Um resumo esquematizado das Resoluções 4.893/21 e 85/21, ambas do Banco Central do Brasil.
Um resumo esquematizado das Resoluções 4.893/21 e 85/21, ambas do Banco Central do Brasil. |
Introdução: |
O presente estudo serve para apresentar de forma simples as exigências das Resoluções 4.893/21 e 85/21, que são praticamente idênticas, servindo como um guia de orientação e de consultas rápidas; |
A Resolução 85/21 se refere a instituições de pagamento autorizadas; |
A Resolução 4.893/21 se refere a instituições autorizadas. |
Eventuais divergências entre as normas estarão destacadas no texto. |
1 – Objeto das Resoluções: |
I - Dispor sobre a política de segurança cibernética e contratação de serviços de processamento e armazenamento de dados, nuvem e etc; |
II - Ser a instituição capaz de prevenir, detectar e reduzir a vulnerabilidade a incidentes cibernéticos. |
2 - Princípios: |
I - Confidencialidade, integridade, disponibilidade de dados e dos sistemas de informação utilizados; |
II - Preservação da continuidade dos serviços prestados (não destacado como princípio específico, mas contido dentro das resoluções). |
3 - Política de Segurança Cibernética: |
I - Compatibilidade com o porte, perfil de risco e modelo de negócio, natureza das atividades e complexidade de produtos e serviços; |
II - Atenção especial à sensibilidade dos dados e informações sob responsabilidade da instituição; |
III - Possibilidade de adoção de política única por conglomerado prudencial; |
IV - A Resolução 4.893/21 permite a adoção única por sistema cooperativo de crédito. |
V - A não constituição de política deve ser formalizada. |
3.1 - Conteúdo mínimo da política: |
I - Descrição dos objetivos de segurança cibernética; |
II - Descrição dos procedimentos e controles para redução da vulnerabilidade a incidentes e atendimento aos demais objetivos. |
a) Destaques: os procedimentos e controles devem abranger a autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, realização periódica de testes e varreduras para detecção de vulnerabilidades, proteção contra softwares maliciosos, criação de mecanismos de rastreabilidade, controles de acesso e segmentação de rede de computadores e manutenção de cópias de segurança de dados e informações.) |
III - Especial previsão de aplicação no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias; |
IV - Descrição de controles específicos, com destaque aos voltados à rastreabilidade da informação para garantia de segurança de informações sensíveis; |
V - Regras de registro, análise de causa/impacto e controle dos efeitos de incidentes para a instituição; (deve abranger informações recebidas de empresas prestadoras de serviços a terceiros.). |
3.2 - Diretrizes da política: |
I - Elaboração de cenários de incidentes a serem considerados nos testes de continuidade dos serviços; |
II - Procedimentos e controles específicos para prevenção e tratamento de incidentes a serem adotados pelos prestadores de serviços que manuseiem dados ou informações sensíveis ou relevantes para a atividade da instituição; |
III - Classificação dos dados e informações por relevância; |
IV - Parâmetros de avaliação de relevância dos incidentes; |
V - As Diretrizes devem contemplar: |
a) procedimentos e controles em níveis de complexidade, |
b) abrangência e precisão compatíveis com a própria instituição; |
VI - Disseminação de Cultura de segurança cibernética: |
a) Capacitação e avaliação periódica de pessoa; |
b) Informações aos usuários finais sobre precauções no uso de produtos e serviços; |
c) Comprometimento da Alta Administração com a melhoria dos procedimentos de segurança cibernética; |
VII - Regras de compartilhamento de informações sobre incidentes relevantes, com outras instituições autorizadas pelo Bacen. |
3.3 - Divulgação da Política: |
I - Para funcionários e empresas prestadoras de serviços a terceiros; |
II - Linguagem acessível e com detalhes compatíveis com as funções desempenhadas e com a sensibilidade das informações; |
III - Divulgação ao público de forma resumida e com as linhas gerais da política. |
4 - Plano de Ação e Resposta a incidentes: |
I - Conteúdo mínimo do plano de ação: |
a) Ações para adequação de estrutura organizacional e operacional para atender aos princípios e diretrizes da política; |
b) Definição de rotinas, procedimentos, controles e tecnologias a serem utilizados na prevenção e resposta aos incidentes, conforme as diretrizes definidas; |
c) Definição da área responsável pelo registro e controle dos efeitos de incidentes relevantes. |
