A 2 de maio de 2024, a Secretaria de Prémios e Apostas (SPA) e o Ministério das Finanças (MF) emitiram a Portaria n.º 722 (link aqui). Este conjunto de regulamentos define os critérios técnicos e de cibersegurança essenciais que os operadores de iGaming e de apostas esportivas online devem cumprir no prazo de seis meses após a obtenção das suas licenças de jogo.
Em sua série de blogs, Luana Monje, Executiva de Vendas da Continent 8 Technologies, examina os mais recentes desenvolvimentos de infraestrutura, nuvem, cibersegurança e regulamentação para o recém-regulamentado mercado brasileiro de iGaming e apostas esportivas online. Em seu primeiro blog, Luana explorou o requisito de teste de penetração da Portaria 722, e neste blog, ela investiga o sistema de recuperação e backup, continuidade de negócios e plano de recuperação de desastres e requisitos de proteção de firewall em detalhes completos.
1. Estabelecer planos sólidos de recuperação e de continuidade de atividade resilientes para as plataformas de iGaming
Portaria 722, Anexo IV, secção 15 – Recuperação: Na eventualidade de uma falha catastrófica em que o sistema de apostas, ou qualquer componente ou plataforma, não possa ser reposto de outra forma, deve ser possível restaurar o sistema a partir do último ponto de cópia de segurança e recuperá-lo totalmente.
Portaria 722, Anexo IV, secção 17 – Plano de continuidade das actividades e de recuperação de desastres: Uma política de continuidade de negócios e um plano de recuperação de desastres devem ser adotados para recuperar as operações de apostas se o ambiente de produção do sistema de apostas ou qualquer uma de suas plataformas se tornar inoperante.
Nos regulamentos delineados para o iGaming e as apostas esportivas no Brasil, devem existir mecanismos robustos de recuperação e continuidade do negócio para garantir que, em caso de falha catastrófica, o operador ou fornecedor possa restaurar o sistema de apostas e recuperar totalmente a partir do último ponto de backup.
A secção de recuperação do Decreto 722 explica que essas cópias de segurança devem incluir não só as informações registadas, mas também pormenores específicos do local, como as configurações de segurança e as contas de utilizador. Além disso, as chaves de encriptação actuais do sistema e um registo exaustivo dos parâmetros do sistema – quer se trate de modificações, reconfigurações, adições, fusões, eliminações, ajustamentos ou alterações de parâmetros – devem ser meticulosamente mantidos.
Entretanto, a secção relativa à continuidade das actividades e à recuperação de desastres da Portaria 722 recomenda que o plano inclua metodologias de armazenamento de dados para minimizar as perdas, documente os procedimentos de recuperação e forneça um guia de recuperação abrangente. Além disso, deve propor o processo de retoma das operações administrativas após a recuperação, adaptado ao contexto operacional do sistema.
A solução Continent8: A nossa abordagem de serviços multifacetados oferece aos operadores e fornecedores o caminho ideal para a recuperação e continuidade do negócio no caso de um incidente ou desastre.
- nosso serviço de Auditoria de Conformidade fornece avaliações de segurança abrangentes do plano de continuidade do negócio e de recuperação de desastres da sua organização. Esta abordagem assegura a conformidade com os requisitos regulamentares do iGaming, ao mesmo tempo que identifica potenciais vulnerabilidades e conhecimentos acionáveis para reforçar a postura de segurança global da sua organização.
- nosso serviço de Backup assegura a proteção e o restauro de ficheiros, bases de dados e aplicações em centros de dados Continent 8, ambientes on-premises de clientes e nuvens de hiperescala. A nossa solução é adaptada para reforçar a resiliência, apoiar a recuperação de desastres e manter a continuidade do negócio. Gerimos as políticas de cópia de segurança e retenção para nos alinharmos com os objectivos de recuperação da sua organização, ao mesmo tempo que fornecemos relatórios abrangentes sobre as tarefas de cópia de segurança e recuperação.
Assista ao webinar sobre a abordagem de recuperação de desastres da Continent8 e um caso de uso real com o cliente Boldt baseado na América Latina.
(O webinar está disponível em inglês e espanhol)
2. Proteger a rede com firewalls avançadas para a cibersegurança do iGaming
Portaria 722, Anexo IV, secção 31 – Firewall: Todas as comunicações, incluindo o acesso remoto, devem passar pelo menos por uma firewall aprovada a nível da aplicação.
