Bancário e Operações Financeiras | Cybersecurity & Data Privacy | Inovação Financeira
No dia 8 de abril de 2021, o Banco Central do Brasil (BCB) publicou a Resolução BCB nº 85, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados.
Cabe apontar que, diferentemente da Resolução nº 4.893/2021, que entrará em vigor em 1º de julho deste ano e revogará integralmente a Resolução nº 4.658/2018 – ambas emitidas pelo Conselho Monetário Nacional –, que dispõe sobre a política de segurança cibernética e requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem pelas instituições financeiras e demais instituições autorizadas a funcionar pelo BCB, a Resolução nº 85/2021 abrange apenas as instituições de pagamento.
A nova Resolução dispõe que as instituições de pagamento devem implementar e manter uma política de segurança cibernética com políticas que assegurem a confidencialidade, a integridade e a disponibilidade dos dados. Para isso, a política deve ser compatível com o porte, o perfil de risco e o modelo negocial da empresa, a natureza das atividades e a complexidade de seus produtos e serviços, e, por fim, a sensibilidade dos dados.
Essa política também deve conter uma série de itens mínimos, presentes no artigo 3º da nova Resolução, assim como a implementação de um plano de ação e de respostas a incidentes, com relatório anual sobre os incidentes relevantes, a efetividade e os resultados da implementação.
Além disso, a norma assegura que essa política deve ser divulgada de maneira clara e acessível aos seus funcionários e, ao público, um resumo com as linhas gerais.
A norma também contempla os procedimentos adotados para contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior.
Essas contratações devem ser comunicadas ao Banco Central do Brasil em até dez dias após a contratação, enquanto os documentos citados nessa Resolução devem permanecer devidamente disponíveis pelo prazo de cinco anos.
Por fim, considerando que as Resoluções nº 4.893/2021 e nº 85/2021 entrarão em vigor, respectivamente, em 1º de julho e 1º de agosto de 2021, espera-se a uniformização da regulamentação sobre o tema da política de segurança cibernética e dos requisitos de serviços de processamento e armazenamento de dados a serem observados pelas instituições de pagamento e pelas outras instituições autorizadas a funcionar pelo Banco Central.