[:pb]Com o aumento crescente das ameaças nos ambientes digitais e a necessidade constante de atualização de serviços eletrônicos e desenvolvimento de inovações tecnológicas no setor financeiro, o Conselho Monetário Nacional e o Banco Central viram necessidade de definir regras de controle e impor às instituições que estão sob sua supervisão, a contratação de sistemas aptos a lidar com ataques cibernéticos. Para isso, o Bacen editou a Resolução 4.658/18, que determina as regras para as instituições financeiras e a Circular 3909/2018, com regras quase idênticas, mas prazos mais elásticos para adaptação destinada às Instituições de Pagamento.
Em linhas gerais, ambas as regras definem parâmetros a serem observados pelas instituições na definição e implantação da política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, além das regras e parâmetros para a elaboração e implantação de um plano de ação e de resposta a incidentes.
As duas normas tratam da implantação de políticas e procedimentos para aumentar o nível de segurança e proteção de dados considerados sensíveis, sejam eles dados de transações financeiras, sujeitos às regulamentações do Banco Central, sejam dados pessoais de clientes ou funcionários, sujeitos à GDPR europeia ou à LGDP, alterada pela Medida Provisória nº 869, que têm abrangência sobre todas as empresas.
As ações mais importantes
Uma das primeiras providências a serem tomadas é efetuar um levantamento dos processos que a instituição já possui, para se identificar o que falta para que sejam conforme às novas normas. Em seguida, será necessário implementar algumas ações: elaboração e implementação da Política de Segurança Cibernética e Plano de Ação e de Resposta a Incidentes, nomeação de um dirigente responsável, definição e implementação de rotinas de procedimentos, treinamento de pessoal e adaptação de contratos, em especial com terceiros e prestadores de serviços de armazenamento ou tratamento de dados. Também devem criados os controles internos de verificação de conformidade, monitoramento e reporte.
Normas legais
| Publicada em | Em vigência a partir de | |
|
Lei Geral de Proteção de Dados (Lei nº 13.709)
|
14/08/2018 | 15/08/2020 |
| Medida Provisória nº 869 | 27/12/2018 |
28/12/2018 (criação da Agência Nacional de Proteção de Dados e 28/12/2020 (demais artigos)
|
| Resolução nº 4.658 do Banco Central do Brasil | 26/04/2018 | 26/04/2018 |
| Circular nº 3.909 do Banco Central do Brasil | 16/08/2018 | 01/09/2019 |
Ações importantes
|
|
Instituições
Financeiras |
Instituições de Pagamento |
| Cronograma de ajustes nos contratos | 23/10/2018 | 29/11/2019 |
| Definição e implementação de Política de Segurança Cibernética, Plano de Ação e de Resposta a Incidentes | 06/05/2019 | 29/11/2019 |
| Ajuste de contratos | 31/12/2021 | 31/12/2021 |
[:en]Com o aumento crescente das ameaças nos ambientes digitais e a necessidade constante de atualização de serviços eletrônicos e desenvolvimento de inovações tecnológicas no setor financeiro, o Conselho Monetário Nacional e o Banco Central viram necessidade de definir regras de controle e impor às instituições que estão sob sua supervisão, a contratação de sistemas aptos a lidar com ataques cibernéticos. Para isso, o Bacen editou a Resolução 4.658/18, que determina as regras para as instituições financeiras e a Circular 3909/2018, com regras quase idênticas, mas prazos mais elásticos para adaptação destinada às Instituições de Pagamento.
Em linhas gerais, ambas as regras definem parâmetros a serem observados pelas instituições na definição e implantação da política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, além das regras e parâmetros para a elaboração e implantação de um plano de ação e de resposta a incidentes.
As duas normas tratam da implantação de políticas e procedimentos para aumentar o nível de segurança e proteção de dados considerados sensíveis, sejam eles dados de transações financeiras, sujeitos às regulamentações do Banco Central, sejam dados pessoais de clientes ou funcionários, sujeitos à GDPR europeia ou à LGDP, alterada pela Medida Provisória nº 869, que têm abrangência sobre todas as empresas.
As ações mais importantes
Uma das primeiras providências a serem tomadas é efetuar um levantamento dos processos que a instituição já possui, para se identificar o que falta para que sejam conforme às novas normas. Em seguida, será necessário implementar algumas ações: elaboração e implementação da Política de Segurança Cibernética e Plano de Ação e de Resposta a Incidentes, nomeação de um dirigente responsável, definição e implementação de rotinas de procedimentos, treinamento de pessoal e adaptação de contratos, em especial com terceiros e prestadores de serviços de armazenamento ou tratamento de dados. Também devem criados os controles internos de verificação de conformidade, monitoramento e reporte.
Normas legais
| Publicada em | Em vigência a partir de | |
|
Lei Geral de Proteção de Dados (Lei nº 13.709)
|
14/08/2018 | 15/08/2020 |
| Medida Provisória nº 869 | 27/12/2018 |
28/12/2018 (criação da Agência Nacional de Proteção de Dados e 28/12/2020 (demais artigos)
|
| Resolução nº 4.658 do Banco Central do Brasil | 26/04/2018 | 26/04/2018 |
| Circular nº 3.909 do Banco Central do Brasil | 16/08/2018 | 01/09/2019 |
Ações importantes
|
|
Instituições
Financeiras |
Instituições de Pagamento |
| Cronograma de ajustes nos contratos | 23/10/2018 | 29/11/2019 |
| Definição e implementação de Política de Segurança Cibernética, Plano de Ação e de Resposta a Incidentes | 06/05/2019 | 29/11/2019 |
| Ajuste de contratos | 31/12/2021 | 31/12/2021 |
[:]