Home Outros Resolução 4658: entenda as regras do Bacen para uso de nuvem

Resolução 4658: entenda as regras do Bacen para uso de nuvem

by Mariana González
resolução-4658

A Resolução 4658 foi estabelecida pelo Banco Central em abril de 2018, quando foi instituído um calendário de ações a serem tomadas pelas instituições financeiras e de pagamentos sobre os serviços de nuvem utilizados por cada uma. Este mês, maio de 2019, é o prazo final para providenciar os documentos e planos necessários para comprovar que todas as exigências da resolução serão devidamente cumpridas.

Com a Resolução 4658, o objetivo do Bacen é definir políticas de cibersegurança, proteção de dados pessoais e resposta a incidentes no que diz respeito ao uso de servidores em nuvem terceirizados. Portanto, todas as instituições que atuam dentro do setor bancário devem conhecê-la e entender melhor os seus impactos. Acompanhe!

O que é a Resolução 4658?

A Resolução 4658 entrou em vigor no dia 26 de abril de 2018, por decisão do Banco Central do Brasil. Ela estabelece as exigências para as instituições financeiras e quaisquer outras empresas autorizadas a funcionar pelo Bacen quanto a seus ambientes de tecnologia contra ataques cibernéticos.

Para tanto, é necessário dispor de uma política de segurança e sobre as premissas de contratação de serviços de computação em nuvem e de processamento e armazenamento de dados. A resolução também obriga o desenvolvimento de cenários de incidentes possíveis e como eles seriam solucionados pela empresa.

E não são apenas as instituições financeiras que devem seguir a 4658 — ela também vale para quaisquer prestadores de serviços que manipulem dados, informações sensíveis ou informações relevantes para o andamento das atividades operacionais das empresas regulamentadas pelo Banco Central.

Em fevereiro de 2017, o Bacen já havia estabelecido a Resolução 4557, que dispõem sobre as potenciais ameaças listadas na 4658. Entretanto, diante da gravidade dos riscos críticos envolvidos com segurança cibernética e com processamento e armazenamento de dados em nuvem, o órgão identificou a necessidade de estabelecer uma resolução específica para tal.

Assim sendo, a Resolução 4658 declara que todas as instituições a que se refere “devem implementar e manter uma política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados”.

Tanto para as instituições financeiras quanto para as empresas de pagamento e demais autorizadas pelo Bacen, a data máxima para adequação às diretrizes é 31 de dezembro de 2021. Para as financeiras, o prazo limite para aprovação da política e do plano de ação encerrou-se em 06 de maio de 2019. Já para as instituições de pagamento, o prazo era até 29 de novembro de 2018.

Quais são as principais diretrizes da Resolução?

O ponto mais importante da Resolução 4658 é a necessidade de que cada instituição bancária organize uma política de segurança cibernética. O Artigo 3º do Parágrafo 3 dispõem os pontos mínimos que essa política deve contemplar. Os mais importantes são:

  • os objetivos de segurança cibernética da empresa;
  • os procedimentos e controles adotados para reduzir a vulnerabilidade e atender a todos os demais objetivos de segurança cibernética;
  • os controles específicos para tanto, incluindo para a rastreabilidade dos dados e para garantir a segurança das informações sensíveis;
  • registro, análise da causa e dos impactos e controle dos efeitos de quaisquer incidentes ocorridos relacionados à segurança cibernética e da informação;
  • definição dos procedimentos e controles a serem adotados por prestadores de serviço terceirizados que manuseiem dados sensíveis ou relevantes para as atividades operacionais da instituição;
  • classificação dos dados e das informações de acordo com a relevância;
  • mecanismos para disseminação da cultura de segurança cibernética na empresa;
  • implementação de programas de capacitação e de avaliações periódicas da equipe.

É importante destacar que, no que diz respeito aos procedimentos e controles de segurança cibernética exigidos pela Resolução, o Bacen entende que eles devem incluir, no mínimo:

  • autenticação;
  • criptografia;
  • prevenção e detecção de intrusão;
  • prevenção de vazamento de informações;
  • realização periódica de testes e varreduras para detecção de vulnerabilidades;
  • proteção contra softwares maliciosos;
  • mecanismos de rastreabilidade;
  • controles de acesso e de segmentação da rede de computadores;
  • manutenção de cópias de segurança dos dados e das informações.

As diretrizes para procedimentos e controles de incidentes devem levar em consideração os níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela própria instituição. Ou seja, deve-se estabelecer aquilo que realmente será implementado e que é possível de ser implementado na empresa.

Bastante calcada no princípio da transparência, a Resolução determina ainda que cada instituição deve divulgar sua política de segurança cibernética aos colaboradores e às empresas que prestam serviços para ela. Ao fazer isso, considere um nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações. De qualquer forma, a divulgação precisa ser feita por meio de linguagem clara e acessível.

