ajuda a reduzir o risco de incidentes de segurança e a possibilidade de penalidades de não conformidade. O princípio de segurança com o modelo shift left promove testes e integração de segurança antecipados, o que ajuda a reduzir o custo e a complexidade da correção.

Para implementar a segurança com o modelo shift left, considere as seguintes recomendações:

  • Garanta verificações de segurança automatizadas no início do processo de desenvolvimento integrando ferramentas de verificação de segurança, como a verificação de vulnerabilidades de contêineres e a análise de código estático, ao pipeline de CI/CD comCloud Build.

  • Garanta que apenas artefatos seguros sejam implantados usando o Artifact Registry para fornecer um repositório seguro e centralizado para pacotes de software e imagens de contêiner com verificação de vulnerabilidades integrada. Use repositórios virtuais para atenuar ataques de confusão de dependências priorizando seus artefatos particulares em relação a repositórios remotos.

  • Verifique automaticamente os aplicativos da Web em busca de vulnerabilidades comuns integrando o Web Security Scanner, que faz parte do Security Command Center, aos seus pipelines de desenvolvimento.

  • Implemente verificações de segurança para o código-fonte, o processo de build e a procedência do código usando o framework de níveis de cadeia de suprimentos para artefatos de software (SLSA, na sigla em inglês). Aplique a procedência das cargas de trabalho executadas nos seus ambientes usando soluções como a autorização binária. Garanta que suas cargas de trabalho usem apenas bibliotecas de software de código aberto verificadas usando o Assured Open Source.

  • Acompanhe o número de vulnerabilidades identificadas e corrigidas no ciclo de vida de desenvolvimento, a porcentagem de implantações de código que passam nas verificações de segurança e a redução de incidentes de segurança causados por vulnerabilidades de software. Google Cloud fornece ferramentas para ajudar nesse acompanhamento de diferentes tipos de cargas de trabalho. Por exemplo, para cargas de trabalho em contêineres, use o recurso de verificação de contêineres do Artifact Registry.

Implementar a defesa cibernética preventiva

As instituições financeiras são os principais alvos de ataques cibernéticos sofisticados. As regulamentações geralmente exigem inteligência contra ameaças robusta e mecanismos de defesa proativos. A defesa cibernética preventiva se concentra na detecção e resposta proativas a ameaças usando análises avançadas e automação.

Considere as seguintes recomendações:

  • Identifique e atenue proativamente possíveis ameaças usando os serviços de inteligência contra ameaças, resposta a incidentes, e validação de segurança da Mandiant.
  • Proteja aplicativos da Web e APIs contra exploits da Web e ataques DDoS na borda da rede usando o Google Cloud Armor.
  • Agregue e priorize descobertas e recomendações de segurança usando o Security Command Center, que permite que as equipes de segurança abordem proativamente possíveis riscos.
  • Valide defesas preventivas e planos de resposta a incidentes realizando simulações de segurança e testes de penetração regulares.
  • Meça o tempo para detectar e responder a incidentes de segurança, a eficácia dos esforços de mitigação de DDoS e o número de ataques cibernéticos evitados. É possível acessar as métricas e os dados necessários nos painéis do SOAR e do SIEM do Google Security Operations.

Usar a IA de forma segura e responsável e usar a IA para segurança

A IA e o ML são cada vez mais usados para casos de uso de serviços financeiros, como detecção de fraudes e negociação algorítmica. As regulamentações exigem que essas tecnologias sejam usadas de forma ética, transparente e segura. A IA também pode ajudar a melhorar seus recursos de segurança. Considere as seguintes recomendações para usar a IA:

  • Desenvolva e implante modelos de ML em um ambiente seguro e controlado usando a Vertex AI . Recursos como a explicabilidade do modelo e as métricas de equidade podem ajudar a resolver problemas de IA responsável.
  • Aproveite os recursos de operações e análise de segurança do Google Security Operations, que usa IA e ML para analisar grandes volumes de dados de segurança, detectar anomalias e automatizar a resposta a ameaças. Esses recursos ajudam a melhorar sua postura geral de segurança e auxiliam no monitoramento de compliance.
  • Estabeleça políticas de governança claras para o desenvolvimento e a implantação de IA e ML, incluindo considerações relacionadas à segurança e à ética.
  • Alinhe-se aos elementos do Framework de IA Segura (SAIF), que oferece uma abordagem prática para resolver problemas de segurança e risco de sistemas de IA.
  • Acompanhe a precisão e a eficácia dos sistemas de detecção de fraudes com tecnologia de IA, a redução de falsos positivos em alertas de segurança e os ganhos de eficiência da automação de segurança orientada por IA.

Atender às necessidades regulatórias, de compliance e de privacidade

Os serviços financeiros estão sujeitos a uma grande variedade de regulamentações, incluindo requisitos de residência de dados, trilhas de auditoria específicas e padrões de proteção de dados. Para garantir que os dados sensíveis sejam identificados, protegidos e gerenciados corretamente, as organizações de FS precisam de políticas de governança de dados robustas e esquemas de classificação de dados. Considere as seguintes recomendações para ajudar a atender aos requisitos regulatórios:

  • Configure limites de dados em Google Cloud para cargas de trabalho sensíveis e regulamentadas usando o Assured Workloads. Isso ajuda você a atender aos requisitos de compliance governamentais e específicos do setor, como FedRAMP e CJIS.
  • Identifique, classifique e proteja dados sensíveis, incluindo informações financeiras , implementando o Cloud Data Loss Prevention (Cloud DLP). Isso ajuda você a atender às regulamentações de privacidade de dados, como GDPR e CCPA.
  • Acompanhe detalhes de atividades administrativas e acesso a recursos usando os registros de auditoria do Cloud. Esses registros são essenciais para atender aos requisitos de auditoria estipulados por muitas regulamentações financeiras.
  • Ao escolher Google Cloud regiões para suas cargas de trabalho e dados, considere as regulamentações locais relacionadas à residência de dados. Google Cloud A infraestrutura global permite escolher regiões que podem ajudar a atender aos requisitos de residência de dados.
  • Gerencie as chaves usadas para criptografar dados financeiros sensíveis em repouso e em trânsito usando o Cloud Key Management Service. Essa criptografia é um requisito fundamental de muitas regulamentações de segurança e privacidade.
  • Implemente os controles necessários para atender aos requisitos regulatórios. Valide se os controles funcionam conforme o esperado. Peça que os controles sejam validados novamente por um auditor externo para comprovar ao regulador que suas cargas de trabalho estão em conformidade com as regulamentações.

Priorizar iniciativas de segurança

Considerando a amplitude dos requisitos de segurança, as instituições financeiras precisam priorizar iniciativas baseadas na avaliação de riscos e nos mandatos regulatórios. Recomendamos a seguinte abordagem por fases:

  1. Estabeleça uma base de segurança forte: concentre-se nas principais áreas de segurança, incluindo gerenciamento de identidade e acesso, segurança de rede e proteção de dados. Esse foco ajuda a criar uma postura de segurança robusta e garante uma defesa abrangente contra ameaças em evolução.
  2. Atenda às regulamentações críticas: priorize a conformidade com as principais regulamentações, como PCI DSS, GDPR e leis nacionais relevantes. Isso ajuda a garantir a proteção de dados, mitiga riscos legais e cria confiança com os clientes.
  3. Implemente segurança avançada: adote gradualmente práticas de segurança avançadas, como confiança zero, soluções de segurança orientadas por IA e busca proativa de ameaças.
Anterior
Excelência operacional
Avançar
Confiabilidade