Banco Central E As Novas Regras Relacionadas A Segurança Cibernética

Requisitos para contratação de serviços de processamento de dados e computação em nuvem por instituições financeiras

Em 26/04/18, o Banco Central do Brasil (BACEN) publicou a resolução nº 4.658, do Conselho Monetário Nacional, que institui a obrigatoriedade de implementação e manutenção de política de segurança cibernética e estabelece requisitos para contratação de serviços de processamento de dados e computação em nuvem por instituições financeiras e demais instituições autorizadas a funcionar pelo BACEN.

Até o dia 6 de maio de 2019, as instituições financeiras deverão aprovar uma política de segurança cibernética e um plano de ação e de resposta a incidentes compatíveis com o porte e modelo de negócio da instituição, a natureza e complexidade de suas operações, produtos e serviços, e a sensibilidade dos dados sob sua responsabilidade.

+JOTA: Entenda o cenário institucional com o JOTA Poder. Seguimos de perto tribunais superiores, agências reguladoras, Congresso, Poder Executivo e legislativos estaduais e municipais para reportar informações públicas de impacto. Experimente o JOTA Poder!

Como standard mínimo, a política deve contemplar procedimentos para reduzir a vulnerabilidade da instituição a incidentes, a criação de controles voltados para a rastreabilidade e segurança de dados sensíveis, a obrigatoriedade de registro e análise de incidentes relevantes, e diretrizes para execução de testes de continuidade de negócios e prevenção e tratamento de incidentes por prestadores de serviços.

Além disso, há a obrigatoriedade de disseminação da cultura de segurança cibernética, com o fomento de programas de capacitação e avaliação periódica de colaboradores da instituição financeira. A política de segurança deve ser divulgada a funcionários e prestadores de serviço com linguagem clara, acessível e adequada a funções desempenhadas e sensibilidade das informações processadas, e ao público sob a forma de um resumo com as linhas gerais da política.

O plano de ação e de resposta a incidentes deve contemplar as medidas necessárias à adequação das estruturas organizacional e operacional da instituição financeira à política de segurança, os procedimentos e tecnologias a serem utilizados na prevenção e na resposta a incidentes, e a definição da área responsável pelo registro e controle dos incidentes. Indo além, é criada a necessidade de designação de responsável que atuará como information security officer.

Tanto a política de segurança, quanto o...