Computação em nuvem

Resolução 4658 e 4893: Computação em nuvem para o setor financeiro

Em abril de 2018 entrou em vigor a resolução n° 4658 do Banco Central, a primeira formalização de processos e regulamentações específica sobre serviços em nuvem para o setor financeiro. Substituída em 2021 pela resolução n° 4893, não recebeu muitas atualizações sobre o objetivo principal da regulamentação, mas afinal quais são os seus principais pontos?

Com o objetivo de formalizar o que eram consideradas boas práticas no mercado, o Bacen estabeleceu requisitos para a contratação de serviços em nuvem, exigiu um plano de ação a respostas a incidentes, a definição de uma gestão de continuidade do negócio e uma adoção de políticas de segurança para todas as instituições financeiras que funcionam sob sua autorização.

Baseada em padrões internacionais de cibersegurança como a ISO 27000 e ISO 22301, as resoluções estabelecem as exigências para as instituições financeiras e quaisquer outras empresas autorizadas a funcionar pelo Banco Central, bem como para os prestadores de serviços que tratam dados, informações sensíveis ou informações relevantes para execução das atividades dessas instituições.

Essa Política de Segurança Cibernética que deve ser estruturada nas organizações deve ser compatível com o porte da empresa, perfil de risco e modelo de negócio, bem como a natureza das operações, complexidade dos produtos e/ou serviços, atividades e processos da organização, porém os pontos principais devem ser comum a todas, tais como:

  • Definir, implementar, divulgar e manter uma política de segurança cibernética a partir de princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizado;
  • Definir medidas necessárias para a prevenção de vazamento de dados ou incidentes relacionados;
  • Estabelecer um plano de ação caso ocorra algum incidente de segurança;
  • Determinar técnicas de gestão de risco e monitoramento de recursos;
  • Assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos especifiquem critérios de decisão e sigam requisitos do regulador quanto à contratação de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior;
  • O contrato entre instituição financeira e prestador de serviços em nuvem terá cláusulas mínimas e estabelecerá adoção de procedimentos que englobem práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas;
  • É necessário o registro, análise da causa e dos impactos e controle dos efeitos de quaisquer incidentes ocorridos relacionados à segurança cibernética e da informação;
  • É preciso instituir uma classificação dos dados e das informações de acordo com a relevância;
  • Determinar um diretor responsável pela política e também pela execução do plano de ação, assim como estabelecer qual é a área responsável pelo registro e pelo controle dos efeitos de incidentes relevantes que vierem a ocorrer;
  • Anualmente, a instituição financeira deve organizar um relatório sobre a implementação de tal plano constando a efetividade das ações implementadas como resposta aos incidentes ocorridos; um resumo dos resultados obtidos com a implementação dos procedimentos, rotinas, controles e tecnologias determinadas como medidas de prevenção e de resposta a incidentes; todos os incidentes relacionados ao ambiente cibernético ocorridos no período; os resultados dos testes de continuidade de negócios, considerando os incidentes que levaram a situações de indisponibilidade;
  • A resolução exige também que, “sem prejuízo do dever de sigilo e da livre concorrência”, as instituições financeiras “devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes”.

É importante destacar que, no que diz respeito aos procedimentos e controles de segurança cibernética exigidos pela Resolução, o Bacen entende que eles devem incluir, no mínimo autenticação; criptografia; prevenção e detecção de intrusão; prevenção de vazamento de informações; realização periódica de testes e varreduras para detecção de vulnerabilidades; proteção contra softwares maliciosos; mecanismos de rastreabilidade; controles de acesso e de segmentação da rede de computadores; manutenção de cópias de segurança dos dados e das informações.

Exige-se ainda que toda a documentação referente aos temas tratados na resolução — incluindo a política de segurança cibernética, o plano de ação e de resposta a incidentes, o relatório anual, os contratos, os requisitos e procedimentos para compartilhamento de informações — devem estar disponíveis ao Banco Central por um período de cinco anos.

De acordo com a nova resolução 4893, a contratação de quaisquer serviços terceirizados de armazenamento e processamento de dados e de computação em nuvem deve ser comunicado ao Bacen até dez após a contratação dos serviços, e caso o Banco Central identifique que o fornecedor apontado não opera em compliance com a regulamentação, o órgão pode vetar a contratação.

O prazo final para adequação das instituições às normas é 31 de dezembro de 2021.