CMN aprova regras para política de segurança cibernética dos bancos

Regras atingem a contratação de serviços de armazenamento de dados e de computação em nuvem

O Conselho Monetário Nacional publicou resolução sobre a política de segurança cibernética para instituições financeiras, que estabelece também os requisitos para contratação de serviços de armazenamentos de dados e de computação em nuvem que devem ser seguidos.

As regras não valem para as instituições de pagamento, que devem seguir as normas estabelecidas pelo Banco Central.

A política de segurança deve contemplar os objetivos de segurança cibernética da instituição; os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética; os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis e o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição.

A classificação dos dados e das informações quanto à relevância e a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes também devem estar incluídas.

Na definição dos objetivos de segurança cibernética deve ser contemplada a capacidade da instituição para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético. E os procedimentos e os controles devem abranger, no mínimo, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.

Nuvem

Para contratação de serviço de armazenamento em nuvem, a instituição financeira deve verificar a capacidade do potencial prestador de serviço de assegurar; o cumprimento da legislação e da regulamentação em vigor; a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço; a sua aderência a certificações exigidas e o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados.

A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser informada ao Banco Central no prazo de 10 dias. Quando esses serviços são prestados no exterior deve-se observar os seguintes requisitos: a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados.

Avatar photo

Lúcia Berbert

Lúcia Berbert, com mais de 30 anos de experiência no jornalismo, é repórter do TeleSíntese. Ama cachorros.

Artigos: 1588