CVM
Portarias
•
02/06/2025
Portaria CVM/PTE Nº 71/2025
Sumário Regulatório
Estabelece a Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Comissão de Valores Mobiliários.
Conteúdo do Documento
COMISSÃO DE VALORES MOBILIÁRIOSRua Sete de Setembro, 111/2-5º e 23-34º Andares, Centro, Rio de Janeiro/RJ – CEP: 20050-901 – Brasil - Tel.: (21) 3554-8686Rua Cincinato Braga, 340/2º, 3º e 4º Andares, Bela Vista, São Paulo/ SP – CEP: 01333-010 – Brasil - Tel.: (11) 2146-2000SCN Q.02 – Bl. A – Ed. Corporate Financial Center, S.404/4º Andar, Brasília/DF – CEP: 70712-900 – Brasil -Tel.: (61) 3327-2030...
COMISSÃO DE VALORES MOBILIÁRIOSRua Sete de Setembro, 111/2-5º e 23-34º Andares, Centro, Rio de Janeiro/RJ – CEP: 20050-901 – Brasil - Tel.: (21) 3554-8686Rua Cincinato Braga, 340/2º, 3º e 4º Andares, Bela Vista, São Paulo/ SP – CEP: 01333-010 – Brasil - Tel.: (11) 2146-2000SCN Q.02 – Bl. A – Ed. Corporate Financial Center, S.404/4º Andar, Brasília/DF – CEP: 70712-900 – Brasil -Tel.: (61) 3327-2030/2031www.cvm.gov.br
PORTARIA CVM/PTE Nº 71, 02 DE JUNHO DE 2025
Estabelece a Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Comissão de
Valores Mobiliários.
O PRESIDENTE DA COMISSÃO DE VALORES MOBILIÁRIOS – CVM, no uso
das atribuições que lhe são conferidas pelo Regimento Interno aprovado pela Resolução CVM nº 24, de 5
de março de 2021, e tendo em vista o disposto na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023,
resolve:
Art. 1º Fica aprovada, na forma do Anexo desta Portaria, a Estratégia de Uso de Software e
de Serviços de Computação em Nuvem da CVM, em conformidade com a Portaria SGD/MGI nº 5.950, de
26 de outubro de 2023.
Art. 2º A Superintendência de Tecnologia da Informação da CVM deverá adotar,
monitorar e garantir a aplicação das diretrizes estabelecidas na Estratégia de Uso de Software e de Serviços
de Computação em Nuvem, visando garantir a conformidade na utilização dos recursos e nas contratações
de software e dos serviços de nuvem de acordo com as necessidades de negócio da CVM.
Art. 3º Esta Portaria deverá ser revisada periodicamente, em prazo não superior a três anos
desde a sua publicação.
Art. 4º Esta Portaria entra em vigor na data de sua publicação.
JOÃO PEDRO BARROSO DO NASCIMENTO
Presidente
Documento assinado eletronicamente por João Pedro Barroso do Nascimento, Presidente, em
02/06/2025, às 11:50, com fundamento no art. 6º do Decreto nº 8.539, de 8 de outubro de 2015.
A autenticidade do documento pode ser conferida no site https://sei.cvm.gov.br/conferir_autenticidade,
informando o código verificador 2343609 e o código CRC D1E272C2.
This document's authenticity can be verified by accessing https://sei.cvm.gov.br/conferir_autenticidade, and
typing the "Código Verificador" 2343609 and the "Código CRC" D1E272C2.
1
ANEXO
ESTRATÉGIA DE USO DE SOFTWARE E DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM
1. DIRETRIZES GERAIS
A presente estratégia estabelece os fundamentos que orientam a contratação e o uso de
serviços de computação em nuvem no âmbito da Comissão de Valores Mobiliários – CVM.
Considerando o papel essencial da tecnologia na modernização institucional, o documento
alinha-se às normas vigentes, como a Instrução Normativa SGD/ME nº 94/2022, a Lei nº
14.133/2021 e a Portaria SGD/MGI nº 5.950/2023, com o objetivo de garantir segurança,
eficiência e transparência na adoção de soluções inovadoras.
Desde 2013, a CVM mantém contratos de nuvem privada baseados em consumo,
viabilizando o atendimento às demandas institucionais. Contudo, o crescimento
exponencial de dados, aliado à sofisticação das ferramentas de análise e inteligência,
evidencia a necessidade de adoção de alternativas mais escaláveis e sustentáveis.
Nesse contexto, os modelos de nuvem pública – Infraestrutura como Serviço (IaaS),
Plataforma como Serviço (PaaS) e Software como Serviço (SaaS) – despontam como opções
viáveis. Eles oferecem ganhos em escalabilidade, agilidade, eficiência operacional e
qualidade nos serviços prestados, reforçando o compromisso institucional com a inovação,
a governança e a responsabilidade no uso dos recursos públicos.
Portanto, esta estratégia reafirma o compromisso da CVM com o uso responsável e
estratégico de tecnologias de computação em nuvem. Também contempla aspectos como
governança, competências institucionais, requisitos de segurança, e diretrizes para o uso
de dados sensíveis e critérios para a seleção de tecnologias e fornecedores.
2. OBJETIVOS E COMPETÊNCIAS
No âmbito da utilização de softwares e de tecnologia de computação em nuvem da CVM, a
estratégia tem como objetivos:
Melhorar o desempenho e a disponibilidade dos serviços institucionais, com maior
resiliência a recuperação de incidentes e desastres;
Ampliar o controle sobre os custos de armazenamento e processamento de dados;
Reduzir os esforços com aquisição, implantação e manutenção de infraestrutura
física;
Diminuir o tempo entre o lançamento de novas tecnologias no mercado e sua
adoção pela CVM, promovendo produtividade interna e qualidade nos serviços
prestados à sociedade;
Proporcionar maior flexibilidade e escalabilidade na entrega de serviços;
2
Facilitar o desenvolvimento e a sustentação de sistemas de apoio aos processos
internos da Autarquia.
Quanto às competências relacionadas à implementação da estratégia, aplicam-se as
seguintes atribuições:
Comitê de Governança Digital e Segurança da Informação (CGD): responsável por
aprovar esta estratégia e estabelecer projetos prioritários no âmbito do Plano Diretor
de TI (PDTI), conforme competências da Portaria CVM/PTE nº 12/2025;
Superintendência de Tecnologia da Informação (STI): encarregada de aplicar os
princípios de governança definidos pelo CGD, assegurando a eficiência no uso de
tecnologias e a racionalidade nos gastos com serviços de nuvem e softwares;
Demais Superintendências da CVM: devem apoiar tecnicamente os processos de
contratação, estimar a demanda por recursos de nuvem e propor soluções aderentes às
suas respectivas áreas de atuação; e
Superintendência de Gestão de Pessoas: responsável por promover capacitação e
aperfeiçoamento contínuo para o uso e a gestão segura de soluções em nuvem, com
base nas diretrizes da STI.
