Comando para Ignorar Faixa de Opções
Ir para o conteúdo principal
Logon
Navegar para Cima

CMN Edita Resolução que Exige a Implementação de Política de Segurança Cibernética por Instituições Financeiras

Elapsed=00:00:00.0983100

03/05/2018 00:00 Demarest News

CMN Edita Resolução que Exige a Implementação de Política de Segurança Cibernética por Instituições Financeiras

A Resolução nº 4.658 do Conselho Monetário Nacional, publicada na última quinta-feira, 26 de abril de 2018, exige a implementação de política de segurança cibernética por instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central, bem como dispõe sobre os requisitos para contratação, por essas instituições, de serviços de processamento e armazenamento de dados e de computação em nuvem.

A Resolução também dispõe sobre a necessidade de estabelecimento de um plano de ação para adequação de suas estruturas organizacionais aos princípios e diretrizes da política, e de prevenção e resposta a incidentes.

Tal iniciativa vem em resposta ao aumento exponencial do uso de meios eletrônicos e de inovações tecnológicas no setor financeiro, o que exige que as instituições atuantes nesse segmento possuam controles e sistemas de segurança robustos e sólidos, principalmente no que se refere à resiliência a ataques cibernéticos.

Antes da edição da Resolução nº 4.658, não havia norma que versava, especificamente, sobre segurança cibernética no ambiente financeiro. Até então, iniciativas envolvendo tecnologia da informação eram tratadas na modalidade de gerenciamento de risco operacional, a partir das diretrizes contidas na Resolução nº 3.380, de junho de 2006, posteriormente substituída pela Resolução nº 4.557, de fevereiro de 2017.

Com o advento da Resolução nº 4.658 confere-se a devida atenção às estruturas organizacionais responsáveis pela manutenção e gerenciamento de informações dentro das instituições, de maneira a trazer maior segurança não apenas a clientes e consumidores em geral, mas também ao próprio sistema financeiro como um todo.

A norma se divide em duas partes principais: (i) uma que trata da política de segurança cibernética, subdividida entre implementação, divulgação e plano de ação e resposta a incidentes; e (ii) outra que dispõe sobre a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

No tocante à política de segurança cibernética, esta deve ser adequada a fatores como porte e modelo de negócio da instituição, natureza das operações, complexidade dos produtos e a sensibilidade dos dados em questão. Em linhas gerais, a política deverá estabelecer como um de seus objetivos a capacidade de a instituição prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

A Resolução ainda prevê a necessidade de divulgação da política não somente aos funcionários da instituição, mas também ao público em geral.

Outra novidade diz respeito à instituição de um plano de ação e resposta a incidentes. Este deve disciplinar as medidas a serem desenvolvidas pelas instituições financeiras de modo a se adequarem aos princípios e diretrizes da política de segurança cibernética, bem como abranger as rotinas, procedimentos, controles e tecnologias destinados à prevenção e resposta a incidentes.

Como responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes, as instituições devem designar um diretor, que poderá exercer outras atividades desde que não haja conflito de interesses com a função para a qual foi designado.

A norma também estabelece a obrigatoriedade de elaboração de um relatório anual versando sobre a implementação do plano, abordando questões como a efetividade da implementação, resumo dos resultados, incidentes relevantes relacionados ao ambiente cibernético e os resultados dos testes de continuidade de negócios.

A política de segurança cibernética e o plano de ação devem ser aprovados pelo Conselho de Administração da instituição ou, na sua inexistência, pela Diretoria, devendo ser documentados e revisados, no mínimo, anualmente.

Em relação à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, a Resolução estabelece que as instituições devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos, especificamente no que se refere aos critérios de decisão quanto à terceirização, contemplem a contratação desses serviços, no País ou no exterior. Cabe destacar que a norma é taxativa ao imputar, à instituição contratante, a responsabilidade pela confiabilidade, integridade, disponibilidade, segurança e sigilo em relação aos serviços contratados.

A contratação de serviços deverá ser comunicada ao Banco Central com antecedência mínima de sessenta dias da efetiva contratação. Para casos de contratação no exterior, devem ser observados os seguintes requisitos: (i) existência de convênio para troca de informações entre o Banco Central e as autoridades supervisoras dos países onde os serviços poderão ser prestados (ou, inexistindo convênio, solicitar autorização do Banco Central); (ii) a instituição contratante deve assegurar que a prestação dos serviços não causará prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central; (iii) a instituição deve definir previamente os países e regiões onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e (iv) a instituição contratante deve prever alternativas para a continuidade dos negócios no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços. É responsabilidade das instituições assegurar que a legislação e regulamentação nos países em que os serviços serão prestados e os dados armazenados não restrigem nem impedem o acesso das contratantes e do Banco Central aos dados e às informações.

A Resolução, ainda, enumerou determinadas matérias que devem constar dos contratos de prestação de serviços de processamento, armazenamento de dados e computação em nuvem.

Imporante mencionar que as disposições acima não se aplicam à contratação de sistemas operados por câmaras, prestadores de serviços de compensação e de liquidação ou por entidades que exerçam atividades de registro ou de depósito centralizado.

A área Bancária e de Reestruturação do Demarest acompanha atentamente os desdobramentos regulatórios desse tema, permanecendo à disposição para prestar assessoria e esclarecer quaisquer dúvidas sobre este assunto e outros relevantes relativos à segurança cibernética no ambiente financeiro.

Demarest Advogados


Publicações Relacionadas

Cadastre-se para receber a newsletter

Skip Navigation LinksCMN-edita-resolução-exige-implementacao-politica-seguranca-cibernetica-instituicoes-financeiras