Resoluções estabelecem regras para implantação de uma política de segurança cibernética e a contratação de serviços de nuvem pelas instituições financeiras
Em 1º agosto termina o prazo para que as instituições financeiras estejam em conformidade com a resolução nº 85 do Banco Central que institui a obrigatoriedade de implementação e manutenção de uma política de segurança cibernética e estabelece requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por todas as empresas que integram o Sistema Financeiro Nacional (SFN).
Antes disso, em 1º de julho, entra em vigor a resolução nº 4.893 do Conselho Monetário Nacional (CMN) que dispõe praticamente das mesmas obrigações, com a diferença que a resolução nº 85 é aplicável exclusivamente aos provedores de serviços de pagamento, enquanto as demais instituições financeiras ficam sob a égide do CMN. Na verdade, as duas resoluções partiram da mesma base, a resolução nº 4.658, que já estabelecia boa parte das políticas e dos requisitos para segurança cibernética e contratação de serviços de computação em nuvem.
Vale ressaltar, porém, que ambos são instrumentos distintos. Quando se compara as novas resoluções com as antigas -- a de nº 4.658 do BC, de 2018; e a de nº 4.752 do CMN, de 2019 -- é possível notar as diferenças. Algumas condições antes existentes nos artigos 15 e 16, por exemplo, foram alteradas e trazem novas exigências. Agora, estabelecem que a instituição financeira, antes de contratar um provedor de nuvem no exterior, deve se certificar da existência de um convênio para troca de informações entre o Banco Central e as autoridades supervisoras dos países onde os serviços poderão ser prestados. Caso contrário, ela deve comunicar ao BC, com no mínimo 60 dias de antecedência, sobre a ausência do convênio.
De acordo com as novas normas, a política de segurança cibernética das instituições financeiras deve contemplar procedimentos e controles para reduzir a vulnerabilidade a incidentes. Estão incluídos também nesse rol mecanismos voltados à prevenção e ao tratamento de incidentes a serem adotados por empresas prestadoras de serviços que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição.
Entre os procedimentos e controles definidos pelas resoluções constam a autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações e a realização periódica de testes e varreduras para detecção de vulnerabilidades. A política de cibersegurança deve contemplar também a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.
Há ainda exigências industriais específicas, que já definem diversos requisitos a serem cumpridos pelas instituições como, por exemplo, o padrão PCI DSS de segurança de dados do setor de cartões de pagamento. Por fim, no contexto de nuvem, existe o "framework" da Cloud Security Alliance, a CSA Cloud Controls Matrix, estrutura de controle de segurança cibernética para computação em nuvem. É uma planilha que lista 16 domínios que abrangem todos os principais aspectos da tecnologia de nuvem.
O mais importante no estabelecimento de uma política de segurança cibernética é que, no final, quem se beneficia são os clientes das instituições financeiras e os consumidores finais. Por um lado, os clientes de provedores de serviços de pagamento poderão contar com serviços seguros e confiáveis, que não ocasionarão perdas de receita por violações ou indisponibilidade do sistema. Por outro lado, os consumidores finais terão à disposição meios de pagamento seguros e confiáveis e poderão escolher aqueles que melhor se adequam às suas necessidades -- e todos terão seus dados, pessoais e financeiros, devidamente protegidos.
*Roberto Gallo é cientista chefe e CEO da Kryptus. Presidente da ABIMDE (Associação Brasileira das Indústrias de Materiais de Defesa e Segurança). Coordenador do Comitê de Segurança e Riscos Cibernéticos da ABES (Associação Brasileira das Empresas de Software)
