CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

Resolução nº 4.658: entenda o impacto na segurança da informação no setor financeiro

O avanço da tecnologia e da internet tornou a informação mais acessível do que nunca. Isso ampliou as ameaças à segurança da informação em empresas dos mais variados segmentos.

Mas existe um setor que tende a ser mais visado que os demais: as instituições financeiras. Seja pelo volume de transações financeiras ou pela grande variedade de dados pessoais e bancários dos usuários, as empresas que prestam serviço na área financeira precisam de políticas rígidas de segurança de dados sensíveis para evitar brechas que atraiam hackers e outros tipos de ataques cibernéticos.

É realmente necessário regulamentar todos os detalhes relacionados à segurança da informação e garantir a uniformidade dessas operações. E foi a partir desta demanda que o Banco Central do Brasil (Bacen) publicou a Resolução Nº 4.658.

Neste artigo, examinaremos algumas particularidades desta resolução, que rege a transmissão e o armazenamento de dados coletados e como as empresas do setor financeiro podem estar em conformidade/compliance.

A Resolução nº 4.658 e seu impacto na segurança da informação

Em abril de 2018, o Conselho Monetário Nacional (CMN) emitiu a Resolução nº 4.658, que estabelece novas exigências de segurança cibernética cobrindo instituições reguladas pelo Banco Central do Brasil – Bacen.

A Resolução exige que as instituições financeiras que operam sob autorização do BACEN implementem políticas de segurança cibernética até 6 de maio de 2019 e estejam em total conformidade com o regulamento até 31 de dezembro de 2021.

Esses requisitos da Resolução abrangem prestadores de serviços terceirizados contratados por instituições financeiras, incluindo aqueles localizados fora do Brasil. Mas, atenção, ao contratar serviços de terceiros, a instituição financeira não se exime de responsabilidade pelos atos praticados pelo prestador contratado.

Sob a Resolução, as instituições cobertas são obrigadas a nomear um diretor, que será responsável por implementar e supervisionar a política de segurança cibernética e adotar procedimentos e controles para prevenir e responder a incidentes de segurança cibernética.

Os regulamentos não determinam prazos específicos para notificações de violação de dados, mas afirmam que as entidades regulamentadas devem fazer tais notificações imediatamente, mantendo um plano de comunicação pautado pela celeridade e transparência na comunicação de vazamentos de dados e quebras nos protocolos de segurança da informação das instituições.

As instituições financeiras cobertas também são obrigadas, a partir de então, a fornecer um relatório anual ao Banco Central, divulgando quaisquer incidentes de segurança cibernética, bem como esforços de remediação.

Além disso, quando provedores de serviços terceirizados são contratados para processamento de dados, armazenamento de dados ou computação em nuvem, a nova Resolução exige que as instituições cobertas celebrem contratos exigindo que os provedores terceirizados – incluindo aqueles fora do Brasil – cumpram certos requisitos. Saiba mais sobre isso no tópico a seguir.

CONTEÚDOS RECOMENDADOS

Segurança da informação e o combate aos ataques digitais

Como engajar a equipe em prol da segurança da comunicação?

 

Requisitos previstos na Resolução nº 4.658

Entre as exigências sobre segurança da informação previstos na resolução estão o requisito de notificar a entidade coberta de quaisquer subcontratados relevantes e de autorizar o Banco Central a acessar todos os documentos e informações relacionados aos serviços.

As instituições cobertas ainda são obrigadas a fornecer ao BACEN certas informações sobre os fornecedores terceirizados antes de sua retenção.

Também é dever das instituições financeiras ter um plano de ação e de resposta a incidentes, que deve ser compatível com o tamanho da empresa, o nível de sensibilidade dos dados manipulados e a complexidade das operações que realiza.

Essa política de cibersegurança deve oferecer diretrizes que garantam a integridade, confidencialidade e disponibilidades das informações e sistemas utilizados pelas instituições financeiras.

Segurança da informação: de tendência à necessidade essencial

Com a implantação da Resolução nº 4.658, o Brasil dá um largo passo em relação à implementação de medidas mais robustas de segurança cibernética e segue a tendência de vários países latino-americanos que, também, já adotaram medidas para reforçar suas leis de proteção de dados, incluindo Argentina, México e Chile.

A Resolução nº 4.658 é essencial para aprimorar a cibersegurança do mercado financeiro. Para garantir isso, é importante que as empresas do setor contem com parceiros experientes e que entreguem as melhores soluções em segurança da informação para o ambiente.

Baixe o Security Report 2019 – Volume 1, o mais completo estudo sobre Segurança da Informação elaborado pelos maiores especialistas do mercado

 

Leia outros artigos