Governança

Ξ Deixe um comentário

O impacto da Circular 3.909 BACEN nas Instituições de pagamento

publicado por Cristiano Pimenta

Entrou em vigor no dia 1º de setembro de 2019, a Circular 3.909 BACEN de 16 de agosto de 2018, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.

A iniciativa, complementa uma visão de gerenciamento de riscos, incluindo com maior profundidade o risco operacional, pois agora estabelece requisitos específicos de segurança cibernética para as instituições de pagamento, essas instituições, que em geral utilizam intensamente soluções eletrônicas de pagamento, operadas majoritariamente por meio de canais remotos de acesso, é especialmente relevante a adoção de controles e sistemas voltados especificamente à resiliência em virtude de ataques cibernéticos.

Os aspectos centrais desta Circular BACEN, alcança diretamente às instituições de pagamentos, requerendo uma postura de estratégia, planejamento, implementação de ações consistentes e monitoramento continuo, suportados por diretrizes e princípios que assegurarem a confidencialidade, a integridade e disponibilidade dos dados e dos sistemas de informação utilizados.

As instituições de pagamento devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.

Procedimentos devem estar aderentes às melhores práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas, para isso contemplar a verificação da capacidade do potencial prestador de serviço de assegurar, cumprimento da legislação e da regulamentação em vigor.

A gestão dos acessos da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço, a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço, a sua conformidade com a certificações exigidas pela instituição para a prestação do serviço a ser contratado, são fatores que também devem ser considerados.

Vale observar que a instituição de pagamento deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões de aplicativos e que a prestação dos serviços não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil.

É relevante avaliar e garantir que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso das instituições de pagamento contratantes e do Banco Central do Brasil aos dados e às informações. Sem dúvidas, temas como armazenamento, processamento, gerenciamento, medidas de segurança, transferência de dados, exclusão dos dados

Na visão prática, o que precisa ser feito e quais as ações na linha do tempo devem estar no radar dos executivos das instituições de meios de pagamento.

  • Adotar uma estratégia com visão de segurança para o negócio e compreender que com base na regulação, estará suscetível a auditorias.
  • Aplicar os esforços necessários para não afetar os resultados, pois o BACEN poderá emitir vetos e/ou imposições restritivas para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
  • Ter comprometimento com o cronograma estipulado na Circular, que define objetivamente os marcos de controle, a saber:
  • Noventa dias após a entrada em vigor da Circular, ou seja, até 01 de dezembro de 2019, deve-se aprovar a política de segurança cibernética e do plano de ação e de resposta a incidentes.
  • O plano de adequação não pode ultrapassar 31 de dezembro de 2021, incorrendo o risco de penalidades.

Afastar a hipótese de que todo o esforço é meramente escrever e publicar uma política, ao contrário, pois: requer envolvimento da alta direção, objetivos bem definidos, procedimentos e controles para redução de vulnerabilidades, rastreabilidade da informação no seu ciclo de vida, registros de causa e impacto quando afetado por incidentes, diretrizes de prevenção, identificação, tratamento e monitoração de incidentes, implementação de cultura de segurança, capacitação do pessoal e avaliação periódica, revisão de contratos com requisitos de segurança e prestação de informações ao BACEN.

Por fim, devendo ficar à disposição do BACEN pelo prazo de cinco anos: documentos relativos à política de segurança cibernética, a ata de reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição, o documento relativo ao plano de ação e de resposta a incidentes, o relatório anual, a documentação sobre os procedimentos, a documentação no caso de serviços prestados no exterior, os contratos conforme o período de guarda definido e os dados, os registros e as informações de acompanhamento e de controle a partir da implementação.

Autor

Cristiano Pimenta, CISM - Certified Information Security Manager, MBA em Serviços de Telecomunicações - UFF/RJ, Pós-graduação em Gestão - Fundação Dom Cabral/MG, Master en Dirección de Recursos Humanos, Desarrollo Digital de Talento – IEP/Madri, Graduação em Tecnologia da Informação – UNISUL/SC.

Cristiano Pimenta

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes