Diante da crescente utilização de meios eletrônicos e de inovações tecnológicas no setor financeiro, o Conselho Monetário Nacional (CMN) aprovou nesta quinta-feira, 26, a Resolução nº 4.658, que obriga as instituições a terem controles e sistemas cada vez mais robustos, especialmente quanto à resiliência a ataques cibernéticos.
A Resolução prevê a obrigatoriedade de as instituições financeiras implementarem política de segurança cibernética e estabelece requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
A medida define o conteúdo mínimo da política de segurança cibernética e determina a implementação de plano de ação, que deve prever os procedimentos e os controles adotados pela instituição na prevenção e na resposta a incidentes relacionados ao ambiente cibernético.
A norma também estabelece requisitos para a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no Brasil e o no exterior, com procedimentos prévios às contratações e cláusulas contratuais mínimas a serem estabelecidas entre as instituições financeiras e os prestadores desses serviços.
Nesse contexto, essa medida permite que as instituições financeiras continuem recorrendo a inovações junto a provedores de tecnologia, mas com aperfeiçoamento dos requisitos prudenciais e de governança nesse processo.
A regulamentação entra em vigor na data de publicação e prevê que as instituições implementem a política de segurança até 6 maio de 2019. As instituições que já tiverem contratado a prestação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem, no Brasil ou no exterior, devem apresentar ao Banco Central do Brasil, no prazo máximo de cento e oitenta dias cronograma para adequação a esse novo regramento.