3. IDENTIFICAÇÃO DAS NECESSIDADES DO NEGÓCIO
A CVM tem uma gama de necessidades de negócio que podem ser significativamente
alavancadas com a contratação de softwares e serviços de computação em nuvem:
Análise e ciência de dados: ferramentas de processamento de grandes volumes de
dados, fluxos de dados para processamento em lote e em tempo real, engenharia e
ciência de dados, entrega de soluções orientadas a dados;
Gestão e governança de dados: descoberta, catalogação, controle de acesso e aplicação
de políticas de qualidade, segurança e conformidade;
Desenvolvimento de aplicações e gestão de ambientes: construção de soluções de
software mais ágeis e escaláveis por meio de novas tecnologias e paradigmas como
DevOps, programação low-code, uso de containers e Kubernetes, computação serverless
e arquitetura de microsserviços;
Inteligência artificial e aprendizado de máquina: uso de APIs, IA generativa e
plataformas de machine learning para enriquecer conteúdos em texto, voz, vídeo e
imagem, ampliando a capacidade da CVM de gerar insights a partir dos seus dados;
Segurança da informação e gestão de ativos: soluções para análise e resposta a
incidentes, visibilidade de ativos, mitigação de riscos em ambientes multinuvem e on-
premise, e auditoria com ciclos mais adequados às necessidades institucionais;
Contingência e recuperação de desastres: replicação e/ou backup de dados e aplicações
para manter a continuidade da prestação de serviços; e
Produtividade e colaboração: uso de SaaS para produção de documentos, dashboards,
3
comunicação institucional e compartilhamento de informações.
As definições da presente estratégia aplicam-se integralmente ao licenciamento de
soluções que utilizem, total ou parcialmente, o modelo SaaS, estendendo-se às definições
pertinentes aos modelos IaaS e PaaS em nuvem pública.
Cabe às áreas solicitantes, com apoio da STI, avaliar previamente a viabilidade técnica e
estratégica de cada demanda, identificando os sistemas, aplicações e dados a serem
migrados para a nuvem, os requisitos de acesso e os recursos computacionais necessários.
A STI deverá considerar, preferencialmente, o desenvolvimento nativo em ambiente de
nuvem, salvo justificativa técnica em contrário.
4. DEFINIÇÃO DE MODELOS
A experiência da CVM com computação em nuvem remonta a 2014, com a adoção do
modelo de nuvem privada na modalidade IaaS. Essa escolha representou um marco no
amadurecimento da gestão tecnológica da Autarquia, permitindo ganhos relevantes em
agilidade, eficiência e redução de custos operacionais.
No entanto, à medida que as demandas institucionais se tornam mais dinâmicas e
complexas, cresce a necessidade de incorporar modelos mais avançados, como PaaS
(Plataforma como Serviço) e SaaS (Software como Serviço), notadamente em nuvem
pública. Esses modelos distribuem de forma mais eficiente as responsabilidades
operacionais entre a instituição e o provedor de serviços, permitindo maior foco da equipe
interna em atividades de valor estratégico.
Visualmente, os modelos
IaaS, PaaS e SaaS podem
ser comparados por meio
de camadas de
responsabilidade técnica.
De modo geral, quanto
maior o nível de serviço
contratado, menor o
esforço de sustentação
exigido da equipe interna
da CVM, com consequente
aumento da agilidade na
entrega e do valor
agregado percebido. Essa simplificação, contudo, deve ser balanceada com os riscos de
dependência tecnológica, especialmente no caso dos modelos mais gerenciados (PaaS e
SaaS), que tendem a aumentar o grau de lock-in com fornecedores específicos.
4
Além da divisão de responsabilidades, outros aspectos importantes devem ser considera-
dos na escolha do modelo. O gráfico a seguir sintetiza como fatores como especificidade,
velocidade de implantação, valor agregado e risco de dependência variam à medida que
se avança na “pilha” tecnológica (de IaaS para PaaS e SaaS):
A leitura desse gráfico permite observar que, embora serviços no topo da pilha (PaaS e
SaaS) apresentem maior valor agregado e rapidez de implementação, eles também
implicam em maior dependência de fornecedor. Por outro lado, quanto mais baixo o nível
(como IaaS), maior a compatibilidade entre plataformas e o controle gerencial, porém com
maior esforço de sustentação por parte da equipe da Autarquia.
O Office 365 é um exemplo prático de sucesso nessa abordagem. Ao adotar esse serviço na
modalidade SaaS, a CVM obteve melhorias substanciais em produtividade, segurança da
informação — graças às atualizações frequentes — e redução significativa do esforço
administrativo para manutenção das ferramentas.
Ainda que modelos avançados tragam benefícios claros, sua adoção exige cautela. Esta
Estratégia não endossa a simples migração de aplicações legadas para nuvem pública no
modelo lift-and-shift, pois essa abordagem frequentemente ignora oportunidades de
modernização e pode gerar custos desnecessários. Sempre que possível, esse tipo de
migração deve ser direcionado à nuvem privada já contratada. O uso da nuvem pública
requer avaliação técnica detalhada, definição de arquitetura e análise de custos,
especialmente quando o objetivo for replicar estruturas IaaS já disponíveis na nuvem
privada.
Adicionalmente, deve-se considerar que o modelo on-premises não é mais viável para os
serviços da CVM, dado o elevado custo de infraestrutura própria, a inexistência de
datacenters institucionais e as restrições impostas por normativos, como a Instrução
Normativa SGD/ME nº 94, de 23 de dezembro de 2022, que desincentivam a construção de
ambientes dedicados pela Administração Pública.
Diante desse cenário, a estratégia da CVM prevê a adoção de um modelo híbrido,
combinando:
Nuvem privada nacional para serviços IaaS de sustentação já consolidados; e
Nuvem pública, contratada por intermédio de integradores multinuvem, com
serviços nos modelos IaaS, PaaS e SaaS, conforme disponibilidade orçamentária e
aderência técnica.
O uso da modalidade SaaS está autorizado para ferramentas que promovam produtividade
5
ou sustentem processos de negócio, desde que devidamente mapeadas e justificadas em
seus processos de contratação.
5. AVALIAÇÃO DOS POSSÍVEIS FORNECEDORES
A CVM atualmente utiliza serviços de nuvem privada na modalidade IaaS para sustentar sua
infraestrutura tecnológica. Embora eficaz até o momento, a Superintendência de
Tecnologia da Informação (STI) entende que a expansão para modelos de nuvem pública,
especialmente nas modalidades PaaS e SaaS, é essencial para atender a demandas mais
complexas, como Business Intelligence (BI), inteligência artificial (IA) e aprendizado de
máquina.