II - Designação de diretoria responsável pela política e execução do plano de ação e de resposta a incidentes. Pode haver cumulação de atividade do diretor, desde que não haja conflito de interesse. |
4.1 - Relatório Anual para o plano de ação e resposta a incidentes: |
I - Elaboração de Relatório Anual específico para o plano de ação e de resposta a incidentes, que deve conter minimamente: |
a) Descrição da efetividade da implementação das ações descritas; |
b) Resumo dos resultados obtidos na implementação de rotinas, procedimentos, controles, e tecnologias; |
c) Relação dos incidentes relevantes do período; |
d) Resultado dos testes de continuidade dos serviços, considerando os cenários de indisponibilidade ocasionada por incidentes. |
e) Apresentação do relatório ao conselho de administração ou à diretoria até o dia 31 de março do ano seguinte ao da data-base |
f) A Resolução 4.893/21 exige a apresentação do relatório ao comitê de risco, quando existente. |
5 - Aprovação e revisão da Política e do Plano de ação: |
I - Devem ser aprovados pelo Conselho de administração, ou diretoria; |
II - Devem ser documentados e revisados com periodicidade mínima anual. |
6 - Contratação de serviços de processamento e armazenamento de dados e computação em nuvem. |
I - As políticas, estratégias e estrutura de gerenciamento de risco devem prever os critérios para a decisão de contratação de serviços relevantes, nacionais ou estrangeiros. |
6.1 - Procedimentos mínimos para contratação de serviços |
I - Procedimentos devem ser documentados: |
II - Adoção de práticas de governança corporativa e gestão proporcionais à relevância do serviço a ser contratado e análise de exposição ao risco; (considerar a criticidade do serviço e a sensibilidade dos dados e informações a serem processados, armazenados e gerenciados pelo contratado, com observação a classificação dos dados e informações quanto à sua relevância) |
III - Verificação de capacidade do prestador para assegurar: |
a) Cumprimento da legislação em vigor; |
b) Acesso da instituição aos dados e informações a serem processados; |
c) Confidencialidade, integridade, disponibilidade e recuperação de dados e informações processados ou armazenados; |
d) Aderência às certificações exigidas pela instituição para a prestação do serviço; |
e) Acesso da instituição a relatórios de auditoria especializada independente contratada pelo prestador do serviço, que atestem os procedimento se controles utilizado na prestação do serviço; |
f) Acesso a informações e recursos de gestão para o monitoramento dos serviços; |
g) Identificação e segregação dos dados dos usuários finais da instituição por controles físicos ou lógicos; |
h) Qualidade dos controles de acesso voltados à proteção dos dados e informações dos usuários finais da instituição; |
i) Adoção de controles para mitigação dos efeitos de eventual vulnerabilidade na liberação de novas versões de aplicativos, quando do uso da internet. |
IV - A instituição deve ter recursos e competências para gerir os serviços contratados, inclusive para a análise das informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados. |
6.2 - Computação em Nuvem de acordo com a circular: |
I - Disponibilidade sob demanda e virtual dos seguintes serviços: |
a) Processamento e armazenamento de dados, infraestrutura de redes e outros recursos que permitam à instituição implantar ou executar softwares, incluindo, ou não, sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos; |
b) Implantação ou execução de aplicativos desenvolvidos pela instituição, ou por ela adquiridos, utilizando recursos do prestador de serviços |
c) Execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos do próprio prestador de serviços. |
6.3 - Responsabilidade da Instituição: |
I - Ao contratar serviços em nuvem, a instituição mantém-se responsável pela confiabilidade, integridade, disponibilidade, segurança e sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e regulamentação vigente. |
II - Comunicação de contratação: pode ser feita até 10 dias após a contratação; |
III - Qualquer alteração contratual que implique em mudança das informações obrigatórias deve ser comunicada no mesmo prazo de 10 dias após a contratação. |
6.4 - Conteúdo da comunicação prévia de contratação: |
I - Identificação clara da empresa a ser contratada; |
II - Quais os serviços relevantes serão contratados; |
III - Indicação dos países e regiões onde o serviço poderá ser prestado e onde os dados serão armazenados, processados e gerenciados. |
