Resolução 4893 Flashcards
Política de segurança cibernética pode ser conceituado como
um conjunto de regras e procedimentos para lidar com os riscos à segurança dos dados no ambiente digital.
Essa a política deve assegurar, em relação aos dados:
▶ confidencialidade
▶ integridade
▶ disponibilidade
Esta Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas
instituições autorizadas a funcionar pelo Banco Central do Brasil.
a política de deve ser compatível com:
I. o porte, o perfil de risco e o modelo de negócio da instituição;
II. a natureza das operações e a complexidade dos produtos, serviços, atividades e processos da instituição; e
III. a sensibilidade dos dados e das informações sob responsabilidade da instituição.
Instituições financeiras do mesmo grupo (como Banco do Brasil e BB Consórcios, por exemplo) podem
implementar e seguir a mesma política.
A política de segurança cibernética deve contemplar, no mínimo:
I - os objetivos de segurança cibernética da instituição;
II - os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;
III - os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;
IV - o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;
V - as diretrizes para:
a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios;
b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;
c) a classificação dos dados e das informações quanto à relevância; e
d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;
VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo:
a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; e
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética; e
VII - as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com as demais instituições referidas no art. 1º.
A política de segurança cibernética deve ser divulgada,
mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.
o público deve ter acesso a política de segurança cibernética em forma de
resumo contendo as linhas gerais desta política
O plano de ação e de resposta a incidentes deve envolver no mínimo
I. as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;
II. as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética;
III. a área responsável pelo registro e controle dos efeitos de incidentes relevantes.
As instituições devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, abordando, entre outras coisas:
▶ a efetividade da implementação das ações;
▶ o resumo dos resultados obtidos na implementação;
▶ os incidentes relevantes ocorridos
▶ os resultados dos testes de continuidade de
As instituições devem designar diretor responsável pela
política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.
A política de segurança cibernética e o plano de ação devem:
▶ ser aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição;
▶ documentados e revisados, no mínimo, anualmente;
▶ ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos.
Os serviços de computação em nuvem abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:
I - processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;
II - implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou
III - execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.
A instituição contratante é responsável pela
confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.
As instituições devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços,
contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.
E após a contratação, em até
10 dias, essa contratação deve ser comunicada pelas instituições ao Banco Central do Brasil, bem como quaisquer alterações contratuais que impliquem modificação relevante.