Como esse ambiente ainda é recente na estrutura da CVM, recomenda-se, inicialmente, a
priorização de provedores reconhecidos. O relatório "Magic Quadrant for Strategic Cloud
Platform Services" (Gartner, outubro de 2024) aponta como líderes de mercado Amazon
Web Services (AWS), Microsoft Azure, Google Cloud e Oracle Cloud Infrastructure (OCI).
Dentre os fornecedores identificados como
líderes, a Oracle Cloud Infrastructure (OCI)
apresenta diferenciais relevantes, como sua
integração nativa com o banco de dados
Oracle e outros serviços especializados.
Embora tais recursos não estejam atualmente
em uso no ambiente da CVM, sua oferta pode
representar valor estratégico para
determinados cenários futuros, a depender
da evolução das soluções utilizadas pela
Autarquia.
Já a Microsoft Azure apresenta sinergia
consolidada com o ambiente tecnológico
atual da CVM, que inclui o uso do banco de
dados SQL Server e ferramentas do pacote
Office 365, possibilitando ganhos
operacionais e de gestão. Além disso, as
plataformas AWS e Google Cloud também oferecem maturidade, estabilidade e
compatibilidade com as tecnologias utilizadas internamente, figurando como opções
plenamente viáveis sob a perspectiva técnica.
Dessa forma, a estratégia propõe que, no mínimo, dois desses provedores líderes estejam
disponíveis por meio de um integrador multinuvem. Essa abordagem não exclui a
participação de outros provedores, desde que contem com ao menos uma região
operacional no Brasil, com duas ou mais zonas de disponibilidade, garantindo desempenho,
6
resiliência e controle sobre os dados.
A contratação preferencial deve ocorrer por meio de processos licitatórios amplos e
transparentes, abertos a integradores habilitados a ofertar um ou mais desses serviços. Em
situações justificadas técnica e economicamente, admite-se o uso de outras modalidades
de contratação, como dispensa, conforme o Acórdão 2233/2020 do TCU/Plenário. A
indicação de fabricante de software, marca ou provedor é justificável somente:
Em decorrência da necessidade de padronização do objeto;
Em decorrência da necessidade de manter a compatibilidade com plataformas e
padrões já adotados pela Administração; ou
Quando determinado provedor for o único capaz de atender às necessidades do
contratante.
6. APRISIONAMENTO TECNOLÓGICO E RISCOS DE DEPENDÊNCIA DE FORNECEDOR
A adoção de serviços em nuvem pública pode acarretar riscos de aprisionamento
tecnológico (lock-in), dificultando a migração entre provedores e aumentando a
dependência de soluções específicas. Para mitigar esse risco, a CVM deve adotar uma
abordagem baseada em estudos e melhores práticas internacionais, como as previstas em
relatórios do Gartner e artigos especializados sobre interoperabilidade e portabilidade em
ambientes de nuvem.
Entre as estratégias recomendadas, destacam-se:
Adoção de ambiente multinuvem híbrido, combinando nuvens públicas de
diferentes fornecedores com a nuvem privada já contratada, possibilitando
comparação técnica e financeira entre soluções;
Utilização de arquiteturas baseadas em tecnologias portáveis entre diferentes
provedores, sempre que possível, sem desprezar os ganhos oferecidos por soluções
PaaS e SaaS;
Desenvolvimento de aplicações com foco na portabilidade de dados e flexibilidade
de infraestrutura, facilitando eventual transição de ambiente sem comprometer a
continuidade dos serviços.
Nesse sentido, a CVM estabelece como diretriz a previsão, nos contratos, da capacidade de
operar em ambiente multinuvem híbrido, com ao menos dois provedores de nuvem pública
e um de nuvem privada. Também é recomendável que as soluções adotadas sejam
tecnicamente compatíveis com múltiplos ambientes e que sua arquitetura permita eventual
migração, sem comprometer integridade, desempenho ou segurança.
Adicionalmente, a análise de riscos de lock-in deve ser incorporada à fase de definição da
arquitetura de cada workload, sendo obrigatória a documentação das justificativas técnicas
que sustentem a adoção de tecnologias com maior grau de dependência. A CVM reconhece
que níveis aceitáveis de dependência podem ser tolerados, desde que compensados por
benefícios operacionais e devidamente avaliados no processo decisório.
7
7. REQUISITOS DE SEGURANÇA DA INFORMAÇÃO
A contratação de serviços de nuvem pela CVM deverá atender integralmente à Instrução
Normativa nº 5/2021 – DSIC/GSI, que dispõe sobre os requisitos de segurança da
informação para a Administração Pública Federal.
Em particular, os contratos devem prever:
Inclusão dos dispositivos de segurança descritos no Art. 19 da IN nº 5/2021;
Apresentação obrigatória dos relatórios de auditoria SOC 2 (tipos I e II) antes do
início da prestação dos serviços, conforme Art. 25; e
Conformidade com normas internacionais de segurança, como ISO/IEC 27001,
AICPA (SOC 2), NIST (FIPS), entre outras.
Deverá ser assegurada também a residência de dados em território nacional nos casos de
informações com restrição de acesso legal. Dados não restritos podem ser armazenados no
exterior, desde que uma cópia de segurança seja mantida em datacenter localizado no
Brasil.
A Portaria SGD/MGI nº 5.950/2023 reforça essas exigências e condiciona o armazenamento
de dados restritos à autorização do Comitê de Governança Digital, com preferência pela
utilização de nuvem de governo.
Além disso, é vedado o tratamento em nuvem de informações classificadas em grau de
sigilo (reservadas, secretas e ultrassecretas), conforme o Decreto nº 7.724/2012.
Dessa forma, esta estratégia orienta que:
Informações sem restrição de acesso podem ser tratadas em nuvem, respeitada a
legislação e os riscos de segurança;
Informações classificadas em grau de sigilo e documentos preparatórios não devem
ser tratados em nuvem;
Mediante autorização do CGD, podem ser tratados em nuvem pública, com
mitigação de riscos e observância legal:
a) Informações com restrição de acesso legal (sigilos fiscal, bancário,
empresarial, etc.);
b) Conteúdos regulados como de acesso restrito pela própria CVM; e
c) Dados pessoais sensíveis ou protegidos.
Para esses casos, deverão ser adotadas medidas adicionais de governança que assegurem
a aderência às melhores práticas de segurança da informação.
8. PROCESSOS DE GOVERNANÇA NA UTILIZAÇÃO DE SERVIÇOS DE NUVEM E
SOFTWARES
8
Nos projetos que envolvam o uso de nuvem pública, especialmente quando houver
tratamento de dados sensíveis, é indispensável a formalização de um plano de implantação,
aprovado pelas áreas demandantes ou pelo Comitê de Governança Digital (CGD).
