Art. 31. O armazenamento e a execução dos modelos de inteligência artificial deverão ocorrer em ambientes que atendam a padrões consolidados de segurança da informação, na forma deste artigo.
Parágrafo único. Consideram-se boas práticas para atendimento ao que dispõe o caput deste artigo:
I - adoção de mecanismos de auditoria periódica e monitoramento contínuo para assegurar a conformidade dos ambientes com esses padrões de segurança, garantindo a proteção adequada contra acessos não autorizados, falhas de integridade e outras ameaças à segurança da informação;
II - implementação de controles de acesso rigorosos, criptografia de dados em repouso e em trânsito e políticas de gerenciamento de vulnerabilidades nos ambientes de armazenamento e execução; e
III - instituição de política de governança de dados que busque:
a) educar continuamente a equipe sobre práticas de segurança da informação, proteção de dados pessoais e privacidade;
b) ao final do treinamento dos modelos, eliminar os dados pessoais não-anonimizados dos repositórios de dados (data lake, data warehouse ou data lakehouse), observados o § 4º do art. 26 e o § 3º do art. 27 desta Resolução;
c) manter apenas os dados tokenizados estritamente necessários ao modelo, fazendo a guarda dos últimos datasets aprovados em local que observe a segurança da informação, observados o § 4º do art. 26 e o § 3º do art. 27 desta Resolução;
d) implementar a governança e curadoria dos dados utilizados, para garantir sua qualidade e segurança;
e) realizar monitoramento contínuo e eventualmente auditorias nos modelos em testes e aprovados para garantir a obediência aos padrões de segurança, proteção de dados pessoais e privacidade; e
f) garantir que modelos fiquem funcionais durante todo o ciclo de vida das soluções de IA, removendo-os quando se identifique sua inutilidade ou obsolescência.
IV - adoção como referência, tanto quanto possível, de normas internacionais reconhecidas, tais como a ISO/IEC (Organização Internacional de Padronização/Comissão Eletrotécnica Internacional) 42001, a série ISO/IEC 27000 e as do NIST (NationalInstituteof Standards and Technology), ou as que vierem a sucedê-las, além das regulamentações locais aplicáveis.
Parágrafo único. Consideram-se boas práticas para atendimento ao que dispõe o caput deste artigo:
I - adoção de mecanismos de auditoria periódica e monitoramento contínuo para assegurar a conformidade dos ambientes com esses padrões de segurança, garantindo a proteção adequada contra acessos não autorizados, falhas de integridade e outras ameaças à segurança da informação;
II - implementação de controles de acesso rigorosos, criptografia de dados em repouso e em trânsito e políticas de gerenciamento de vulnerabilidades nos ambientes de armazenamento e execução; e
III - instituição de política de governança de dados que busque:
a) educar continuamente a equipe sobre práticas de segurança da informação, proteção de dados pessoais e privacidade;
b) ao final do treinamento dos modelos, eliminar os dados pessoais não-anonimizados dos repositórios de dados (data lake, data warehouse ou data lakehouse), observados o § 4º do art. 26 e o § 3º do art. 27 desta Resolução;
c) manter apenas os dados tokenizados estritamente necessários ao modelo, fazendo a guarda dos últimos datasets aprovados em local que observe a segurança da informação, observados o § 4º do art. 26 e o § 3º do art. 27 desta Resolução;
d) implementar a governança e curadoria dos dados utilizados, para garantir sua qualidade e segurança;
e) realizar monitoramento contínuo e eventualmente auditorias nos modelos em testes e aprovados para garantir a obediência aos padrões de segurança, proteção de dados pessoais e privacidade; e
f) garantir que modelos fiquem funcionais durante todo o ciclo de vida das soluções de IA, removendo-os quando se identifique sua inutilidade ou obsolescência.
IV - adoção como referência, tanto quanto possível, de normas internacionais reconhecidas, tais como a ISO/IEC (Organização Internacional de Padronização/Comissão Eletrotécnica Internacional) 42001, a série ISO/IEC 27000 e as do NIST (NationalInstituteof Standards and Technology), ou as que vierem a sucedê-las, além das regulamentações locais aplicáveis.