BANCO CENTRAL APROVA NOVAS REGRAS DE SEGURANÇA CIBERNÉTICA
Em 26.4.2018, o Conselho Monetário Nacional aprovou a Resolução nº 4.658/2018 que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Como reflexo dos atuais escândalos envolvendo a troca de dados e informações, a Resolução 4.658/2018 determina que as instituições autorizadas a funcionar pelo Banco Central deverão implementar e manter uma política de segurança cibernética formulada com base em princípios e diretrizes, cujo finalidade seja assegurar a confidencialidade, a integridade e a disponibilidade dos dados dos sistemas de informação utilizados.
Esta política deverá ser compatível com os riscos decorrentes das atividades exercidas pela instituição, e contemplar ao menos: os seus objetivos de segurança cibernética; os procedimentos e os controles gerais e específicos para redução de vulnerabilidade, incluindo os voltados para a rastreabilidade da informação.
Ademais, a política deverá contemplar mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo: a implementação de programas de capacitação e de avaliação periódica de pessoal; e a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; devendo mencionar, ainda, as iniciativas para o compartilhamento de informações sobre os incidentes relevantes com as demais instituições já mencionadas.
As políticas, estratégias e estruturas para gerenciamento de riscos, devem observar a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior. Estes serviços devem ao menos abranger um dos seguintes serviços: (i) processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos; (ii) implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou (iii) execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.
Assim, visando a integridade da segurança cibernética, a política deverá ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, por meio de linguagem clara, acessível e em grau de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
É importante salientar que a instituição deverá divulgar a política ao público por meio de resumo contendo as linhas gerais.
Além disso, as instituições devem assegurar a continuidade dos serviços prestados, notificando o Banco Central sobre a ocorrência de incidentes, de forma a tentar mitigar seus efeitos.
As empresas que já contrataram esses tipos de serviços deverão apresentar ao Banco Central, em prazo de no máximo 180 (cento e oitenta) dias, um cronograma de adequação a essa Resolução nº 4.658/2018.
A equipe de Direito Digital do Kestener, Granja & Vieira Advogados permanece à disposição para fornecer os esclarecimentos adicionais julgados necessários.
Fabio Alonso Vieira
Tel.: +55 11 3149-6111
fabio.vieira@kgvlaw.com.br
Este material tem caráter meramente informativo e não deve ser utilizado isoladamente para a tomada de decisões. Aconselhamento legal específico poderá ser prestado por um dos nossos advogados. Direitos autorais são reservados ao Kestener, Granja & Vieira Advogados.
