Requisitos para contratação de serviços de processamento de dados e computação em nuvem por instituições financeiras

Em 26/04/18, o Banco Central do Brasil (BACEN) publicou a resolução nº 4.658, do Conselho Monetário Nacional, que institui a obrigatoriedade de implementação e manutenção de política de segurança cibernética e estabelece requisitos para contratação de serviços de processamento de dados e computação em nuvem por instituições financeiras e demais instituições autorizadas a funcionar pelo BACEN.

Até o dia 6 de maio de 2019, as instituições financeiras deverão aprovar uma política de segurança cibernética e um plano de ação e de resposta a incidentes compatíveis com o porte e modelo de negócio da instituição, a natureza e complexidade de suas operações, produtos e serviços, e a sensibilidade dos dados sob sua responsabilidade.

+JOTA: Entenda o cenário institucional com o JOTA Poder. Seguimos de perto tribunais superiores, agências reguladoras, Congresso, Poder Executivo e legislativos estaduais e municipais para reportar informações públicas de impacto. Experimente o JOTA Poder!

Como standard mínimo, a política deve contemplar procedimentos para reduzir a vulnerabilidade da instituição a incidentes, a criação de controles voltados para a rastreabilidade e segurança de dados sensíveis, a obrigatoriedade de registro e análise de incidentes relevantes, e diretrizes para execução de testes de continuidade de negócios e prevenção e tratamento de incidentes por prestadores de serviços.

Além disso, há a obrigatoriedade de disseminação da cultura de segurança cibernética, com o fomento de programas de capacitação e avaliação periódica de colaboradores da instituição financeira. A política de segurança deve ser divulgada a funcionários e prestadores de serviço com linguagem clara, acessível e adequada a funções desempenhadas e sensibilidade das informações processadas, e ao público sob a forma de um resumo com as linhas gerais da política.

O plano de ação e de resposta a incidentes deve contemplar as medidas necessárias à adequação das estruturas organizacional e operacional da instituição financeira à política de segurança, os procedimentos e tecnologias a serem utilizados na prevenção e na resposta a incidentes, e a definição da área responsável pelo registro e controle dos incidentes. Indo além, é criada a necessidade de designação de responsável que atuará como information security officer.

Tanto a política de segurança, quanto o plano de ação e de resposta a incidentes devem ser aprovados pelo conselho de administração ou diretoria, documentados e revisados ao menos anualmente, o que reforça a necessidade de comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados à segurança cibernética.

Com relação ao processamento e armazenamento de dados por terceiros e computação em nuvem, o BACEN passa a exigir que instituições financeiras comuniquem a contratação dos serviços com antecedência mínima de 60 dias. Ao prestador do serviço contratado, caberá garantir a confidencialidade, integridade e disponibilidade dos dados processados, a aderência a certificações e disposições legais, a transparência em suas atividades, a segregação dos dados de clientes da instituição financeira por meio de controles físicos ou lógicos e a qualidade de seus controles de acesso, sem afastar a responsabilidade primária da instituição financeira contratante.

Caso a contratação do serviço se dê no exterior, o BACEN deverá ser informado sobre os locais onde os serviços serão prestados e os dados processados e a existência de convênio para troca de informações entre o BACEN e as autoridades supervisoras de tais locais; caso contrário, a instituição financeira contratante deve solicitar autorização prévia do BACEN.

Os contratos de serviços de processamento de dados e de computação em nuvem vigentes deverão ser revisitados pelas instituições financeiras e, em até 180 dias contados da entrada em vigor da resolução, deverá ser apresentado ao BACEN um cronograma para adequação dos contratos vigentes às novas regras. O prazo previsto nesse cronograma não pode ultrapassar o dia 31 de dezembro de 2021.

Com a publicação da resolução nº 4.658, o BACEN começa a aproximar suas competências daquelas de uma autoridade setorial de proteção de dados, o que é justificável diante da ausência de uma lei geral brasileira de proteção de dados pessoais. Ainda que as instituições financeiras brasileiras já adotem alguns dos procedimentos e controles ora exigidos pelo BACEN, com a publicação da resolução nº 4.658, caberá uma revisão de políticas, processos e contratos sob a ótica das novas regras. Para fintechs e instituições de menor porte, a atenção no desenvolvimento de medidas para adequação de seus processos internos deve ser redobrada, sempre aliando a segurança da informação à capacidade de inovação.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.