Cibersegurança na mira do Bacen: iniciado o prazo de execução do cronograma de adaptação à nova norma

Terminou o prazo para que as instituições financeiras entreguem ao Banco Central o cronograma de adaptação à norma de segurança cibernética. Após seis meses de entrada em vigor da nova norma (resolução CMN 4.658), o mercado já assimila os desafios por ela impostos e trabalha intensamente para se adequar.

 

A nova regulamentação tem como pano de fundo a segurança da informação e objetiva regular a contratação de serviços relevantes de processamento e armazenamento de dados e computação em nuvem. A definição do que sejam serviços relevantes não é estanque e deverá ser feita por cada instituição, levando em conta suas particularidades e o quanto definido em sua política de segurança cibernética. Em tal definição, a instituição deverá levar em conta a importância dos serviços para a continuidade de suas atividades e a sensibilidade dos dados e informações tratados pelo prestador de serviços.

 

Os dados processados por instituições financeiras já guardam em si um conteúdo de grande sensibilidade e são objeto de proteção, por exemplo, por meio da lei do sigilo bancário. Não obstante, na atualidade, a quase totalidade dos dados são processados de forma eletrônica pelas instituições financeiras e seus prestadores de serviços, de forma que a proteção ao meio pelo qual tais dados são tratados se torna também relevante.

 

Neste contexto é que se insere a norma de cibersegurança. Ela objetiva criar um ambiente mais robusto de proteção das informações, especialmente no que concerne à preservação dos dados, monitoramento dos serviços e mitigação de danos. Com tal finalidade, a nova resolução estabelece diversas obrigações para as instituições financeiras e para seus prestadores de serviços. Certamente que muitas destas obrigações já eram em maior ou menor medida adotadas pelas instituições financeiras, mas agora passam a ser objeto da fiscalização do regulador.

 

Destaca-se, no âmbito da preservação da segurança da informação, a obrigatoriedade, para as instituições financeiras, de elaborar, aprovar e implementar uma política de segurança cibernética, bem como um plano de ação e de resposta a incidentes até no máximo 6/5/19. Outro requisito do normativo é de que as instituições façam uma avaliação prévia de seus prestadores de serviço para assegurar que eles tenham capacidade de garantir a segurança da informação, impondo-se, inclusive, obrigações contratuais para tanto.

 

Pode-se mencionar como exemplo dos mecanismos de proteção dos dados, a obrigatoriedade de os prestadores de serviços adotarem medidas de segurança para a transmissão e armazenamento dos dados, bem como a obrigatoriedade de manterem a segregação dos dados e dos controles de acesso para proteção das informações dos clientes.

 

Para além da prevenção, o normativo cria um rigoroso arcabouço de monitoramento da segurança cibernética. Dentre os elementos que compõe este arcabouço, destaca-se a obrigatoriedade de nomeação de um diretor responsável por tal monitoramento, a obrigatoriedade de fornecer relatórios anuais ao regulador; a necessidade de o prestador contratar auditoria especializada independente para aferir os procedimentos e controles utilizados na prestação dos serviços, bem como para verificar a aderência às certificações exigidas pela instituição financeira.

 

Uma preocupação adicional endereçada pela norma é a criação de mecanismos, especialmente contratuais, para viabilizar o acesso aos dados tratados pelos prestadores de serviços. Nesta linha, destaca-se a necessidade de facultar o acesso do Bacen aos dados processados pelos vendors, com a finalidade de viabilizar tanto a fiscalização quanto a atuação em uma eventual resolução da instituição financeira.

 

Neste contexto ainda, para a contratação de serviços de processamento e armazenamento de dados, bem como de computação em nuvem no exterior, faz-se necessário que as autoridades supervisoras do país estrangeiro tenham convênio para troca de informações com o Bacen. Do contrário, a contratação de tais prestadores deverá ser precedida de autorização do Bacen.

 

Por fim, um terceiro prisma da norma é a mitigação de danos em casos de incidentes envolvendo a quebra de segurança da informação. Para tal escopo, o normativo estabelece a obrigatoriedade de comunicação tempestiva ao Bacen e a tomada das medidas necessárias visando a mitigação dos danos não apenas aos clientes, mas ao sistema financeiro como um todo. Adicionalmente, é incentivada a criação de mecanismos de compartilhamento de informações sobre incidentes entre os players do mercado, com o objetivo de gerar maior proteção ao sistema como um todo.

 

Em que pese as novas contratações realizadas, após a entrada em vigor da norma, já tenham de observar os requisitos estabelecidos pelo regulador, foi estabelecida o prazo de até 31/12/21 como limite para a adequação de todo o estoque de contratações feitas por instituições financeiras, relativamente aos serviços relevantes de processamento e armazenamento de dados, bem como de computação em nuvem.

 

Se à primeira vista o prazo para completa adequação parece um futuro longínquo, há que se ter em mente que serão meses de muito trabalho para os envolvidos. A adequação do estoque de contratos demandará, além de adequações tecnológicas, muitas negociações com os vendors de tecnologia, haja vista o número de obrigações que passam a ser impostas a tais prestadores de serviços, a fim de que possam atender o mercado financeiro. Está aberta, pois, a temporada de troca de minutas entre os advogados.

_________

*Leandro Vilarinho Borges é sócio do escritório Velloza Advogados Associados.

*Hildelene Santos Bertolini é associada do escritório Velloza Advogados Associados.