Esse plano deve conter:
Justificativa e objetivos do uso de nuvem;
Necessidades de negócio atendidas;
Recursos e serviços a serem provisionados;
Fontes e classificação dos dados tratados;
Estimativa de custos, incluindo substituições ou desativações;
Riscos, contramedidas e impactos institucionais; e
Conformidade com o PDTI e com a política de segurança da informação.
Além disso, destaca-se a importância do controle de custos em ambientes de nuvem. A STI
e a equipe de fiscalização contratual devem ter mecanismos para monitorar e intervir na
execução orçamentária dos contratos, ajustando provisões em caso de variações de
demanda. Práticas como o estabelecimento de cotas e limites de consumo por projeto ou
serviço, implementação de alertas e mecanismos automatizados de monitoramento de
consumo em tempo real e avaliação contínua do custo-benefício de workloads em nuvem
são exemplos de atividades importantes nesse cenário.
Essa atuação contínua — conhecida como FinOps — é fundamental para manter o
equilíbrio entre custo, desempenho e valor gerado, e deverá ser fortalecida por meio da
capacitação dos responsáveis por tais contratos.
9. ESTABELECIMENTO DOS PRINCÍPIOS NORTEADORES DA ESTRATÉGIA
A estratégia da CVM fundamenta-se em princípios que garantem coerência, eficiência e
segurança no uso da nuvem. O princípio do "cloud first" estabelece que a adoção da nuvem
deve ser sempre considerada como primeira alternativa, desde que atenda aos requisitos
técnicos, legais e econômicos. Complementarmente, a modernização das soluções legadas
deve preceder qualquer abordagem de migração direta (lift-and-shift), que só deve ser
adotada em caráter excepcional.
A interoperabilidade é garantida pela escolha de integradores multinuvem, permitindo à
CVM utilizar serviços de diferentes provedores, reduzindo o risco de dependência e
otimizando recursos. A segurança da informação e a conformidade normativa também são
pilares estruturantes da estratégia, exigindo atenção contínua a requisitos legais e
regulatórios.
Para garantir a efetividade, previsibilidade e a transparência no uso dos serviços de nuvem,
deverão ser definidos e monitorados indicadores-chave de desempenho (KPIs) e metas
associadas a cada iniciativa ou “workload” implantado. Esses indicadores permitirão avaliar
9
o retorno sobre o investimento (ROI), a economia gerada, a eficiência técnica, a aderência
aos SLAs contratados e o impacto nos serviços institucionais. Como referência mínima
devem ser acompanhados os seguintes aspectos:
Redução percentual de custo operacional em relação ao ambiente anterior (on-
premises ou nuvem privada);
Custo mensal por workload ou serviço em nuvem;
Grau de previsibilidade orçamentária (diferença entre o custo estimado e o custo
real mensal); e
Custo evitado com aquisição de infraestrutura física ou licenciamento de
software.
Por fim, os princípios de governança contínua, sustentabilidade e gestão de riscos
asseguram que a tomada de decisão esteja sempre alinhada às metas institucionais,
promovendo o uso responsável, ético e transparente da tecnologia.
10. RECURSOS INSTITUCIONAIS RELEVANTES PARA A OPERAÇÃO DE SOFTWARES E
SERVIÇOS DE COMPUTAÇÃO EM NUVEM
A consolidação da nuvem como plataforma estratégica demanda uma evolução nas
capacidades institucionais da CVM. A STI deverá ser fortalecida com profissionais
capacitados em gestão contratual, arquitetura de soluções e segurança da informação.
Além disso, poderá ser avaliada a contratação de serviços especializados que
complementem essas competências, permitindo à equipe interna focar na governança e na
inovação.
A infraestrutura de conectividade também deve ser robustecida, com a adoção de circuitos
redundantes entre as regionais e os ambientes de nuvem, além da consideração de
modelos com ASN próprio e uso de IPs próprios (BYOIP), ampliando o controle sobre os
fluxos de rede e a segurança das comunicações.
11. REQUISITOS DE CAPACITAÇÃO
A qualificação das equipes técnicas e administrativas é um requisito central para o sucesso
da estratégia de nuvem. A CVM deverá manter programas contínuos de capacitação,
promovendo o domínio de práticas como FinOps, DevSecOps, arquitetura baseada em
microsserviços, computação serverless e integração contínua (CI/CD).
Além disso, os usuários finais também devem ser incluídos em ações educativas voltadas à
segurança da informação e ao uso consciente de soluções em nuvem. O uso de tecnologias
10
de inteligência artificial, por exemplo, exige não apenas habilidades técnicas, mas também
senso crítico, responsabilidade e respeito aos princípios de governança de dados.
12. REQUISITOS DE PORTABILIDADE E INTEROPERABILIDADE
A estratégia da CVM prioriza a adoção de soluções que garantam portabilidade e
interoperabilidade. Isso significa que os dados, sistemas e serviços contratados devem estar
aptos a serem transferidos entre diferentes ambientes de nuvem, com integridade e sem
dependências excessivas de tecnologia proprietária.
A escolha por tecnologias abertas e padrões amplamente aceitos no mercado é
fundamental para reduzir o acoplamento entre sistemas e ampliar a vida útil das soluções.
A interoperabilidade deve ser promovida de forma segura e eficiente, respeitando os
requisitos da arquitetura ePING e assegurando a rastreabilidade e a proteção dos dados.
13. REQUISITOS DE REGULATÓRIOS E DE CONFORMIDADE
A conformidade legal e regulatória é um compromisso inegociável da CVM. Toda a operação
de serviços em nuvem deve estar alinhada ao PDTI, ao plano de recuperação de desastres
e à legislação vigente, incluindo a LGPD e o Marco Civil da Internet.
Para tanto, os serviços contratados devem permitir auditoria contínua, com geração de logs
completos, precisos e com marcação temporal compatível com o fuso horário local. Devem
ser adotados mecanismos que assegurem a integridade, autenticidade, disponibilidade e
segurança das informações, por meio de práticas como backups redundantes, criptografia
e controle de acesso.
14. ESTRATÉGIA DE SAÍDA E REDUÇÃO DE DEPENDÊNCIA
A CVM deverá prever, desde a contratação dos serviços de nuvem, mecanismos que
garantam a continuidade dos sistemas e a reversibilidade contratual. Isso inclui a análise
das dependências tecnológicas envolvidas, a definição de estratégias de portabilidade de
dados e serviços, e a formalização de cláusulas que prevejam apoio técnico especializado
durante eventuais transições.
Devem ser implementadas soluções de backup e redundância que assegurem a
continuidade operacional mesmo diante de falhas ou descontinuidade de serviços. O plano
de recuperação de desastres deve contemplar esses cenários, inclusive aqueles
relacionados a eventos externos ou falhas nos provedores contratados.
