Pular para o conteúdo

Política de segurança cibernética nas instituições financeiras e instituições de pagamento

BACEN 4658/2018

Nesse texto vamos explorar alguns detalhes sobre a Resolução 4658 2018 do Bacen e sobre a Resolução 3909 2018, ambas que tratam de regulações referentes a Política de segurança cibernética, a primeira para instituições financeiras e a segunda focada em instituições de pagamento. Boa leitura!

Circular 4658 2018 BACEN estabelece política de segurança cibernética para instituições financeiras

A Resolução 4658 2018 do Bacen, publicada em dia 26 de Abril de 2018, define a política de segurança cibernética e os requisitos e procedimentos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras.

As organizações deverão implementar e manter sua política de segurança cibernética planejada em conformidade com os princípios e diretrizes estabelecidos pelo BACEN, para utilização de provedores de nuvem pública em território nacional ou no exterior.

Fique atento, dia 31 de dezembro de 2021 é o prazo final para a adequação à norma 4658/2018 do BACEN. Para adequação, entre em contato com a nossa equipe de advogados.

Resolução 4658 2018 BACEN: Da Implementação da Política de Segurança Cibernética (PSC)

A Política de Segurança Cibernética deve ser estruturada de modo a ser compatível com o porte da empresa, perfil de risco e modelo de negócio da instituição, bem como a natureza das operações, complexidade dos produtos e/ou serviços, atividades e processos da organização. Adiciona-se à esses requisitos a sensibilidade dos dados e das informações sob responsabilidade da instituição.

A implementação da política de segurança cibernética deve contemplar os mecanismos para disseminação da cultura de segurança cibernética na instituição, que inclui a implementação de programas de capacitação e de avaliação periódica de pessoal, prestação de informações aos clientes e usuários sobre precauções na utilização de produtos e serviços financeiros, além do comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética.

Resolução 4658 2018 BACEN política de segurança cibernética
Circular 4658 2018 BACEN estabelece política de segurança cibernética para instituições financeiras

Do Plano de Ação e de Resposta a Incidentes

As Empresas cadastradas como Instituições Financeiras junto ao Bacen devem estabelecer plano de ação e de resposta à incidentes visando a implementação da política de segurança cibernética. De acordo com a Resolução 4658 2018 do BACEN, artigo 6:

I – as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;

II – as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética; e

III – a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Resolução 4658 2018 BACEN
Resolução 4658 2018 BACEN: Relatório anual sobre a implementação do plano de ação e respostas à incidentes

Relatório anual sobre a implementação do plano de ação e respostas à incidentes

O artigo 8 da referida norma dispõe sobre a necessidade da elaboração de um relatório com informações relacionadas à política de segurança cibernética e resumo do resultado das ações realizada na instituição financeira, bem como os incidentes ocorridos e os resultados de testes de continuidade de negócio. Esse relatório tem que ser submetido ao comitê de risco e apresentado ao conselho administrativo da empresa ou à diretoria, em caso de não existência de tal conselho. De acordo com a Resolução CMN nº 4.658/2018 do BACEN, artigo 8:

Art. 8º As instituições referidas no art. 1º devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, mencionado no art. 6º, com data-base de 31 de dezembro. § 1º O relatório de que trata o caput deve abordar, no mínimo:

I – a efetividade da implementação das ações descritas no art. 6º, parágrafo único, inciso I;

II – o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes descritos no art. 6º, parágrafo único, inciso II;

III – os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e

IV – os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes. § 2º O relatório mencionado no caput deve ser: I – submetido ao comitê de risco, quando existente; e II – apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base.

Cronograma da Resolução 4658 2018 BACEN

Fique de olho para não perder as datas de acordo com a Resolução 4658

  • 26 de abril de 2018 – Inicio de vigor da resolução
  • 26 de Outubro de 2018 – Adequação contratual de serviços
  • 6 de Maio de 2019 – Prazo máximo para a política de segurança
  • 31 de Março de 2020 – Prazo máximo para a apresentação do primeiro relatório anual
  • 31 de dezembro de 2021 – Prazo final para a adequação à norma 4.658/2018 do BACEN
4658 política de segurança cibernética
Cronograma Resolucao 4658 2018 do BACEN, que já está em vigor.

