O Banco Central do Brasil (BCB) editou recentemente a Resolução BCB nº 85 que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo BCB.
A nova Resolução entrará em vigor em 1º de agosto de 2021.
Destacamos os principais aspectos a serem observados pelas instituições, a seguir:
DA POLÍTICA DE SEGURANÇA CIBERNÉTICA
Segundo a nova norma, as instituições de pagamento devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.
A política de segurança cibernética deve ser divulgada aos funcionários da instituição de pagamento e às empresas prestadoras de serviços a terceiros. As instituições de pagamento devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.
Deve-se estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética e, também, designar diretor responsável pela política e pela execução do plano de ação e de resposta a incidentes.
Também deverá ser elaborado relatório anual sobre a implementação do plano de ação e de resposta a incidentes, além de documentados e revisados, no mínimo, anualmente.
DA CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM
As instituições de pagamento devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.
DISPOSIÇÕES GERAIS
As instituições de pagamento devem assegurar que suas políticas previstas na estrutura de gerenciamento de riscos, nos termos da regulamentação em vigor, disponham, no tocante à continuidade dos serviços de pagamento prestados, sobre:
- I - O tratamento dos incidentes relevantes relacionados com o ambiente cibernético;
- II - Os procedimentos a serem seguidos no caso da interrupção de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada e o reestabelecimento da operação normal da instituição; e
- III - Os cenários de incidentes considerados nos testes de continuidade de serviços de pagamento prestados.
Deve-se instituir mecanismos de acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo:
- I - A definição de processos, testes e trilhas de auditoria;
- II - A definição de métricas e indicadores adequados; e
- III - A identificação e a correção de eventuais deficiências.
O BCB poderá vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução, bem como a limitação à atuação do BCB, estabelecendo prazo para a adequação dos referidos serviços e dos contratos correspondentes.
Clique em "veja o anexo" para conferir o material elaborado pelo sócio Antonio Negrão com os principais aspectos da política de segurança cibernética, da contratação dos serviços e disposições gerais que contemplam a referida norma.