Exige-se ainda que toda a documentação referente aos temas tratados na 4658 — incluindo a política de segurança cibernética, o plano de ação e de resposta a incidentes, o relatório anual, os contratos, os requisitos e procedimentos para compartilhamento de informações — devem estar disponíveis ao Banco Central por um período de cinco anos.

O que é estabelecido sobre a contratação e o uso de nuvem?

De acordo com a Resolução 4658, serviços de “armazenamento de dados e de computação em nuvem, no país ou no exterior” precisam ser contratados e/ou implementados em conformidade com as políticas, estratégias e estruturas para gerenciamento de riscos previstas na política de segurança cibernética e também na regulamentação vigente.

Nesse sentido, antes de contratar serviços de processamento e de armazenamento de dados e de computação em nuvem, as instituições financeiras devem adotar procedimentos que contemplem a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas, assim como a verificação da capacidade do potencial prestador de serviço de assegurar estes pontos:

  • o cumprimento da legislação e da regulamentação em vigor, incluindo a Resolução 4658;
  • o acesso da instituição contratante aos dados processados ou armazenados pelo prestador de serviço;
  • a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados processados ou armazenados pelo prestador de serviço;
  • o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados, incluindo relatórios de auditoria independente;
  • a identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos;
  • a qualidade dos controles de acesso voltados à proteção dos dados dos clientes da instituição.

E como estabelecer a relevância do serviço a ser contratado? Para tanto, o Art. 13 da Resolução determina que a empresa deve levar em consideração “a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado”.

Para os fins da Resolução, entendem-se os serviços de computação em nuvem como a disponibilidade à instituição financeira contratante, sob demanda e virtualmente, de pelo menos um destes serviços:

  • processamento e armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam a implementação ou execução de softwares, tanto aqueles desenvolvidos quanto aqueles adquiridos pela instituição;
  • implementação ou execução de aplicativos desenvolvidos ou adquiridos pela empresa que utilizem recursos computacionais do prestador de serviços;
  • execução via internet de aplicativos implementados ou desenvolvidos pelo prestador de serviço que utilizem recursos computacionais próprios.

A contratação de quaisquer serviços terceirizados de armazenamento e processamento de dados e de computação em nuvem deve ser comunicado ao Bacen com, pelo menos, 60 dias de antecedência. Caso o Banco Central identifique que o fornecedor apontado não opera em compliance com a Resolução 4658, o órgão pode vetar a contratação.

O que o Bacen exige para a resposta a incidentes?

A política de segurança cibernética de cada empresa deve incluir um plano de ação e de resposta a incidentes. Os pontos mais importantes que precisam fazer parte do plano são:

  • as ações a serem desenvolvidas pela instituição para adequação de suas estruturas organizacionais e operacionais à política de segurança cibernética;
  • as rotinas, procedimentos, controles e tecnologias a serem utilizados para prevenir e para responder a incidentes, que devem estar em conformidade com a política de segurança cibernética.

Além disso, é necessário determinar um diretor responsável pela política e também pela execução do plano de ação, assim como estabelecer qual é a área responsável pelo registro e pelo controle dos efeitos de incidentes relevantes que vierem a ocorrer.

Anualmente, a instituição financeira deve organizar um relatório sobre a implementação de tal plano. Esse relatório deve incluir:

  • a efetividade das ações implementadas como resposta aos incidentes ocorridos;
  • um resumo dos resultados obtidos com a implementação dos procedimentos, rotinas, controles e tecnologias determinados como medidas de prevenção e de resposta a incidentes;
  • todos os incidentes relacionados ao ambiente cibernético ocorridos no período;
  • os resultados dos testes de continuidade de negócios, considerando os incidentes que levaram a situações de indisponibilidade.

A Resolução exige que, “sem prejuízo do dever de sigilo e da livre concorrência”, as instituições financeiras “devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes”.

Visando um aprimoramento contínuo das políticas de segurança cibernética das empresas e considerando a importância de elas agirem de forma preventiva, e não reativa, em caso de incidentes, a Resolução inclui também diretrizes para um acompanhamento regular.

O Art. 21 define que as instituições “devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem”.

É necessário que esses mecanismos obrigatoriamente incluam:

  • a definição de processos, testes e trilhas de auditoria;
  • a definição de métricas e indicadores adequados;
  • a identificação e a correção de eventuais deficiências.

Sua instituição financeira está acompanhando os prazos estabelecidos pelo Banco Central para cada etapa de implementação da Resolução 4658? Depois da preparação da política de segurança cibernética e do plano de ação e de resposta a incidentes, os próximos passos dizem respeito à adaptação de toda a empresa e seus colaboradores a eles. Então, use este conteúdo como guia e estude a Resolução para elaborar as melhores estratégias.

Depois de escolher o seu servidor em nuvem, que tal otimizar também seus processos de onboarding e de validação de identidade? Para tanto, entre em contato pelo formulário abaixo, conheça melhor as soluções da idwall e entenda como podemos ajudar a fortalecer o compliance da sua empresa com as regulamentações do seu setor:

Related Posts

Loading Facebook Comments ...