Cloud Computing

Ξ Deixe um comentário

Resolução nº 4.658 do BACEN: contratação de serviços de processamento e armazenamento de dados e de Computação em Nuvem

publicado por Cristiano Pimenta

Figura - Resolução nº 4.658 do BACEN: contratação de serviços de processamento e armazenamento de dados e de Computação em NuvemO Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 26 de abril de 2018, no seu Art, 1º aborda a resolução que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Especialmente no que se refere à contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, a resolução lança ao mercado financeiro os pilares para a aquisição, o uso, o controle, a responsabilidade, as restrições e a conscientização frente a um processo que cada vez mais está globalizado e requer a atenção redobrada aos riscos de segurança.

Da responsabilidade

As instituições devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos, previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.

Das melhores práticas, de olho nos riscos associados

Previamente à contratação de tais serviços, devem adotar procedimentos que contemplem a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas, inclusive:

  • a capacidade do potencial prestador de serviço
  • o cumprimento da legislação e da regulamentação em vigor
  • o acesso da instituição aos dados e às informações a serem processadas ou armazenadas pelo prestador de serviço
  • a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço
  • a sua aderência às certificações exigidas pela instituição para a prestação do serviço a ser contratado
  • o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente da contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados
  • o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados
  • a identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos
  • a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição
  • a criticidade do serviço e a sensibilidade dos dados e das informações a serem processadas, armazenadas e gerenciadas pelo contratado
  • no caso da execução de aplicativos por meio da internet, adoção de controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo
  • recursos e competências necessários para a adequada gestão dos serviços a serem contratados

Da abrangência

Os serviços de computação em nuvem abrangem aqueles contratados sob demanda e de maneira virtual, tais como:

  • processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos
  • implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços
  • execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços

Muita atenção: o contratante dos serviços é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.

Da publicidade

A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser previamente comunicada pelas instituições referidas na resolução no seu art. 1º ao Banco Central do Brasil.

Nesta comunicação deve conter: a denominação da empresa a ser contratada, os serviços a serem contratados e a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e nos quais os dados poderão ser armazenados, processados e gerenciados, no caso de contratação no exterior.

Atenção ao prazo pois a resolução define que a comunicação dever ser realizada, no mínimo, com 60 dias antes da contratação dos serviços.

Sendo a contratação de serviços de processamento, armazenamento de dados e de computação em nuvem prestados no exterior, fique atento, pois precisará verificar: a existência de convênio para troca de informações, se existe algum risco e/ou prejuízo e/ou embaraço à atuação do BACEN, a localidade da prestação do serviço e alternativas para continuidade dos negócios.

Caso contrário, ou seja, na não existência de convênio, solicite autorização junto ao BACEN observando os prazos estabelecidos e requisitos obrigatórios de contratação.

Da segurança

Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever: onde o serviço será prestado, a adoção de medidas de segurança para a transmissão e armazenamento dos dados, a manutenção enquanto o contrato estiver vigente e a segregação dos dados e dos controles de acesso para proteção das informações dos clientes.

Para efeito de acompanhamento, periodicamente e/ou sob demanda, fornecer informações relativas às certificações e aos relatórios de auditoria especializada, informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados, notificar a instituição contratante sobre a subcontratação de serviços relevantes para a instituição e permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações.

A empresa contratada deve manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

Do prazo para adequação

As instituições atendidas por esta resolução e que já tiverem contratado a prestação de tais serviços devem apresentar ao Banco Central do Brasil – no prazo máximo de 180 dias contados a partir da data de entrada em vigor da resolução – cronograma para adequação. Consulte os requisitos mínimos. A adequação não poderá ultrapassar 31 de dezembro de 2021.

  •  
    6
    Shares
  • 6
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Cristiano Pimenta é diretor de Serviços da ARCON, empresa especializada em Serviços Gerenciados de Segurança de Tecnologia da Informação. Sua trajetória profissional ao longo de 20 anos de experiência em segurança da informação, tecnologia da informação e recursos humanos, inclui atuações de liderança na Módulo Security, Telemig Celular, Amazônia Celular e Vivo | Telefônica.

Cristiano Pimenta

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Facebook

Facebook By Weblizar Powered By Weblizar

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.