Resolução BACEN CMN 4.893 – Segurança Cibernética e a Proteção de Dados

O Banco Central do Brasil (BACEN) apresentou em Fevereiro de 2021 sua nova resolução que demonstra o seu compromisso com a segurança cibernética e a proteção de seus dados.

O prazo para adequação se aproxima e é importante que todos os seus prestadores de serviços se adequem.

A resolução BACEN CMN nº 4893 de 26 de fevereiro de 2021 dispõe sobre a estruturação da política de segurança cibernética e principalmente sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil (BACEN).

Esta Resolução entrará em vigor a partir de 1º de julho de 2021 e revoga as Resoluções nº 4658:2018 e 4752:2019 que abordavam o mesmo tema.

A Política de Segurança Cibernética e o Plano de Ação e de Resposta a Incidentes são tratados na Resolução nº 4893 que mantém requisitos a respeito de sua elaboração e divulgação.

Os Principais Pontos da Nova Resolução:

• Criação de uma política de segurança cibernética. Este documento deve possuir minimamente os objetivos da instituição relacionados ao tema, os procedimentos e controles adotados para reduzir a vulnerabilidade a incidentes, os controles específicos que buscam garantir a segurança das informações e orientações para o correto registro, análise e impacto, bem como tratamento adequado de incidentes relevantes para as atividades da instituição.

• Imprescindibilidade de que a instituição possua métodos (procedimentos e controles) capazes de reduzir o nível de exposição a incidentes. Tais métodos devem abranger no mínimo: a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança (backup) dos dados e das informações.

• Composição de um relatório anual sobre a execução do plano de ação e de resposta a incidentes, contendo incidentes ocorridos no período e resultado de testes de continuidade, considerando cenários de indisponibilidade. É essencial que esse relatório seja apresentado ao conselho de administração ou a diretoria da instituição até 31 de março do ano seguinte ao da data-base.

• Necessidade de uma área específica para o registro e controle dos efeitos de incidentes relevantes e um processo estabelecido onde ocorram a identificação da causa e impacto, bem como a elaboração e acompanhamento dos planos de resposta aos incidentes;

Nota: A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser revisados anualmente e aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição.

Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem

A nova Resolução atualiza os requisitos relacionados a Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem. As instituições autorizadas a funcionar pelo Banco Central do Brasil (BACEN) devem obrigatoriamente:

• Assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos contemplem a contratação deste tipo de serviço no País ou no exterior;

• Apresentar e documentar práticas de governança e procedimentos que contemplem antes da contratação a verificação de capacidade da empresa prestadora de serviço e aderência as exigências da instituição e da regulamentação em vigor, considerando a criticidade de serviço e a sensibilidade dos dados;

• Se responsabilizar pela confiabilidade, integridade, disponibilidade em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor;

• Comunicar ao Banco Central do Brasil (BACEN) a contratação ou atualização contratual de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem. Essa comunicação deve ser realizada com o prazo de até dez dias após a contratação dos serviços ou atualização contratual e conter a denominação da empresa contratada, o detalhamento dos serviços contratados, a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados que serão armazenados, processados e gerenciados;

A contratação dos serviços prestados no exterior deve adotar os seguintes requisitos:

• Continuidade de negócio caso impossibilidade da prestação de serviço;

• Definição previamente estabelecida a contratação de países e regiões onde os dados serão armazenados, gerenciados e processados;

• Existência de convênio entre o Banco Central do Brasil (BACEN) com autoridades dos países. Não havendo convênio, é necessário solicitar uma autorização do Banco Central do Brasil (BACEN) no mínimo 60 (sessenta) dias antes da contratação ou atualização de contrato já existente;

• Medidas para garantir a segurança da transmissão e armazenamento da informação.

Vale ressaltar que, Instituições que já haviam contratado serviços de processamento e armazenamento de dados e de computação em nuvem, em 26 de abril de 2018, devem adequar os contratos firmados com seus prestadores de serviços até 31 de dezembro de 2021.

Conclusão

O motivo que constituiu a revisão e os pontos relevantes modificados, que não alteram a essência da norma, apenas atualizam os dispositivos e elementos de comando obsoletos, com aprimoramentos pontuais e levando em conta a colaboração de unidades de fiscalização do BACEN.

Em tese, foram feitas pequenas alterações que complementaram o que estava disposto nas  Resoluções nº 4658:2018 e 4752:2019 podendo ser considerada uma resposta a questionamentos que as instituições realizaram anteriormente.

Ajuda e Consultoria

A NETDEEP TECNOLOGIA está desde 2009 desenvolvendo,  implantando e suportando Tecnologias de Segurança da Informação e Proteção de Dados em instituições privadas e públicas. Se você precisa de ajuda para desenvolver o seu plano de ação ou implantar um projeto de gestão de incidentes, nós podemos te ajudar.
Fale conosco através de nosso site .

Fonte: SegInfo e Banco Central do Brasil.

Este artigo foi lido 3083 vezes!