6.5 - Requisitos para a contratação dos serviços prestados no exterior: |
I - Existência de convênio entre o BCB e a autoridade do País de prestação de serviço para troca de informações; caso inexista o convênio, a instituição deverá solicitar autorização, com antecedência mínima de 60 dias da contratação, aplicando-se o mesmo prazo para as alterações contratuais. |
II - Garantia e que a prestação de serviços fora do país não cause embaraço ou prejuízos à atuação do BCB; (a instituição deve garantir que inexistem limitações ou impedimentos legais ou regulamentares nos países para o acesso da própria instituição e do BCB aos dados e informações.); |
III - Definição prévia dos países e regiões onde os serviços serão prestados e os dados tratados; |
IV - Previsão de alternativas a continuidade do serviço no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços; |
V - As comprovações e garantias exigidas devem estar documentadas. |
6.6 - Cláusulas contratuais específicas para a contratação de tratamento de dados na Nuvem: |
I - Indicação expressa dos países e regiões onde os serviços poderão ser prestados e os dados tratados; |
II - Quais as medidas de segurança serão adotadas para a transmissão e armazenamento dos dados; |
III - Determinação expressa de segregação dos dados e dos controles de acesso para a proteção das informações dos usuários finais, enquanto viger o contrato. |
IV - Cláusulas específicas para a extinção do contrato, devendo abranger: |
a) A transferência dos dados para o novo prestador ou a instituição; |
b) A exclusão dos dados pela empresa substituída após a transferência, e confirmada a integridade e disponibilidade dos dados; |
V - Regras de acesso da instituição a: |
a) Informações fornecidas pela empresa contratada, a fim de verificar a indicação dos países e regiões, a adoção das medidas de segurança de transmissão de dados e a manutenção da segregação dos dados e dos controles de acesso; |
b) Informações relativas às certificações e relatórios e auditoria especializada (confirmando a aderência às certificações exigidas para a prestação do serviço e acesso aos relatórios de auditoria especializada.); |
c) Informações e recursos de gestão para o monitoramento dos serviços; |
VI - Notificação compulsória da prestadora de serviço no caso de subcontratação de serviços relevantes; |
VII - Cláusula que permite o livre acesso do BCB aos contratos e acordos firmados para a prestação do serviço, aos documentos e informações sobre os serviços, aos dados e informações tratadas, cópias de segurança e códigos de acesso aos dados e informações; |
VIII - Previsão de alteração unilateral do contrato para adoção de medidas decorrentes de determinações do BCB para a instituição; |
IX - Obrigação de informação contínua pelo prestador à instituição sobre eventuais limitações que possam afetar a prestação dos serviços ou impactar o cumprimento da lei ou regulamentos em vigor; |
X - O contrato deve prever, para o caso de decretação de resolução da instituição pelo BCB o seguinte: |
a) Obrigação da contratada conceder pleno e irrestrito acesso, do responsável pelo regime de resolução, aos contratos, acordos, documentos e informações sobre o serviço prestado, ao tratamento dos dados e informações, seus processamentos, cópias de segurança, códigos de acesso, que estejam em seu poder. |
b) Notificação prévia e compulsória do prestador de serviços, ao responsável pelo regime de resolução, no caso de pretender interromper a prestação dos serviços, no prazo mínimo de 30 dias contendo, obrigatoriamente: |
b.1) Aceite compulsório de pedido de dilação de prazo por 30 dias para a interrupção do serviço, caso feito pelo responsável pelo regime de resolução; |
b.2) A notificação deve ocorrer mesmo no caso de interrupção por inadimplemento da instituição; |
6.7 - Exceção a este regime de contratação: |
I - Contratação de sistemas operados por câmaras, prestadores de serviços de compensação e de liquidação ou entidades que exerçam atividades de registro ou de depósito centralizado. |
7 - Definições específicas para a Política de Estrutura de Gerenciamento de Riscos: |
I - Princípio da preservação da continuidade dos serviços prestados; |
II - O tratamento específico dos incidentes relacionados ao registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição de pagamento; |
III - Procedimentos específicos para o caso de interrupção dos serviços relevantes de processamento de dados, com análise de cenários que considerem, inclusive, a substituição da empresa contratada e o reestabelecimento e normalização da operação; |
