Resolução BACEN 4658 sobre Política Cibernética e uso de Cloud

Resolução deve estar implementada até 2021

Resolução BACEN sobre Política Cibernética e uso de Cloud. O BACEN – Banco Central do Brasi, divulgou no dia 26 de abril de 2018,  a Resolução 4658 sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

A resolução orienta que as “As instituições referidas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.” e dispõe que a referida política deve levar em consideração o porte, o perfil de risco, modelo de negócio , natureza das operações e complexidade de produtos e serviços.

Como toda política, o BACEN menciona que todo o conselho administrativo deve estar ciente, aprovar e estar comprometido com os critérios de proteção da informação no ambiente cibernético, seus riscos e com a continuidade de serviços provenientes dos provedores que serão utilizados. A diretriz define que devem ser adotados medidas para testes de continuidade, prevenção e tratamento de incidentes, conscientização de segurança e classificação de dados que incluam os terceiros, provedores dos serviços.

A resolução define que : “A política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.” e também que “As instituições devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.”

As instituições financeiras devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior. Embora a resolução diga que o Banco Central do Brasil possa impor restrições para a contratação de serviços em Cloud quando constatar irregularidades, a resolução não traz nenhuma menção sobre a proibição ou limitação de uso destes serviços, salvos considerações a respeito da capacidade do provedor e da proteção dos dados , que devem incluir entre outros a qualidade dos controles de acesso, segregação física e lógica dos dados que visem a proteção da confidencialidade, integridade e disponibilidade das informações, incluindo-se o controle sobre a produção de softwares seguros e seu deployment . Embora não se faça maiores proibições sobre o uso do Cloud a resolução afirma que deve existir “a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados”, para os casos de contratações de serviços no exterior.

No tocante à Continuidade de Negócios, a resolução define que o PCN (Plano de Continuidade de Negócios) deve incluir o tratamento de incidentes relevantes no ambiente cibernético, os procedimento em caso de interrupção dos serviços e procedimentos para os cenários de incidentes considerados, seu correto tratamento e prazos. Os incidentes  deverão ser reportados ao Banco Central do Brasil tempestivamente para as ocorrências de incidentes relevantes e de interrupções dos serviços relevantes, que configurem uma situação de crise pela instituição financeira, bem como das providências para o reinício das suas atividades.

Todas as documentações, políticas, atas, planos de resposta à incidentes, contratos, dados e registros dos mecanismos de acompanhamento e controles deverão ser preservadas e estarem disponíveis para verificação do Banco Central a qualquer tempo durante cinco anos. O prazo de adequação à resolução é  31 de dezembro de 2021, sendo a aprovação da Política Cibernética e dos planos de incidentes deverão ser aprovadas até 06 de maio de 2019.

Para auxiliar nossos leitores, o  Blog Minuto da Segurança reproduziu em pdf, de forma integral, a resolução constante no site do BACEN, que também pode ser acessada no link Resolução nº 4.658, de 26/4/2018

 

 

A MINDSEC pode auxiliar você e sua empresa no desenvolvimento das políticas e planos continuidade de negócios, entre em contato conosco e saiba mais.

 

 

Veja também:

About mindsecblog 1443 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

12 Trackbacks / Pingbacks

  1. CAE marca votação da Lei de Privacidade de Dados para dia 22 de maio
  2. Webinar discute os requisitos e desafios resolução do BACEN 4658
  3. 340 Milhões de dados vazados em empresa de Marketing nos EUA
  4. Ministério Público ajuíza ação de R$10 Milhões contra o Banco Inter
  5. BACEN 3.909 de Política Cibernética para Instituições de Pagamento
  6. Fórum discutiu implementação da Regulamentação 4658 do Bacen
  7. Temperatura tira do ar Data Center da Azure
  8. Banco Inter aceita pagar R$1,5 Milhão por vazamento de dados
  9. Segurança Cibernética e sua Carreira
  10. Segurança Cibernética e sua Carreira – Information Security
  11. 10 controles que podem estar faltando em sua arquitetura de nuvem
  12. Uma carreira em segurança cibernética: é para você?

Deixe sua opinião!