Uma firewall eficaz actua como guardiã da rede, analisando meticulosamente todas as comunicações de entrada e saída para impedir o acesso não autorizado e potenciais ameaças. A comunicação da firewall do Decreto 722 sugere que a firewall seja colocada na junção de diferentes domínios de segurança, garantindo que não exista nenhum caminho de rede alternativo que possa contornar a firewall. Apenas as aplicações essenciais relacionadas com o funcionamento da firewall são autorizadas a residir no dispositivo e o acesso é restringido a um número limitado de contas de utilizador, principalmente administradores de rede ou de sistemas. Estas firewalls devem analisar todas as comunicações de entrada e saída, garantindo que só é permitido o tráfego proveniente de fontes de rede fiáveis. Além disso, controlos de acesso rigorosos, apoiados pelos mais recentes protocolos de encriptação, protegem as interações remotas com a plataforma de jogo.
A solução Continent8: O nosso serviço de Firewall inclui capacidades IDS/IPS personalizáveis. Quando combinados com o nosso serviço gerido do Centro de Operações de Segurança (SOC), os eventos IDS/IPS são enriquecidos com informações específicas sobre ameaças e ingeridos na nossa plataforma de gestão de incidentes e eventos de segurança (SIEM). Os nossos analistas do SOC podem então fornecer informações poderosas sobre o estado atual das ameaças e as actividades de perímetro de um cliente, fornecendo deteção, prevenção e respostas a ameaças conhecidas e emergentes.
Uma abordagem de cibersegurança de 360 graus
Os planos de recuperação e continuidade do negócio, juntamente com a proteção da firewall, constituem um excelente ponto de partida para os operadores e fornecedores de iGaming e de apostas esportivas online que iniciam operações no mercado de jogo regulamentado do Brasil. Para uma proteção de ponta a ponta, recomendamos que os operadores e fornecedores adoptem uma abordagem holística de mitigação de riscos. Uma estratégia de defesa completa e de 360 graus inclui (ligações de produtos em inglês):
- Serviços de deteção e resposta de endpoints (EDR)para proteção contra malware avançado, ransomware e ameaças de phishing.
- Serviços de negação de serviço distribuído (DDoS)para fornecer mitigação abrangente da rede de perímetro contra ataques DDoS.
- Serviços do Managed Security Operations Center (MSOC) e do Security Incident and Event Management (SIEM)para prevenir, detetar ou remediar vulnerabilidades e ameaças.
- Solução de conformidade com a segurança regulamentar – incluindo auditoria de conformidade, avaliação de vulnerabilidades e testes de penetração (VAPT) e serviços de análise de vulnerabilidades (V-Scan) – para atingir a conformidade regulamentar e obter um conhecimento profundo da área de superfície de ataque.
- Serviços Mobile Protectpara proteger os terminais móveis contra ameaças de segurança modernas.
- Serviços SafeBaitpara fornecer simulações personalizadas para combater ameaças de engenharia social, incluindo ataques sofisticados de MFA, phishing, smishing, vishing e quishing.
Ao fazer referência às políticas da SPA e da Portaria 722 do MF e fazer parceria com um provedor de soluções experiente e confiável como a Continent8, operadores e fornecedores podem implantar estratégias de proteção de segurança cibernética multi-defesa e multi-camadas para sua plataforma de apostas esportivas iGaming e online. Essa abordagem permite que eles cumpram as mais recentes regulamentações técnicas e de segurança cibernética do Brasil, ao mesmo tempo em que demonstram seu compromisso em fornecer ambientes e experiências de jogos seguros e confiáveis.
Continent 8 Technologies – seu parceiro de confiança
A Continent 8 Technologies, parceira confiável de hospedagem gerenciada, conetividade, nuvem e cibersegurança para a indústria global de iGaming e apostas esportivas online há mais de 25 anos, está ao vivo em todas as principais jurisdições regulamentadas da América Latina (LATAM), incluindo o Brasil.
Operando fora da região da LATAM desde 2020, oferecemos aos operadores e fornecedores acesso a data centers de última geração, conetividade a uma rede privada global com mais de 100 locais em quatro continentes e os melhores serviços gerenciados e profissionais da categoria para suportar os requisitos mais exigentes de iGaming e apostas esportivas online.
Descubra por que a Continent8 é o provedor de infraestrutura e segurança cibernética para os principais operadores e fornecedores da LATAM, como Betcris, Boldt, Bplay e Vibra Gaming, e saiba como garantimos a implementação perfeita de infraestruturas compatíveis e seguras para que suas operações de jogos brasileiros estejam ao vivo desde o primeiro dia.
Para obter mais informações sobre como a Continent8 pode apoiar os requisitos regulatórios e de segurança cibernética da sua organização, visite www.continent8.com/br ou contactar Luana em luana.monje@continent8.com.
