Bacen resolução CMN Nº4.658 substituída por 4.893/21

O Bacen CMN Nº4.893/21 aborda a política de segurança cibernética e plano de resposta a incidentes, sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

As empresas devem implementar e manter políticas de segurança cibernética formuladas com base em princípios e diretrizes que busquem assegurar a confidencialidade, integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

A politica deve ser compatível com o perfil de risco e o modelo de negócio de cada empresa, deve contemplar no mínimo procedimentos e controles adotados para reduzir as vulnerabilidades da empresa e incidentes de segurança, que visa manter uma rastreabilidade a informações sensíveis, que tenha análise de cada impacto, bem como o controle dos efeitos de incidentes relevantes as atividades das empresas e a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios.

O plano de ação de resposta a incidentes deve ser desenvolvido pela empresa para adequar suas estruturas organizacionais e operacionais aos princípios e às diretrizes da politica de segurança cibernética, designando um diretor responsável pela política e execução do plano de ação e de resposta a incidentes, que por sua vez deve ser submetido ao comitê de risco e apresentado ao conselho de administração ou, na sua inexistência, a diretoria da empresa para ser aprovado.

A Bacen CMN Nº4.893/21 afirma que as empresas devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.

O Banco Central do Brasil poderá vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços!