O Conselho Monetário Nacional (CMN) atualizou, em 26/02/2021, a sua resolução sobre política de segurança cibernética e contratação de serviços de computação em nuvem. A nova Resolução CMN de nº 4.893 atualizou poucos pontos, sendo os principais:
Instituições de Pagamento
- A Resolução deixa de ser aplicada às instituições de pagamento (art. 1), cuja regulação sobre o tema é destacada como de competência do Banco Central (BC).
Art. 1º Esta Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.
Parágrafo único. O disposto nesta Resolução não se aplica às instituições de pagamento, que devem observar a regulamentação emanada do Banco Central do Brasil, no exercício de suas atribuições legais.
Gerenciamento de Riscos
- Os planos de gerenciamento de riscos, que incluem incidentes de segurança da informação e interrupção de serviços, devem documentar os critérios de análise de risco utilizados pela instituição (art. 20). Esses critérios devem ficar à disposição do BC por 5 anos (art. 23, IX)Art. 20. Os procedimentos adotados pelas instituições para gerenciamento de riscos previstos na regulamentação em vigor devem contemplar, no tocante à continuidade de negócios:
I – o tratamento previsto para mitigar os efeitos dos incidentes relevantes de que trata o inciso IV do art. 3º e da interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados;
II – o prazo estipulado para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos, citados no inciso I do caput; e
III – a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes citados no inciso I do caput que configurem uma situação de crise pela instituição financeira, bem como das providências para o reinício das suas atividades.
Parágrafo único. As instituições devem estabelecer e documentar os critérios que configurem uma situação de crise de que trata o inciso III do caput.Art. 23. Devem ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos:I – o documento relativo à política de segurança cibernética, de que trata o art. 2º;
II – a ata de reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição, no caso de ser formalizada a opção de que trata o art. 2º, § 2º;
III – o documento relativo ao plano de ação e de resposta a incidentes, de que trata o art. 6º;
IV – o relatório anual, de que trata o art. 8º;
V – a documentação sobre os procedimentos de que trata o art. 12, § 2º;
VI – a documentação de que trata o art. 16, § 3º, no caso de serviços prestados no exterior;
VII – os contratos de que trata o art. 17, contado o prazo referido no caput a partir da extinção do contrato;
VIII – os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle de que trata o art. 21, contado o prazo referido no caput a partir da implementação dos citados mecanismos; e
IX – a documentação com os critérios que configurem uma situação de crise de que trata o art. 20, Parágrafo único.
A Resolução atualizada entrará em vigor em 1º de julho de 2021.
A equipe da área de Mercado Financeiro e de Capitais do Baptista Luz Advogados está acompanhando as iniciativas relacionadas a este setor, oriundas do BCB e dos demais entes públicos, e por isso permanece à disposição para qualquer esclarecimento adicional.
new RDStationForms(‘formulario-newsletter-fintechs-b6be202bb2faf417a1b8’, ‘UA-91686746-1’).createForm();