11
15. AVALIAÇÃO DE RISCOS
A adoção de serviços em nuvem traz riscos que precisam ser identificados, avaliados e
tratados de forma contínua. Entre os principais, destacam-se a escassez de pessoal
qualificado, a ausência de segregação de funções, a imprevisibilidade de custos em função
da elasticidade da nuvem e a dificuldade de adaptação de sistemas legados a novas
arquiteturas.
Esses riscos devem ser mapeados e incorporados aos processos decisórios da STI e da alta
gestão. Devem ser estabelecidos planos de mitigação compatíveis com a gravidade e a
probabilidade dos impactos, com mecanismos de revisão periódica e adaptação. A cultura
de risco deve estar integrada à governança de TI, promovendo resiliência, controle e
responsabilidade institucional.
PORTARIA CVM/PTE Nº 71, 02 DE JUNHO DE 2025
Estabelece a Estratégia de Uso de Software e de Serviços de Computação em Nuvem da Comissão de
Valores Mobiliários.
O PRESIDENTE DA COMISSÃO DE VALORES MOBILIÁRIOS – CVM, no uso
das atribuições que lhe são conferidas pelo Regimento Interno aprovado pela Resolução CVM nº 24, de 5
de março de 2021, e tendo em vista o disposto na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023,
resolve:
Art. 1º Fica aprovada, na forma do Anexo desta Portaria, a Estratégia de Uso de Software e
de Serviços de Computação em Nuvem da CVM, em conformidade com a Portaria SGD/MGI nº 5.950, de
26 de outubro de 2023.
Art. 2º A Superintendência de Tecnologia da Informação da CVM deverá adotar,
monitorar e garantir a aplicação das diretrizes estabelecidas na Estratégia de Uso de Software e de Serviços
de Computação em Nuvem, visando garantir a conformidade na utilização dos recursos e nas contratações
de software e dos serviços de nuvem de acordo com as necessidades de negócio da CVM.
Art. 3º Esta Portaria deverá ser revisada periodicamente, em prazo não superior a três anos
desde a sua publicação.
Art. 4º Esta Portaria entra em vigor na data de sua publicação.
JOÃO PEDRO BARROSO DO NASCIMENTO
Presidente
Documento assinado eletronicamente por João Pedro Barroso do Nascimento, Presidente, em
02/06/2025, às 11:50, com fundamento no art. 6º do Decreto nº 8.539, de 8 de outubro de 2015.
A autenticidade do documento pode ser conferida no site https://sei.cvm.gov.br/conferir_autenticidade,
informando o código verificador 2343609 e o código CRC D1E272C2.
This document's authenticity can be verified by accessing https://sei.cvm.gov.br/conferir_autenticidade, and
typing the "Código Verificador" 2343609 and the "Código CRC" D1E272C2.
1
ANEXO
ESTRATÉGIA DE USO DE SOFTWARE E DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM
1. DIRETRIZES GERAIS
A presente estratégia estabelece os fundamentos que orientam a contratação e o uso de
serviços de computação em nuvem no âmbito da Comissão de Valores Mobiliários – CVM.
Considerando o papel essencial da tecnologia na modernização institucional, o documento
alinha-se às normas vigentes, como a Instrução Normativa SGD/ME nº 94/2022, a Lei nº
14.133/2021 e a Portaria SGD/MGI nº 5.950/2023, com o objetivo de garantir segurança,
eficiência e transparência na adoção de soluções inovadoras.
Desde 2013, a CVM mantém contratos de nuvem privada baseados em consumo,
viabilizando o atendimento às demandas institucionais. Contudo, o crescimento
exponencial de dados, aliado à sofisticação das ferramentas de análise e inteligência,
evidencia a necessidade de adoção de alternativas mais escaláveis e sustentáveis.
Nesse contexto, os modelos de nuvem pública – Infraestrutura como Serviço (IaaS),
Plataforma como Serviço (PaaS) e Software como Serviço (SaaS) – despontam como opções
viáveis. Eles oferecem ganhos em escalabilidade, agilidade, eficiência operacional e
qualidade nos serviços prestados, reforçando o compromisso institucional com a inovação,
a governança e a responsabilidade no uso dos recursos públicos.
Portanto, esta estratégia reafirma o compromisso da CVM com o uso responsável e
estratégico de tecnologias de computação em nuvem. Também contempla aspectos como
governança, competências institucionais, requisitos de segurança, e diretrizes para o uso
de dados sensíveis e critérios para a seleção de tecnologias e fornecedores.
2. OBJETIVOS E COMPETÊNCIAS
No âmbito da utilização de softwares e de tecnologia de computação em nuvem da CVM, a
estratégia tem como objetivos:
Melhorar o desempenho e a disponibilidade dos serviços institucionais, com maior
resiliência a recuperação de incidentes e desastres;
Ampliar o controle sobre os custos de armazenamento e processamento de dados;
Reduzir os esforços com aquisição, implantação e manutenção de infraestrutura
física;
Diminuir o tempo entre o lançamento de novas tecnologias no mercado e sua
adoção pela CVM, promovendo produtividade interna e qualidade nos serviços
prestados à sociedade;
Proporcionar maior flexibilidade e escalabilidade na entrega de serviços;
2
Facilitar o desenvolvimento e a sustentação de sistemas de apoio aos processos
internos da Autarquia.
Quanto às competências relacionadas à implementação da estratégia, aplicam-se as
seguintes atribuições:
Comitê de Governança Digital e Segurança da Informação (CGD): responsável por
aprovar esta estratégia e estabelecer projetos prioritários no âmbito do Plano Diretor
de TI (PDTI), conforme competências da Portaria CVM/PTE nº 12/2025;
Superintendência de Tecnologia da Informação (STI): encarregada de aplicar os
princípios de governança definidos pelo CGD, assegurando a eficiência no uso de
tecnologias e a racionalidade nos gastos com serviços de nuvem e softwares;
Demais Superintendências da CVM: devem apoiar tecnicamente os processos de
contratação, estimar a demanda por recursos de nuvem e propor soluções aderentes às
suas respectivas áreas de atuação; e
Superintendência de Gestão de Pessoas: responsável por promover capacitação e
aperfeiçoamento contínuo para o uso e a gestão segura de soluções em nuvem, com
base nas diretrizes da STI.