IV - Criação e implementação de cenários considerando os testes de continuidade dos serviços de pagamento; |
7.1 - Definições específicas para os procedimentos vinculados ao gerenciamento de risco: |
I - Preservação da continuidade dos serviços prestados; |
II - Quais os tratamentos previstos para mitigar os efeitos dos incidentes relevantes, bem como no caso de interrupção dos serviços relevantes de tratamento dos dados e informações; |
III - Definição de prazo para o reinício ou normalização das atividades no caso de interrupção; |
IV - Procedimentos de comunicação tempestiva ao BCB das ocorrências de incidentes relevantes e de interrupções e que configurem situação de crise para a instituição, bem como especificar as providências para o reinício das atividades; |
V - Estabelecer e documentar os critérios que configurem uma situação de crise. |
8 - Monitoramento: |
I - Instituição obrigatória de mecanismos de acompanhamento e controle, visando a implementação e efetivação da política de segurança cibernética, do plano de ação e de resposta a incidentes, e requisitos de contratação dos serviços de tratamento de dados e informações, incluindo: |
a) Definição clara dos processos, testes e trilhas de auditoria; |
b) Definição de métricas e indicadores adequados; |
c) Identificação e correção de deficiências; |
d) As notificações de subcontratação se enquadram na definição de mecanismos de controle; |
II - Todos os mecanismos devem ser submetidos a testes periódicos pela auditoria interna da instituição. |
9 - Iniciativas de compartilhamento de informações |
I - Obrigação de criação de iniciativas para o compartilhamento de informações sobre incidentes relevantes, incluindo as recebidas de empresas prestadoras de serviços a terceiros. As informações compartilhadas devem estar disponíveis ao BCB. |
10 - Prazo de manutenção de documentos à disposição do BCB: |
I - 5 anos: |
a) Política de segurança cibernética devidamente documentada; |
b) Ata da reunião do conselho de administração ou diretoria que formalizou a opção de não criação da política de segurança cibernética; |
c) Relatório anual; |
d) Documentos sobre os procedimentos relacionados a contratação de serviços relevantes de processamento e armazenamento de dados e informações na nuvem; |
e) Documentos relacionados à contratação de prestador de serviços relevantes no exterior |
f) Os contratos relacionados à prestação de serviços relevantes de processamento e armazenamento de dados e computação (sendo que o prazo de guarda se inicia a partir da data de extinção do referido contrato). |
g) Os dados, registros e informações relacionadas aos mecanismos de acompanhamento e controle adotados na política e nos procedimentos, com prazo iniciando a partir da implementação de cada mecanismo. |
h) A documentação com os critérios de definição de situação de crise. |
11 - Regras de vigência: |
I - Contratos realizados antes da vigência das resoluções tem data limite de regularização em 31/12/2021; |
II - Início de vigência da Resolução 85/21 é 1º de agosto de 2021. |
III - Início de vigência da Resolução 4.893/21 é 1º de julho de 2021. |
12 -Poderes do BCB: |
I - Vetar ou impor restrições para a contratação dos serviços detalhados nas resoluções, quando verificar, a qualquer tempo, a inobservância do disposto nestes documentos, ou quando identificar limitação a sua atuação, sendo que estabelecerá prazo para adequação dos serviços e contratos. |
12.1 - Poderes específicos do BCB determinados na Resolução 4.893/21: |
I - O BCB poderá adotar medidas necessárias para o cumprimento desta resolução e estabelecer: |
a) Os requisitos e os procedimentos para o compartilhamento de informações entre as instituições; |
b) Exigir certificações e outros requisitos técnicos das empresas contratadas para a prestação dos serviços de tratamento de dados e informações; |
c) Os prazos máximos para o reinício ou normalização das atividades ou serviços relevantes interrompidos; |
d) Os requisitos técnicos e procedimentos operacionais que as instituições deverão obedecer para o cumprimento desta resolução. |
13 - Alterações em outras Normas: |
I - A Resolução 4.893/21 revogou as resoluções 4.658/18 e 4.752/19; |
II - A Resolução 85/21 revogou os artigos 1º a 6º da Circular 3.909/18, bem como revogou a Circular 3.969/19. |
14 – Observações: |
I - A palavra tratamento utilizada neste estudo refere-se a amplitude global que a Lei Geral de Proteção de dados dá a este termo. |