CMN publica Resolução sobre segurança cibernética e contratação de serviços de processamento de dados e de computação em nuvem

23 maio.2018

O Conselho Monetário Nacional – CMN, publicou no dia 26/04/2018 a Resolução n° 4.658/2018, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil – Bacen.

Os principais pontos abordados pela Resolução n° 4.658/2018 são:

Política de Segurança Cibernética: As instituições autorizadas a funcionar pelo Bacen deverão implementar, manter, documentar e revisar anualmente, política de segurança cibernética com a finalidade de assegurar confidencialidade, integralidade e disponibilidade dos dados e dos sistemas de informação utilizados.

A política deverá ser compatível com o porte, a natureza das atividades e a sensibilidade dos dados tratados pela instituição, e deverá obedecer às exigências mínimas trazidas pela Resolução, tais como, os objetivos de segurança cibernética da instituição, os procedimentos e controles.

Plano de Ação e de Resposta a Incidentes: a Resolução também dispõe que as instituições financeiras deverão elaborar, documentar e revisar anualmente, Plano de Ação e de Respostas a Incidentes visando à implementação da política de segurança cibernética, que deverá abranger: (i) ações a serem desenvolvidas pela instituição para adequações organizacional e operacional aos princípios e diretrizes da Política de segurança cibernética, (ii) rotinas, procedimentos, controles e tecnologias a serem utilizadas na prevenção e na resposta a incidentes, e (iii) a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Contratação de Serviços de Processamento e Armazenamento de Dados e de Computação em Nuvem: A Resolução n° 4.658/2018 dispõe que a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem deverá ser contemplada por suas políticas, estratégias e estruturas para gerenciamento de riscos.

Para a contratação/alteração desses serviços, as instituições financeiras deverão comunicar o Bacen com no mínimo 60 dias de antecedência, bem como deverão também adotar procedimentos que contemplem: (i) a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço contratado e aos riscos a que estejam expostas, e (ii) a verificação da capacidade do potencial prestador de serviço.

Prazos: As Instituições Financeiras poderão aprovar a política de segurança cibernética e o plano de ação e de resposta a incidentes até o dia 06/05/2019 e, aquelas que já tiverem contrato a prestação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem, deverão apresentar ao Bacen, até o dia 23/10/2018, o cronograma para adequação do serviço às exigências contratuais e procedimentais mínimas estabelecidas pela Resolução.

O escritório Rolim, Viotti, Goulart, Cardoso Advogados encontra-se à disposição para dirimir dúvidas que possam surgir do conteúdo e/ou dos efeitos da Resolução CMN n° 4.658/2018.

Advogado Relacionado: Luis Gustavo Miranda