O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 26 de abril de 2018, no seu Art, 1º aborda a resolução que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Especialmente no que se refere à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a resolução lança ao mercado financeiro os pilares para a aquisição, o uso, o controle, a responsabilidade, as restrições e a conscientização frente a um processo que cada vez mais está globalizado e requer a atenção redobrada aos riscos de segurança.
As instituições devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos, previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.
Previamente à contratação de tais serviços, devem adotar procedimentos que contemplem a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas, inclusive:
Os serviços de computação em nuvem abrangem aqueles contratados sob demanda e de maneira virtual, tais como:
Muita atenção: o contratante dos serviços é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.
A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser previamente comunicada pelas instituições referidas na resolução no seu art. 1º ao Banco Central do Brasil.
Nesta comunicação deve conter: a denominação da empresa a ser contratada, os serviços a serem contratados e a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e nos quais os dados poderão ser armazenados, processados e gerenciados, no caso de contratação no exterior.
Atenção ao prazo pois a resolução define que a comunicação dever ser realizada, no mínimo, com 60 dias antes da contratação dos serviços.
Sendo a contratação de serviços de processamento, armazenamento de dados e de computação em nuvem prestados no exterior, fique atento, pois precisará verificar: a existência de convênio para troca de informações, se existe algum risco e/ou prejuízo e/ou embaraço à atuação do BACEN, a localidade da prestação do serviço e alternativas para continuidade dos negócios.
Caso contrário, ou seja, na não existência de convênio, solicite autorização junto ao BACEN observando os prazos estabelecidos e requisitos obrigatórios de contratação.
Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever: onde o serviço será prestado, a adoção de medidas de segurança para a transmissão e armazenamento dos dados, a manutenção enquanto o contrato estiver vigente e a segregação dos dados e dos controles de acesso para proteção das informações dos clientes.
Para efeito de acompanhamento, periodicamente e/ou sob demanda, fornecer informações relativas às certificações e aos relatórios de auditoria especializada, informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados, notificar a instituição contratante sobre a subcontratação de serviços relevantes para a instituição e permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações.
A empresa contratada deve manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.
As instituições atendidas por esta resolução e que já tiverem contratado a prestação de tais serviços devem apresentar ao Banco Central do Brasil – no prazo máximo de 180 dias contados a partir da data de entrada em vigor da resolução – cronograma para adequação. Consulte os requisitos mínimos. A adequação não poderá ultrapassar 31 de dezembro de 2021.
Cristiano Pimenta, Máster en Dirección em Recursos Humanos y Desarrollo Digital de Talento– IEP/Madri, possui MBA em Serviços de Telecomunicações – UFF/RJ, Pós-graduação em Gestão – ênfase Pessoas / Fundação Dom Cabral, Graduação em Tecnologia da Informação – UNISUL/SC. É CoFundador da CyberPeople – www.cyberpeople.com.br. Sua trajetória profissional ao longo de mais de 20 anos de experiência, inclui atuações de liderança na Arcon/Nec Soluções de Segurança Cibernética, Telemig Celular, Amazônia Celular e Vivo | Telefônica. Módulo Security, Microsiga, RM Sistemas, Petrobras. Foi executivo responsável por de diversas áreas, tais como: Delivery de IT Security , Operações de IT Security, Recursos Corporativos (Recursos Humanos, Tecnologia da Informação, Qualidade & Processos, Sistemas), Produtos & Alianças, GRC, Segurança da Informação, PMO, SOC - Security Operation Center, Consultoria em Segurança da Informação.
You must be logged in to post a comment.
