News Bancário Nº 479

1/11/2018 em News Bancário

Cibersegurança na mira do BACEN: iniciado o prazo de execução do cronograma de adaptação à nova norma

Terminou esta semana o prazo para que as instituições financeiras entreguem ao Banco Central o cronograma de adaptação à norma de segurança cibernética. Após seis meses de entrada em vigor da nova norma (Resolução CMN nº 4.658), o mercado já assimila os desafios por ela impostos e trabalha intensamente para se adequar.

A nova regulamentação tem como pano de fundo a segurança da informação e objetiva regular a contratação de serviços relevantes de processamento e armazenamento de dados e computação em nuvem. A definição do que sejam serviços relevantes não é estanque e deverá ser feita por cada instituição, levando em conta suas particularidades e o quanto definido em sua política de segurança cibernética. Em tal definição, a instituição deverá levar em conta a importância dos serviços para a continuidade de suas atividades e a sensibilidade dos dados e informações tratados pelo prestador de serviços.

Os dados processados por instituições financeiras já guardam em si um conteúdo de grande sensibilidade e são objeto de proteção, por exemplo, por meio da lei do sigilo bancário. Não obstante, na atualidade, a quase totalidade dos dados são processados de forma eletrônica pelas instituições financeiras e seus prestadores de serviços, de forma que a proteção ao meio pelo qual tais dados são tratados se torna também relevante.

Neste contexto é que se insere a norma de cibersegurança. Ela objetiva criar um ambiente mais robusto de proteção das informações, especialmente no que concerne à preservação dos dados, monitoramento dos serviços e mitigação de danos. Com tal finalidade, a nova resolução estabelece diversas obrigações para as instituições financeiras e para seus prestadores de serviços. Certamente que muitas destas obrigações já eram em maior ou menor medida adotadas pelas instituições financeiras, mas agora passam a ser objeto da fiscalização do regulador.

Destaca-se, no âmbito da preservação da segurança da informação, a obrigatoriedade, para as instituições financeiras, de elaborar, aprovar e implementar uma política de segurança cibernética, bem como um plano de ação e de resposta a incidentes até no máximo 06/05/2019.  Outro requisito do normativo é de que as instituições façam uma avaliação prévia de seus prestadores de serviço para assegurar que eles tenham capacidade de garantir a segurança da informação, impondo-se, inclusive, obrigações contratuais para tanto.

Pode-se mencionar como exemplo dos mecanismos de proteção dos dados, a obrigatoriedade de os prestadores de serviços adotarem medidas de segurança para a transmissão e armazenamento dos dados, bem como a obrigatoriedade de manterem a segregação dos dados e dos controles de acesso para proteção das informações dos clientes.

Para além da prevenção, o normativo cria um rigoroso arcabouço de monitoramento da segurança cibernética. Dentre os elementos que compõe este arcabouço, destaca-se a obrigatoriedade de nomeação de um diretor responsável por tal monitoramento, a obrigatoriedade de fornecer relatórios anuais ao regulador; a necessidade de o prestador contratar auditoria especializada independente para aferir os procedimentos e controles utilizados na prestação dos serviços, bem como para verificar a aderência às certificações exigidas pela instituição financeira.

Uma preocupação adicional endereçada pela norma é a criação de mecanismos, especialmente contratuais, para viabilizar o acesso aos dados tratados pelos prestadores de serviços. Nesta linha, destaca-se a necessidade de facultar o acesso do Bacen aos dados processados pelos vendors, com a finalidade de viabilizar tanto a fiscalização quanto a atuação em uma eventual resolução da instituição financeira.

Neste contexto ainda, para a contratação de serviços de processamento e armazenamento de dados, bem como de computação em nuvem no exterior, faz-se necessário que as autoridades supervisoras do país estrangeiro tenham convênio para troca de informações com o Bacen. Do contrário, a contratação de tais prestadores deverá ser precedida de autorização do Bacen.

Por fim, um terceiro prisma da norma é a mitigação de danos em casos de incidentes envolvendo a quebra de segurança da informação. Para tal escopo, o normativo estabelece a obrigatoriedade de comunicação tempestiva ao Bacen e a tomada das medidas necessárias visando a mitigação dos danos não apenas aos clientes, mas ao sistema financeiro como um todo. Adicionalmente, é incentivada a criação de mecanismos de compartilhamento de informações sobre incidentes entre os players do mercado, com o objetivo de gerar maior proteção ao sistema como um todo.

Em que pese as novas contratações realizadas, após a entrada em vigor da norma, já tenham de observar os requisitos estabelecidos pelo regulador, foi estabelecida o prazo de até 31/12/2021 como limite para a adequação de todo o estoque de contratações feitas por instituições financeiras, relativamente aos serviços relevantes de processamento e armazenamento de dados, bem como de computação em nuvem.

Se à primeira vista o prazo para completa adequação parece um futuro longínquo, há que se ter em mente que serão meses de muito trabalho para os envolvidos. A adequação do estoque de contratos demandará, além de adequações tecnológicas, muitas negociações com os vendors de tecnologia, haja vista o número de obrigações que passam a ser impostas a tais prestadores de serviços, a fim de que possam atender o mercado financeiro. Está aberta, pois, a temporada de troca de minutas entre os advogados.

Artigo elaborado por Leandro Vilarinho Borges e Hildelene Santos Bertolini, Sócio e Associada da área Bancária do Velloza Advogados Associados.

­

­­

ESTE BOLETIM É MERAMENTE INFORMATIVO E RESTRITO AOS NOSSOS CLIENTES E COLABORADORES. FICAMOS À DISPOSIÇÃO PARA EVENTUAIS ESCLARECIMENTOS SOBRE A(S) MATÉRIA(S) AQUI VEICULADA(S).
Velloza Advogados |

VER TAMBÉM

News Tributário Nº 619

Lei do Estado de São Paulo revoga benefício do IPVA para locadoras de veículos No último dia 15 de outubro…

23 de outubro de 2020 em News Tributário

Leia mais >

News CARF

Acórdãos CARF em Destaque ­ Nesta edição, destacamos acórdãos do CARF publicados até 09/2020 acerca de temas relevantes, organizados por…

15 de outubro de 2020 em News CARF

Leia mais >