Get Started. It's Free
or sign up with your email address
Rocket clouds
BACEN - 4658 by Mind Map: BACEN - 4658

1. Política De Segurança Cibernética

1.1. compatível com

1.1.1. I - o porte, o perfil de risco e o modelo de negócio da instituição;

1.1.2. II - a natureza das operações e a complexidade dos produtos, serviços, atividades e processos da instituição; e

1.1.3. III - a sensibilidade dos dados e das informações sob responsabilidade da instituição.

1.2. deve contemplar, no mínimo

1.2.1. I - os objetivos de segurança cibernética da instituição;

1.2.2. II - os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

1.2.2.1. Autenticação

1.2.2.2. Criptografia

1.2.2.3. Prevenção e a detecção de intrusão

1.2.2.4. Prevenção de vazamento de informações

1.2.2.5. Realização periódica de testes e varreduras para detecção de vulnerabilidades

1.2.2.6. Proteção contra softwares maliciosos

1.2.2.7. Estabelecimento de mecanismos de rastreabilidade

1.2.2.8. Controles de acesso e de segmentação da rede de computadores

1.2.2.9. Cópias de segurança dos dados e das informações.

1.2.3. III - os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;

1.2.4. IV - o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;

1.2.5. V - as diretrizes para:

1.2.5.1. a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios;

1.2.5.2. b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;

1.2.5.3. c) a classificação dos dados e das informações quanto à relevância; e

1.2.5.4. d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;

1.2.6. VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo:

1.2.6.1. a) a implementação de programas de capacitação e de avaliação periódica de pessoal;

1.2.6.2. b) a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; e

1.2.6.3. c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética; e

1.2.7. VII - as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com as demais instituições referidas no art. 1º.

1.3. divulgação

1.3.1. Art. 4º A política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

1.3.2. Art. 5º As instituições devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

1.4. apresentado e aprovado por:

1.4.1. conselho de administração ou, na sua inexistência, pela diretoria da instituição.

2. Plano de Resposta a Incidentes e de Ação

2.1. deve abranger, no mínimo:

2.1.1. I - as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;

2.1.2. II - as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética; e

2.1.3. III - a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

2.2. devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

2.3. relatório anual sobre a implementação do plano de ação e de resposta a incidentes

2.3.1. deve conter, no mínimo:

2.3.1.1. I - a efetividade da implementação das ações descritas no art. 6º, parágrafo único, inciso I;

2.3.1.2. II - o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes descritos no art. 6º, parágrafo único, inciso II;

2.3.1.3. III - os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e

2.3.1.4. IV - os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes.

2.3.2. apresentado e aprovado por:

2.3.2.1. I - submetido ao comitê de risco, quando existente; e

2.3.2.2. II - apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base.

2.4. apresentado e aprovado por:

2.4.1. conselho de administração ou, na sua inexistência, pela diretoria da instituição.

3. Contratação de Serviços de Processamento e armazenamento de dados e de computação em nuvem

3.1. Adotar procedimentos que contemplem:

3.1.1. I - a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas; e

3.1.1.1. Avaliação do nível de sensibilidade, considerando a classificação da informação

3.1.2. II - a verificação da capacidade do potencial prestador de serviço de assegurar:

3.1.2.1. a) o cumprimento da legislação e da regulamentação em vigor;

3.1.2.2. b) o acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;

3.1.2.3. c) a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;

3.1.2.4. d) a sua aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado;

3.1.2.5. e) o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;

3.1.2.6. f) o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

3.1.2.7. g) a identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos; e

3.1.2.8. h) a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição.

3.2. Considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado, levando em conta, inclusive, a classificação da informação,

3.3. Documentar a capacidade dor provedor em atender aos requisitos (Resolução 4658, acesso aos dados envolvidos, confidencialidade, integridade e disponibilidade, recuperação de dados, certificações exigidas, relatórios de auditorias indepedente, gestão dos serviços, segregação do ambiente, qualidade dos controles)

3.4. Controles do provedor para mitigação de vulnerabilidades na liberação de novas versões de aplicativos de internet

3.5. Competência técnica necessária para assegurar a gestão dos serviços a serem contratados

3.6. Comunicar previamente ao BACEN

3.6.1. I - a denominação da empresa a ser contratada;

3.6.2. II - os serviços relevantes a serem contratados; e

3.6.3. III - a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados, definida nos termos do inciso III do art. 16, no caso de contratação no exterior.

3.7. Contratação de serviços no exterior

3.7.1. I - a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados;

3.7.2. II - a instituição contratante deve assegurar que a prestação dos serviços referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;

3.7.3. III - a instituição contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e

3.7.4. IV - a instituição contratante deve prever alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.

3.8. Os contratos devem prever:

3.8.1. I - a indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;

3.8.2. II - a adoção de medidas de segurança para a transmissão e armazenamento dos dados citados no inciso I;

3.8.3. III - a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;

3.8.4. IV - a obrigatoriedade, em caso de extinção do contrato, de:

3.8.4.1. a) transferência dos dados citados no inciso I ao novo prestador de serviços ou à instituição contratante; e

3.8.4.2. b) exclusão dos dados citados no inciso I pela empresa contratada substituída, após a transferência dos dados prevista na alínea "a" e a confirmação da integridade e da disponibilidade dos dados recebidos;

3.8.5. V - o acesso da instituição contratante a:

3.8.5.1. a) informações fornecidas pela empresa contratada, visando a verificar o cumprimento do disposto nos incisos I a III;

3.8.5.2. b) informações relativas às certificações e aos relatórios de auditoria especializada, citados no art. 12, inciso II, alíneas "d" e "e"; e

3.8.5.3. c) informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados, citados no art. 12, inciso II, alínea "f";

3.8.6. VI - a obrigação de a empresa contratada notificar a instituição contratante sobre a subcontratação de serviços relevantes para a instituição;

3.8.7. VII - a permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações;

3.8.8. VIII - a adoção de medidas pela instituição contratante, em decorrência de determinação do Banco Central do Brasil; e

3.8.9. IX - a obrigação de a empresa contratada manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

3.9. Regime de resolução

3.9.1. I - a obrigação de a empresa contratada conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso, citados no inciso VII do caput, que estejam em poder da empresa contratada; e

3.9.2. II - a obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção de a empresa contratada interromper a prestação de serviços, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:

3.9.2.1. a) a empresa contratada obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e

3.9.2.2. b) a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da contratante.

3.9.3. Art. 18. O disposto nos arts. 11 a 17 não se aplica à contratação de sistemas operados por câmaras, por prestadores de serviços de compensação e de liquidação ou por entidades que exerçam atividades de registro ou de depósito centralizado.

4. Gestão de Riscos e Plano de Continuidade de Negócio

4.1. Abrangência

4.1.1. I - o tratamento dos incidentes relevantes relacionados com o ambiente cibernético de que trata o art. 3º, inciso IV;

4.1.2. II - os procedimentos a serem seguidos no caso da interrupção de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada e o reestabelecimento da operação normal da instituição; e

4.1.3. III - os cenários de incidentes considerados nos testes de continuidade de negócios de que trata o art. 3º, inciso V, alínea "a".

4.2. Deve haver procedimentos para:

4.2.1. I - o tratamento previsto para mitigar os efeitos dos incidentes relevantes de que trata o inciso IV do art. 3º e da interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados;

4.2.2. II - o prazo estipulado para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos, citados no inciso I; e

4.2.3. III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem uma situação de crise pela instituição financeira, bem como das providências para o reinício das suas atividades.