Circular 3.909 do BACEN endereça Política Cibernética e Cloud para Instituições de Pagamento

Circular 3.909 do BACEN endereça Política Cibernética e Cloud para Instituições de Pagamento. O BACEN – Banco Central do Brasi, divulgou no dia 16 de agosto de 2018, a circular nº 3.909 sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamentos  autorizadas a funcionar pelo Banco Central do Brasil.

​O Banco Central definiu que as instituições de pagamento deverão estabelecer Política de Segurança Cibernética, além de plano de ação e resposta a incidentes. A ação compõe a Agenda BC+, no Pilar SFN Mais Eficiente. A medida já havia sido adotada para as demais instituições financeiras por meio da Resolução 4.658 do Conselho Monetário Nacional (CMN), publicada em abril.

A exemplo da regulamentação nº 4.658 divulgada em 26 de abril, o Banco Central, divulgou agora a circular nº 3.909 que agora endereça os mesmo objetivos de proteção da 4658 para as instituições de pagamentos e deverá, segundo o seu Art. 29, entrar em vigor em 1º de Setembro de 2019, com isto as instituições de pagamento até 1º de dezembro de 2019 para se adaptarem, conforme seu Art. 25 “aprovação da política de segurança cibernética e do plano de ação e de resposta a incidentes, referida no art. 9º, deve ser realizada até noventa dias contados da data de entrada em vigor desta Circular“.

A Circular 3.909 estabelece que deverão estar previstas na política iniciativas para compartilhamento, com outras instituições do sistema financeiro, de informações sobre os incidentes relevantes. Além disso, será necessário elaborar relatório anual tratando da implementação do plano de ação e de resposta a incidentes. Esse relatório deverá ser encaminhado ao conselho de administração, ou, na sua inexistência, à diretoria da instituição.

A política de segurança cibernética a ser implementado pelas instituições de pagamento deverá ser compatível com o porte, o perfil de risco e o modelo de negócio, considerando a natureza das suas atividades e a complexidade dos produtos e serviços oferecidos, bem como a sensibilidade dos dados e das informações. O Bacen também definiu regras a serem observadas pelas instituições de pagamento na contratação de serviços de processamento e de armazenamento de dados, incluindo a computação em nuvem.

Da mesma forma como estava previsto para as demais instituições financeiras, ficou definido que a responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados é a instituição de pagamento.

Instituições de Pagamento (IP)

Segundo o Bacen, Instituição de pagamento (IP) é a pessoa jurídica que viabiliza serviços de compra e venda e de movimentação de recursos, no âmbito de um arranjo de pagamento (*), sem a possibilidade de conceder empréstimos e financiamentos a seus clientes.

As instituições de pagamento possibilitam ao cidadão realizar pagamentos independentemente de relacionamentos com bancos e outras instituições financeiras. Com o recurso financeiro movimentável, por exemplo, por meio de um cartão pré-pago ou de um telefone celular, o usuário pode portar valores e efetuar transações sem estar com moeda em espécie. Graças à interoperabilidade, o usuário pode, ainda, receber e enviar dinheiro para bancos e outras instituições de pagamento.

Importante lembrar que serviços de pagamento são prestados não só por IPs, mas também por instituições financeiras, especialmente bancos, financeiras e cooperativas de crédito.

(*) Um arranjo de pagamento é o conjunto de regras e procedimentos que disciplina a prestação de determinado serviço de pagamento ao público

Para auxiliar nossos leitores, o  Blog Minuto da Segurança baixou e estamos disponibilizando abaixo o pdf  da Circular nº 3.909 constante no site do BACEN, que também pode ser acessada no link Resolução nº 3.909

Clique para baixar

[dg ids=”12913″]

A MINDSEC pode auxiliar você e sua empresa no desenvolvimento das políticas e planos continuidade de negócios, entre em contato conosco e saiba mais.

Veja também:

• Resolução 4.658 BACEN sobre Política Cibernética e uso de Cloud
• Webinar discute os requisitos e desafios resolução do BACEN 4658
• Ministério Público ajuíza ação de R$10 Milhões contra o Banco Inter por vazamento de dados clientes e não clientes
• Presidente Temer sanciona Lei de Proteção de Dados Pessoais