3. IDENTIFICAÇÃO DAS NECESSIDADES DO NEGÓCIO
A CVM tem uma gama de necessidades de negócio que podem ser significativamente
alavancadas com a contratação de softwares e serviços de computação em nuvem:
Análise e ciência de dados: ferramentas de processamento de grandes volumes de
dados, fluxos de dados para processamento em lote e em tempo real, engenharia e
ciência de dados, entrega de soluções orientadas a dados;
Gestão e governança de dados: descoberta, catalogação, controle de acesso e aplicação
de políticas de qualidade, segurança e conformidade;
Desenvolvimento de aplicações e gestão de ambientes: construção de soluções de
software mais ágeis e escaláveis por meio de novas tecnologias e paradigmas como
DevOps, programação low-code, uso de containers e Kubernetes, computação serverless
e arquitetura de microsserviços;
Inteligência artificial e aprendizado de máquina: uso de APIs, IA generativa e
plataformas de machine learning para enriquecer conteúdos em texto, voz, vídeo e
imagem, ampliando a capacidade da CVM de gerar insights a partir dos seus dados;
Segurança da informação e gestão de ativos: soluções para análise e resposta a
incidentes, visibilidade de ativos, mitigação de riscos em ambientes multinuvem e on-
premise, e auditoria com ciclos mais adequados às necessidades institucionais;
Contingência e recuperação de desastres: replicação e/ou backup de dados e aplicações
para manter a continuidade da prestação de serviços; e
Produtividade e colaboração: uso de SaaS para produção de documentos, dashboards,
3
comunicação institucional e compartilhamento de informações.
As definições da presente estratégia aplicam-se integralmente ao licenciamento de
soluções que utilizem, total ou parcialmente, o modelo SaaS, estendendo-se às definições
pertinentes aos modelos IaaS e PaaS em nuvem pública.
Cabe às áreas solicitantes, com apoio da STI, avaliar previamente a viabilidade técnica e
estratégica de cada demanda, identificando os sistemas, aplicações e dados a serem
migrados para a nuvem, os requisitos de acesso e os recursos computacionais necessários.
A STI deverá considerar, preferencialmente, o desenvolvimento nativo em ambiente de
nuvem, salvo justificativa técnica em contrário.
4. DEFINIÇÃO DE MODELOS
A experiência da CVM com computação em nuvem remonta a 2014, com a adoção do
modelo de nuvem privada na modalidade IaaS. Essa escolha representou um marco no
amadurecimento da gestão tecnológica da Autarquia, permitindo ganhos relevantes em
agilidade, eficiência e redução de custos operacionais.
No entanto, à medida que as demandas institucionais se tornam mais dinâmicas e
complexas, cresce a necessidade de incorporar modelos mais avançados, como PaaS
(Plataforma como Serviço) e SaaS (Software como Serviço), notadamente em nuvem
pública. Esses modelos distribuem de forma mais eficiente as responsabilidades
operacionais entre a instituição e o provedor de serviços, permitindo maior foco da equipe
interna em atividades de valor estratégico.
Visualmente, os modelos
IaaS, PaaS e SaaS podem
ser comparados por meio
de camadas de
responsabilidade técnica.
De modo geral, quanto
maior o nível de serviço
contratado, menor o
esforço de sustentação
exigido da equipe interna
da CVM, com consequente
aumento da agilidade na
entrega e do valor
agregado percebido. Essa simplificação, contudo, deve ser balanceada com os riscos de
dependência tecnológica, especialmente no caso dos modelos mais gerenciados (PaaS e
SaaS), que tendem a aumentar o grau de lock-in com fornecedores específicos.
4
Além da divisão de responsabilidades, outros aspectos importantes devem ser considera-
dos na escolha do modelo. O gráfico a seguir sintetiza como fatores como especificidade,
velocidade de implantação, valor agregado e risco de dependência variam à medida que
se avança na “pilha” tecnológica (de IaaS para PaaS e SaaS):
A leitura desse gráfico permite observar que, embora serviços no topo da pilha (PaaS e
SaaS) apresentem maior valor agregado e rapidez de implementação, eles também
implicam em maior dependência de fornecedor. Por outro lado, quanto mais baixo o nível
(como IaaS), maior a compatibilidade entre plataformas e o controle gerencial, porém com
maior esforço de sustentação por parte da equipe da Autarquia.
O Office 365 é um exemplo prático de sucesso nessa abordagem. Ao adotar esse serviço na
modalidade SaaS, a CVM obteve melhorias substanciais em produtividade, segurança da
informação — graças às atualizações frequentes — e redução significativa do esforço
administrativo para manutenção das ferramentas.
Ainda que modelos avançados tragam benefícios claros, sua adoção exige cautela. Esta
Estratégia não endossa a simples migração de aplicações legadas para nuvem pública no
modelo lift-and-shift, pois essa abordagem frequentemente ignora oportunidades de
modernização e pode gerar custos desnecessários. Sempre que possível, esse tipo de
migração deve ser direcionado à nuvem privada já contratada. O uso da nuvem pública
requer avaliação técnica detalhada, definição de arquitetura e análise de custos,
especialmente quando o objetivo for replicar estruturas IaaS já disponíveis na nuvem
privada.
Adicionalmente, deve-se considerar que o modelo on-premises não é mais viável para os
serviços da CVM, dado o elevado custo de infraestrutura própria, a inexistência de
datacenters institucionais e as restrições impostas por normativos, como a Instrução
Normativa SGD/ME nº 94, de 23 de dezembro de 2022, que desincentivam a construção de
ambientes dedicados pela Administração Pública.
Diante desse cenário, a estratégia da CVM prevê a adoção de um modelo híbrido,
combinando:
Nuvem privada nacional para serviços IaaS de sustentação já consolidados; e
Nuvem pública, contratada por intermédio de integradores multinuvem, com
serviços nos modelos IaaS, PaaS e SaaS, conforme disponibilidade orçamentária e
aderência técnica.
O uso da modalidade SaaS está autorizado para ferramentas que promovam produtividade
5
ou sustentem processos de negócio, desde que devidamente mapeadas e justificadas em
seus processos de contratação.
5. AVALIAÇÃO DOS POSSÍVEIS FORNECEDORES
A CVM atualmente utiliza serviços de nuvem privada na modalidade IaaS para sustentar sua
infraestrutura tecnológica. Embora eficaz até o momento, a Superintendência de
Tecnologia da Informação (STI) entende que a expansão para modelos de nuvem pública,
especialmente nas modalidades PaaS e SaaS, é essencial para atender a demandas mais
complexas, como Business Intelligence (BI), inteligência artificial (IA) e aprendizado de
máquina.
Como esse ambiente ainda é recente na estrutura da CVM, recomenda-se, inicialmente, a
priorização de provedores reconhecidos. O relatório "Magic Quadrant for Strategic Cloud
Platform Services" (Gartner, outubro de 2024) aponta como líderes de mercado Amazon
Web Services (AWS), Microsoft Azure, Google Cloud e Oracle Cloud Infrastructure (OCI).
Dentre os fornecedores identificados como
líderes, a Oracle Cloud Infrastructure (OCI)
apresenta diferenciais relevantes, como sua
integração nativa com o banco de dados
Oracle e outros serviços especializados.
Embora tais recursos não estejam atualmente
em uso no ambiente da CVM, sua oferta pode
representar valor estratégico para
determinados cenários futuros, a depender
da evolução das soluções utilizadas pela
Autarquia.
