Segurança cibernética

Question 1

O que é a Resolução CMN nº 4893/2021

Answer 1

Segurança Cibernética

Question 2

dispõe sobre a política de segurança cibernética e os
requisitos para a contratação de serviços de processamento e armazenamento de dados e
de computação em nuvem

Answer 2

Resolução CMN nº 4893/2021

Question 3

Os requisitos devem ser observados pelas instituições autorizadas a funcionar pelo
BACEN
* Exceção: a Resolução não se aplica às instituições de pagamento, que devem
observar a regulamentação emanada do BACEN, no exercício de suas
atribuições legais.

Answer 3

.

Question 4

As instituições autorizadas pelo devem implementar e manter política de
segurança cibernética formulada com base em princípios e diretrizes que busquem
assegurar aos dados:

Answer 4

*Confidencialidade;
* Integridade;
* — Disponibilidade.

Question 5

Admite-se a adoção de política de segurança cibernética única por:

Answer 5

• —Conglomerado prudencial;
• — Sistema cooperativo de crédito.

Question 6

A política deve ser compatível com:

Answer 6

• O porte, o perfil de risco e o modelo de negócio da instituição;
• —A natureza das operações e a complexidade dos produtos, serviços, atividades.

Question 7

A política de segurança cibernética deve contemplar, no mínimo: (*)

Answer 7

• —Os objetivos de segurança cibernética da instituição;
• —Os procedimentos e os controles adotados para reduzir a vulnerabilidade da
  instituição a incidentes e atender;
• —Os controles específicos, incluindo os voltados para a rastreabilidade da
  informação, que busquem garantir a segurança das informações sensíveis;
• O registro, a análise da causa e do impacto, bem como o controle dos efeitos
  de incidentes relevantes para as atividades da instituição;
• —As iniciativas para compartilhamento de informações sobre os incidentes
  relevantes;

Question 8

A política de segurança cibernética deve contemplar, no mínimo:
* As diretrizes para: (**)

Answer 8

• A claboração de cenários de incidentes considerados nos testes de
  continuidade de negócios;
• —A definição de procedimentos e de controles voltados à prevenção e ao
  tratamento dos incidentes a serem adotados por empresas prestadoras
  de serviços a terceiros que manuseiem dados ou informações sensíveis
  ou que sejam relevantes para a condução das atividades operacionais
  da instituição;
• A classificação dos dados e das informações quanto à relevância;
• — A definição dos parâmetros a serem utilizados na avaliação da
  relevância dos incidentes.

Question 9

A política de segurança cibernética deve contemplar, no mínimo:***

Answer 9

• —Os mecanismos para disseminação da cultura de segurança cibernética na
  instituição, incluindo:
• —Aimplementação de programas de capacitação e de avaliação
  periódica de pessoal;
• A prestação de informações a clientes e usuários sobre precauções na
  utilização de produtos e serviços financeiros;
• —O comprometimento da alta administração com a melhoria contínua
  dos procedimentos relacionados com a segurança cibernética.

Question 10

A política de segurança cibernética deve ser divulgada aos funcionários da
instituição e às empresas prestadoras de serviços a terceiros, mediante linguagem
clara, acessível e em nível de detalhamento compatível com as funções
desempenhadas e com

Answer 10

a sensibilidade das informações

Question 11

As instituições devem divulgar ao público resumo contendo as

Answer 11

linhas gerais da
política de segurança cibernética

Question 12

As instituições devem elaborar relatório anual sobre a implementação do plano de
ação e de resposta a incidentes, que deve abordar, no mínimo:

Answer 12

• A efetividade da implementação das ações;
• —O resumo dos resultados obtidos na implementação das rotinas, dos
  procedimentos, dos controles e das tecnologias a serem utilizados na
  prevenção e na resposta a incidentes;
• —Os incidentes relevantes relacionados com o ambiente cibernético ocorridos
  no período;
• —Os resultados dos testes de continuidade de negócios, considerando cenários
  de indisponibilidade ocasionada por incidentes.

Question 13

A política de segurança cibernética e o plano de ação e de resposta a incidentes
devem ser

Answer 13

documentados e revisados, no mínimo, anualmente

Question 14

As instituições devem assegurar que suas políticas, estratégias e estruturas para
gerenciamento de riscos, especificamente no tocante aos critérios de decisão quanto
à terceirização de serviços, contemplem a contratação de serviços relevantes de
processamento e armazenamento de dados e de computação em nuvem, no País ou
no exterior

Answer 14

.

Question 15

Previamente a contratação dos serviços, as instituições devem adotar procedimentos
que contemplem:

Answer 15

A adoção de práticas de governança corporativa e de gestão proporcionais à
relevância do serviço a ser contratado e aos riscos a que estejam expostas;

Question 16

Previamente a contratação dos serviços, as instituições devem adotar procedimentos
que contemplem: (**)

Answer 16

• — Verificação da capacidade do po sao de serviço de assegurar:
• — O cumprimento da legislação e da regulamentação em vigor;
  . O acesso da instituição aos dados e às informações a serem processados ou
  armazenados pelo prestador de serviço;
• — A confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e
  das informações processados ou armazenados pelo prestador de serviço:
• — A sua aderência a certificações exigidas pela instituição para a prestação do
  serviço a ser contratado;
• —Oacessoda instituição contratante aos relatórios elaborados por empresa de
  auditoria especializada independente contratada pelo prestador de serviço;
• —O provimento de informações e de recursos de gestão adequados ao
  monitoramento dos serviços a serem prestados;
  em A identificação e a segregação dos dados dos clientes da instituição por meio de
  controles físico ou lógicos;