O Banco Central do Brasil (Bacen) recebe até 21 de novembro comentários à proposta de resolução sobre a implementação de política de segurança cibernética por parte das instituições financeiras e demais instituições autorizadas. Publicado em 19 de setembro, o Edital de Consulta Pública nº 57/2017 também aborda os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

A regra é uma resposta ao cenário de crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro, que demanda das instituições controles e sistemas de segurança cada vez mais robustos.

A proposta de resolução prevê que a política de segurança cibernética deverá ser compatível com (i) o porte, o perfil de risco e o modelo de negócio da instituição; (ii) a natureza das operações e a complexidade dos produtos, serviços, atividades e processos da instituição; e (iii) a sensibilidade dos dados e das informações sob responsabilidade da instituição. Tal política deverá incluir os objetivos de segurança cibernética da instituição e os controles específicos e tecnologias adotadas para reduzir a vulnerabilidade a incidentes e para garantir a rastreabilidade e segurança das informações dos clientes.

Além disso, o texto prevê que as instituições deverão estabelecer um plano de ação e de resposta a incidentes, com as ações, as rotinas, os procedimentos, os controles e as tecnologias a serem desenvolvidas tanto para adequar a estrutura organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética como para prevenir e responder a incidentes.

A instituição deverá designar um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes, além de elaborar relatório anual sobre sua implementação.

Com relação à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a resolução em consulta pública prevê que as instituições deverão adotar práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas. Deverão também assegurar: (i) a capacidade do contratado de identificar e segregar dados dos clientes da instituição contratante usando controles físicos ou lógicos; e (ii) a qualidade dos controles de acesso adotados pela empresa contratada para proteger os dados e as informações dos clientes da instituição contratante.

Além disso, as instituições deverão exigir que o contratado assegure o acesso aos dados e informações por ele processados ou armazenados, bem como a confidencialidade, integridade, disponibilidade e recuperação desses dados e informações.

O Bacen propõe também que os contratos para prestação de serviços de processamento, armazenamento de dados e computação em nuvem prevejam um conteúdo mínimo obrigatório, o qual inclui: (i) a indicação do local das instalações onde os serviços serão prestados e os dados serão armazenados, processados e gerenciados; (ii) a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes; (iii) a necessidade de anuência da instituição contratante para subcontratação de serviços por parte da empresa contratada; e (iv) a manutenção, no Brasil, das cópias de segurança dos dados e informações armazenados pela empresa contratada, bem como das informações sobre os seus processamentos.

A proposta de resolução veda a contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior. Prevê também que, sem prejuízo do dever de sigilo e da livre concorrência, as instituições devem desenvolver iniciativas para compartilhar informações sobre incidentes relevantes. Tal iniciativa deverá abranger informações recebidas de empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades da instituição. O Bacen deverá ter acesso às informações compartilhadas.

Deverão ficar à disposição do Bacen pelo prazo de cinco anos: (i) a política de segurança cibernética; (ii) o plano de ação e de resposta a incidentes; (iii) o relatório anual de implementação do plano de ação e de resposta a incidentes; (iv) os contratos de serviços relevantes de processamento, armazenamento de dados e computação em nuvem, contado o prazo a partir da extinção do contrato; e (v) os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

Os interessados poderão acessar o edital no site do Bacen (www.bcb.gov.br) e enviar sugestões e comentários por meio (i) do link contido no edital publicado no endereço eletrônico do Bacen; (ii) do e-mail denorEste endereço de email está sendo protegido de spambots. Você precisa do JavaScript ativado para vê-lo.; ou (iii) de correspondência dirigida ao Departamento de Regulação do Sistema Financeiro (Denor), 9º andar, SBS, Quadra 3, Bloco B, Edifício Sede, Brasília (DF), CEP 70074-900.