Já a Microsoft Azure apresenta sinergia
consolidada com o ambiente tecnológico
atual da CVM, que inclui o uso do banco de
dados SQL Server e ferramentas do pacote
Office 365, possibilitando ganhos
operacionais e de gestão. Além disso, as
plataformas AWS e Google Cloud também oferecem maturidade, estabilidade e
compatibilidade com as tecnologias utilizadas internamente, figurando como opções
plenamente viáveis sob a perspectiva técnica.
Dessa forma, a estratégia propõe que, no mínimo, dois desses provedores líderes estejam
disponíveis por meio de um integrador multinuvem. Essa abordagem não exclui a
participação de outros provedores, desde que contem com ao menos uma região
operacional no Brasil, com duas ou mais zonas de disponibilidade, garantindo desempenho,
6
resiliência e controle sobre os dados.
A contratação preferencial deve ocorrer por meio de processos licitatórios amplos e
transparentes, abertos a integradores habilitados a ofertar um ou mais desses serviços. Em
situações justificadas técnica e economicamente, admite-se o uso de outras modalidades
de contratação, como dispensa, conforme o Acórdão 2233/2020 do TCU/Plenário. A
indicação de fabricante de software, marca ou provedor é justificável somente:
Em decorrência da necessidade de padronização do objeto;
Em decorrência da necessidade de manter a compatibilidade com plataformas e
padrões já adotados pela Administração; ou
Quando determinado provedor for o único capaz de atender às necessidades do
contratante.
6. APRISIONAMENTO TECNOLÓGICO E RISCOS DE DEPENDÊNCIA DE FORNECEDOR
A adoção de serviços em nuvem pública pode acarretar riscos de aprisionamento
tecnológico (lock-in), dificultando a migração entre provedores e aumentando a
dependência de soluções específicas. Para mitigar esse risco, a CVM deve adotar uma
abordagem baseada em estudos e melhores práticas internacionais, como as previstas em
relatórios do Gartner e artigos especializados sobre interoperabilidade e portabilidade em
ambientes de nuvem.
Entre as estratégias recomendadas, destacam-se:
Adoção de ambiente multinuvem híbrido, combinando nuvens públicas de
diferentes fornecedores com a nuvem privada já contratada, possibilitando
comparação técnica e financeira entre soluções;
Utilização de arquiteturas baseadas em tecnologias portáveis entre diferentes
provedores, sempre que possível, sem desprezar os ganhos oferecidos por soluções
PaaS e SaaS;
Desenvolvimento de aplicações com foco na portabilidade de dados e flexibilidade
de infraestrutura, facilitando eventual transição de ambiente sem comprometer a
continuidade dos serviços.
Nesse sentido, a CVM estabelece como diretriz a previsão, nos contratos, da capacidade de
operar em ambiente multinuvem híbrido, com ao menos dois provedores de nuvem pública
e um de nuvem privada. Também é recomendável que as soluções adotadas sejam
tecnicamente compatíveis com múltiplos ambientes e que sua arquitetura permita eventual
migração, sem comprometer integridade, desempenho ou segurança.
Adicionalmente, a análise de riscos de lock-in deve ser incorporada à fase de definição da
arquitetura de cada workload, sendo obrigatória a documentação das justificativas técnicas
que sustentem a adoção de tecnologias com maior grau de dependência. A CVM reconhece
que níveis aceitáveis de dependência podem ser tolerados, desde que compensados por
benefícios operacionais e devidamente avaliados no processo decisório.
7
7. REQUISITOS DE SEGURANÇA DA INFORMAÇÃO
A contratação de serviços de nuvem pela CVM deverá atender integralmente à Instrução
Normativa nº 5/2021 – DSIC/GSI, que dispõe sobre os requisitos de segurança da
informação para a Administração Pública Federal.
Em particular, os contratos devem prever:
Inclusão dos dispositivos de segurança descritos no Art. 19 da IN nº 5/2021;
Apresentação obrigatória dos relatórios de auditoria SOC 2 (tipos I e II) antes do
início da prestação dos serviços, conforme Art. 25; e
Conformidade com normas internacionais de segurança, como ISO/IEC 27001,
AICPA (SOC 2), NIST (FIPS), entre outras.
Deverá ser assegurada também a residência de dados em território nacional nos casos de
informações com restrição de acesso legal. Dados não restritos podem ser armazenados no
exterior, desde que uma cópia de segurança seja mantida em datacenter localizado no
Brasil.
A Portaria SGD/MGI nº 5.950/2023 reforça essas exigências e condiciona o armazenamento
de dados restritos à autorização do Comitê de Governança Digital, com preferência pela
utilização de nuvem de governo.
Além disso, é vedado o tratamento em nuvem de informações classificadas em grau de
sigilo (reservadas, secretas e ultrassecretas), conforme o Decreto nº 7.724/2012.
Dessa forma, esta estratégia orienta que:
Informações sem restrição de acesso podem ser tratadas em nuvem, respeitada a
legislação e os riscos de segurança;
Informações classificadas em grau de sigilo e documentos preparatórios não devem
ser tratados em nuvem;
Mediante autorização do CGD, podem ser tratados em nuvem pública, com
mitigação de riscos e observância legal:
a) Informações com restrição de acesso legal (sigilos fiscal, bancário,
empresarial, etc.);
b) Conteúdos regulados como de acesso restrito pela própria CVM; e
c) Dados pessoais sensíveis ou protegidos.
Para esses casos, deverão ser adotadas medidas adicionais de governança que assegurem
a aderência às melhores práticas de segurança da informação.
8. PROCESSOS DE GOVERNANÇA NA UTILIZAÇÃO DE SERVIÇOS DE NUVEM E
SOFTWARES
8
Nos projetos que envolvam o uso de nuvem pública, especialmente quando houver
tratamento de dados sensíveis, é indispensável a formalização de um plano de implantação,
aprovado pelas áreas demandantes ou pelo Comitê de Governança Digital (CGD).
Esse plano deve conter:
Justificativa e objetivos do uso de nuvem;
Necessidades de negócio atendidas;
Recursos e serviços a serem provisionados;
Fontes e classificação dos dados tratados;
Estimativa de custos, incluindo substituições ou desativações;
Riscos, contramedidas e impactos institucionais; e
Conformidade com o PDTI e com a política de segurança da informação.
Além disso, destaca-se a importância do controle de custos em ambientes de nuvem. A STI
e a equipe de fiscalização contratual devem ter mecanismos para monitorar e intervir na
execução orçamentária dos contratos, ajustando provisões em caso de variações de
demanda. Práticas como o estabelecimento de cotas e limites de consumo por projeto ou
serviço, implementação de alertas e mecanismos automatizados de monitoramento de
consumo em tempo real e avaliação contínua do custo-benefício de workloads em nuvem
são exemplos de atividades importantes nesse cenário.
