by ffclavis
Bookmark

[Artigo] Resolução BACEN CMN 4.893 – Entenda os principais pontos – Segurança Cibernética e a Proteção de seus Dados

resolução bacen banco central do brasil

O Banco Central do Brasil (BACEN) demonstrou o seu compromisso com a segurança cibernética e a proteção de seus dados quando apresentou sua nova resolução. A resolução BACEN CMN nº 4893 de 26 de fevereiro de 2021 dispõe sobre a estruturação da política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil (BACEN).

Esta Resolução entrará em vigor a partir de 1º de julho de 2021 e revoga as Resoluções nº 4658:2018 e 4752:2019 que abordavam o mesmo tema. A Política de Segurança Cibernética e o Plano de Ação e de Resposta a Incidentes são tratados na Resolução nº 4893 que mantém requisitos a respeito de sua elaboração e divulgação.

Os Principais Pontos da Nova Resolução:

Criação de uma política de segurança cibernética. Este documento deve possuir minimamente os objetivos da instituição relacionados ao tema, os procedimentos e controles adotados para reduzir a vulnerabilidade a incidentes, os controles específicos que buscam garantir a segurança das informações e orientações para o correto registro, análise e impacto, bem como tratamento adequado de incidentes relevantes para as atividades da instituição.

Imprescindibilidade de que a instituição possua métodos (procedimentos e controles) capazes de reduzir o nível de exposição a incidentes. Tais métodos devem abranger no mínimo: a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança (backup) dos dados e das informações.

Composição de um relatório anual sobre a execução do plano de ação e de resposta a incidentes, contendo incidentes ocorridos no período e resultado de testes de continuidade, considerando cenários de indisponibilidade. É essencial que esse relatório seja apresentado ao conselho de administração ou a diretoria da instituição até 31 de março do ano seguinte ao da data-base.

Necessidade de uma área específica para o registro e controle dos efeitos de incidentes relevantes e um processo estabelecido onde ocorram a identificação da causa e impacto, bem como a elaboração e acompanhamento dos planos de resposta aos incidentes;

Nota: A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser revisados anualmente e aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição.

Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem

A nova Resolução atualiza os requisitos relacionados a Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem. As instituições autorizadas a funcionar pelo Banco Central do Brasil (BACEN) devem obrigatoriamente:

Assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos contemplem a contratação deste tipo de serviço no País ou no exterior;

Apresentar e documentar práticas de governança e procedimentos que contemplem antes da contratação a verificação de capacidade da empresa prestadora de serviço e aderência as exigências da instituição e da regulamentação em vigor, considerando a criticidade de serviço e a sensibilidade dos dados;

Se responsabilizar pela confiabilidade, integridade, disponibilidade em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor;

Comunicar ao Banco Central do Brasil (BACEN) a contratação ou atualização contratual de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem. Essa comunicação deve ser realizada com o prazo de até dez dias após a contratação dos serviços ou atualização contratual e conter a denominação da empresa contratada, o detalhamento dos serviços contratados, a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados que serão armazenados, processados e gerenciados;

A contratação dos serviços prestados no exterior deve adotar os seguintes requisitos:

Continuidade de negócio caso impossibilidade da prestação de serviço;

Definição previamente estabelecida a contratação de países e regiões onde os dados serão armazenados, gerenciados e processados;

Existência de convênio entre o Banco Central do Brasil (BACEN) com autoridades dos países. Não havendo convênio, é necessário solicitar uma autorização do Banco Central do Brasil (BACEN) no mínimo 60 (sessenta) dias antes da contratação ou atualização de contrato já existente;

Medidas para garantir a segurança da transmissão e armazenamento da informação.

Vale ressaltar que, Instituições que já haviam contratado serviços de processamento e armazenamento de dados e de computação em nuvem, em 26 de abril de 2018, devem adequar os contratos firmados com seus prestadores de serviços até 31 de dezembro de 2021.

Conclusão

O motivo que constituiu a revisão e os pontos relevantes modificados, que não alteram a essência da norma, apenas atualizam os dispositivos e elementos de comando obsoletos, com aprimoramentos pontuais e levando em conta a colaboração de unidades de fiscalização do BACEN.

Em tese, foram feitas pequenas alterações que complementaram o que estava disposto nas  Resoluções nº 4658:2018 e 4752:2019 podendo ser considerada uma resposta a questionamentos que as instituições realizaram anteriormente.