Circular 3909 2019 BACEN estabelece política de segurança cibernética para instituições de pagamento

A Circular 3.909, que está em vigor desde setembro de 2019, surgiu com o intuito de dispor sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil. Logo, seu objetivo foi o de aprimorar a política de segurança cibernética, assim como sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar.

política de segurança cibernética
Circular 3909 2019 BACEN estabelece política de segurança cibernética para instituições de pagamento

Tal política, que deverá ser instituída pelas empresas de pagamento, deve ser compatível com o porte, o perfil de risco e o modelo de negócio da instituição;natureza das atividades da instituição e a complexidade dos produtos e serviços oferecidos; e, com a sensibilidade dos dados e das informações sob responsabilidade da instituição.

Além disso, a política de segurança cibernética necessita, no mínimo, dos objetivos de segurança da instituição de pagamento, dos procedimento e controles adotados para reduzir a vulnerabilidade da instituição de pagamento a incidentes, assim como, faz-se necessário que ocorra controles específicos – englobado os voltados para a rastreabilidade da informação – o registro, a análise da causa e do impacto, controle dos efeitos de incidentes relevantes para as atividades da instituição de pagamento, dentre outros.

Quanto a divulgação da política de segurança cibernética, o artigo 4º da Circular, dispõe que: “A política de segurança cibernética deve ser divulgada aos funcionários da instituição de pagamento e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.” Já no artigo posterior, temos que as instituições de pagamento devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

Circular 3909 – Política de Segurança Cibernética e o Plano de Ação e de Resposta a Incidentes

Em relação ao Plano de Ação e de Resposta a Incidentes, o artigo 6º dispôs que as instituições de pagamento deverão estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética, os quais necessitam conter, no mínimo, ações desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética; rotinas, procedimentos, controles e tecnologias a serem utilizados na prevenção e na resposta a incidentes e área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Ficou estabelecido, também, que as instituições de pagamento devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, com data-base de 31 de dezembro, o qual deverá possuir a efetividade da implementação das ações da política, o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes, assim como os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e os resultados dos testes de continuidade dos serviços de pagamento prestados, considerando cenários de indisponibilidade ocasionada por incidentes.

Logo, esse relatório deverá ser apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base. 

Em relação à contratação de serviços de processamento e armazenamento em nuvens dos dados, assim como a computação em nuvem, ficou estabelecido no artigo 11 que: “As instituições de pagamento devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.”

As instituições de pagamento necessitarão adotar práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas; e verificar a capacidade do potencial prestador de serviço de assegurar o cumprimento da legislação e da regulamentação em vigor e do acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço, além da confidencialidade, a integridade, a disponibilidade e recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço, dentre outros.

Por fim, ressalta-se que toda e qualquer contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada pelas instituições de pagamento ao Banco Central do Brasil.

Além disso, a contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior deve observar os seguintes requisitos:

Agende uma reunião com nossos advogados para falar sobre a Resolução 4658 do Bacen
  • Existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados;
  • A instituição de pagamento contratante deve assegurar que a prestação dos serviços não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;
  • A instituição de pagamento contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
  • A instituição de pagamento contratante deve prever alternativas para a continuidade dos serviços de pagamento prestados, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.

Resolução 4658 2018 BACEN: política de segurança cibernética nas instituições financeiras

Para acessar a Integra da Resolução 4658 2018 BACEN, acesse o link.

Resolução 3909 2018 BACEN: política de segurança cibernética nas instituições de pagamento

Para acessar na íntegra a Resolução 3909 2018 BACEN, acesse o link

Precisando de auxílio jurídico? Entre em contato!

Time BL Consultoria
Time BL Consultoria
Time BL Consultoria Digital - Direito Digital e Análise Regulatória

Posts Relacionados

Fale Conosco

    Categorias

    Assine nossa Newsletter

    Open chat
    Olá, tudo bem? Como podemos te ajudar?
    Olá! Como podemos ajudar?