Essa atuação contínua — conhecida como FinOps — é fundamental para manter o
equilíbrio entre custo, desempenho e valor gerado, e deverá ser fortalecida por meio da
capacitação dos responsáveis por tais contratos.
9. ESTABELECIMENTO DOS PRINCÍPIOS NORTEADORES DA ESTRATÉGIA
A estratégia da CVM fundamenta-se em princípios que garantem coerência, eficiência e
segurança no uso da nuvem. O princípio do "cloud first" estabelece que a adoção da nuvem
deve ser sempre considerada como primeira alternativa, desde que atenda aos requisitos
técnicos, legais e econômicos. Complementarmente, a modernização das soluções legadas
deve preceder qualquer abordagem de migração direta (lift-and-shift), que só deve ser
adotada em caráter excepcional.
A interoperabilidade é garantida pela escolha de integradores multinuvem, permitindo à
CVM utilizar serviços de diferentes provedores, reduzindo o risco de dependência e
otimizando recursos. A segurança da informação e a conformidade normativa também são
pilares estruturantes da estratégia, exigindo atenção contínua a requisitos legais e
regulatórios.
Para garantir a efetividade, previsibilidade e a transparência no uso dos serviços de nuvem,
deverão ser definidos e monitorados indicadores-chave de desempenho (KPIs) e metas
associadas a cada iniciativa ou “workload” implantado. Esses indicadores permitirão avaliar
9
o retorno sobre o investimento (ROI), a economia gerada, a eficiência técnica, a aderência
aos SLAs contratados e o impacto nos serviços institucionais. Como referência mínima
devem ser acompanhados os seguintes aspectos:
Redução percentual de custo operacional em relação ao ambiente anterior (on-
premises ou nuvem privada);
Custo mensal por workload ou serviço em nuvem;
Grau de previsibilidade orçamentária (diferença entre o custo estimado e o custo
real mensal); e
Custo evitado com aquisição de infraestrutura física ou licenciamento de
software.
Por fim, os princípios de governança contínua, sustentabilidade e gestão de riscos
asseguram que a tomada de decisão esteja sempre alinhada às metas institucionais,
promovendo o uso responsável, ético e transparente da tecnologia.
10. RECURSOS INSTITUCIONAIS RELEVANTES PARA A OPERAÇÃO DE SOFTWARES E
SERVIÇOS DE COMPUTAÇÃO EM NUVEM
A consolidação da nuvem como plataforma estratégica demanda uma evolução nas
capacidades institucionais da CVM. A STI deverá ser fortalecida com profissionais
capacitados em gestão contratual, arquitetura de soluções e segurança da informação.
Além disso, poderá ser avaliada a contratação de serviços especializados que
complementem essas competências, permitindo à equipe interna focar na governança e na
inovação.
A infraestrutura de conectividade também deve ser robustecida, com a adoção de circuitos
redundantes entre as regionais e os ambientes de nuvem, além da consideração de
modelos com ASN próprio e uso de IPs próprios (BYOIP), ampliando o controle sobre os
fluxos de rede e a segurança das comunicações.
11. REQUISITOS DE CAPACITAÇÃO
A qualificação das equipes técnicas e administrativas é um requisito central para o sucesso
da estratégia de nuvem. A CVM deverá manter programas contínuos de capacitação,
promovendo o domínio de práticas como FinOps, DevSecOps, arquitetura baseada em
microsserviços, computação serverless e integração contínua (CI/CD).
Além disso, os usuários finais também devem ser incluídos em ações educativas voltadas à
segurança da informação e ao uso consciente de soluções em nuvem. O uso de tecnologias
10
de inteligência artificial, por exemplo, exige não apenas habilidades técnicas, mas também
senso crítico, responsabilidade e respeito aos princípios de governança de dados.
12. REQUISITOS DE PORTABILIDADE E INTEROPERABILIDADE
A estratégia da CVM prioriza a adoção de soluções que garantam portabilidade e
interoperabilidade. Isso significa que os dados, sistemas e serviços contratados devem estar
aptos a serem transferidos entre diferentes ambientes de nuvem, com integridade e sem
dependências excessivas de tecnologia proprietária.
A escolha por tecnologias abertas e padrões amplamente aceitos no mercado é
fundamental para reduzir o acoplamento entre sistemas e ampliar a vida útil das soluções.
A interoperabilidade deve ser promovida de forma segura e eficiente, respeitando os
requisitos da arquitetura ePING e assegurando a rastreabilidade e a proteção dos dados.
13. REQUISITOS DE REGULATÓRIOS E DE CONFORMIDADE
A conformidade legal e regulatória é um compromisso inegociável da CVM. Toda a operação
de serviços em nuvem deve estar alinhada ao PDTI, ao plano de recuperação de desastres
e à legislação vigente, incluindo a LGPD e o Marco Civil da Internet.
Para tanto, os serviços contratados devem permitir auditoria contínua, com geração de logs
completos, precisos e com marcação temporal compatível com o fuso horário local. Devem
ser adotados mecanismos que assegurem a integridade, autenticidade, disponibilidade e
segurança das informações, por meio de práticas como backups redundantes, criptografia
e controle de acesso.
14. ESTRATÉGIA DE SAÍDA E REDUÇÃO DE DEPENDÊNCIA
A CVM deverá prever, desde a contratação dos serviços de nuvem, mecanismos que
garantam a continuidade dos sistemas e a reversibilidade contratual. Isso inclui a análise
das dependências tecnológicas envolvidas, a definição de estratégias de portabilidade de
dados e serviços, e a formalização de cláusulas que prevejam apoio técnico especializado
durante eventuais transições.
Devem ser implementadas soluções de backup e redundância que assegurem a
continuidade operacional mesmo diante de falhas ou descontinuidade de serviços. O plano
de recuperação de desastres deve contemplar esses cenários, inclusive aqueles
relacionados a eventos externos ou falhas nos provedores contratados.
11
15. AVALIAÇÃO DE RISCOS
A adoção de serviços em nuvem traz riscos que precisam ser identificados, avaliados e
tratados de forma contínua. Entre os principais, destacam-se a escassez de pessoal
qualificado, a ausência de segregação de funções, a imprevisibilidade de custos em função
da elasticidade da nuvem e a dificuldade de adaptação de sistemas legados a novas
arquiteturas.
Esses riscos devem ser mapeados e incorporados aos processos decisórios da STI e da alta
gestão. Devem ser estabelecidos planos de mitigação compatíveis com a gravidade e a
probabilidade dos impactos, com mecanismos de revisão periódica e adaptação. A cultura
de risco deve estar integrada à governança de TI, promovendo resiliência, controle e
responsabilidade institucional.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
Acesso Exclusivo para Assinantes
Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.
