O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 26 de abril de 2018, no seu Art, 1º aborda a resolução que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Especialmente no que se refere à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a resolução lança ao mercado financeiro os pilares para a aquisição, o uso, o controle, a responsabilidade, as restrições e a conscientização frente a um processo que cada vez mais está globalizado e requer a atenção redobrada aos riscos de segurança.
Da responsabilidade
As instituições devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos, previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.
Das melhores práticas, de olho nos riscos associados
Previamente à contratação de tais serviços, devem adotar procedimentos que contemplem a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas, inclusive:
- a capacidade do potencial prestador de serviço
- o cumprimento da legislação e da regulamentação em vigor
- o acesso da instituição aos dados e às informações a serem processadas ou armazenadas pelo prestador de serviço
- a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço
- a sua aderência às certificações exigidas pela instituição para a prestação do serviço a ser contratado
- o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente da contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados
- o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados
- a identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos
- a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição
- a criticidade do serviço e a sensibilidade dos dados e das informações a serem processadas, armazenadas e gerenciadas pelo contratado
- no caso da execução de aplicativos por meio da internet, adoção de controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo
- recursos e competências necessários para a adequada gestão dos serviços a serem contratados
Da abrangência
Os serviços de computação em nuvem abrangem aqueles contratados sob demanda e de maneira virtual, tais como:
- processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos
- implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços
- execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços
Muita atenção: o contratante dos serviços é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.
Da publicidade
A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser previamente comunicada pelas instituições referidas na resolução no seu art. 1º ao Banco Central do Brasil.
Nesta comunicação deve conter: a denominação da empresa a ser contratada, os serviços a serem contratados e a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e nos quais os dados poderão ser armazenados, processados e gerenciados, no caso de contratação no exterior.
Atenção ao prazo pois a resolução define que a comunicação dever ser realizada, no mínimo, com 60 dias antes da contratação dos serviços.
Sendo a contratação de serviços de processamento, armazenamento de dados e de computação em nuvem prestados no exterior, fique atento, pois precisará verificar: a existência de convênio para troca de informações, se existe algum risco e/ou prejuízo e/ou embaraço à atuação do BACEN, a localidade da prestação do serviço e alternativas para continuidade dos negócios.
Caso contrário, ou seja, na não existência de convênio, solicite autorização junto ao BACEN observando os prazos estabelecidos e requisitos obrigatórios de contratação.
Da segurança
Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever: onde o serviço será prestado, a adoção de medidas de segurança para a transmissão e armazenamento dos dados, a manutenção enquanto o contrato estiver vigente e a segregação dos dados e dos controles de acesso para proteção das informações dos clientes.
Para efeito de acompanhamento, periodicamente e/ou sob demanda, fornecer informações relativas às certificações e aos relatórios de auditoria especializada, informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados, notificar a instituição contratante sobre a subcontratação de serviços relevantes para a instituição e permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações.
A empresa contratada deve manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.
Do prazo para adequação
As instituições atendidas por esta resolução e que já tiverem contratado a prestação de tais serviços devem apresentar ao Banco Central do Brasil – no prazo máximo de 180 dias contados a partir da data de entrada em vigor da resolução – cronograma para adequação. Consulte os requisitos mínimos. A adequação não poderá ultrapassar 31 de dezembro de 2021.