Resumo executivo
A Resolução CMN nº 4.658/2018 é uma norma autônoma voltada à governança de segurança cibernética e à contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem por instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. O documento cria dois grandes blocos operacionais: o primeiro organiza a política de segurança cibernética, o plano de ação e resposta a incidentes, a responsabilização executiva, a divulgação e o relatório anual; o segundo disciplina a contratação, o monitoramento e a documentação de serviços tecnológicos relevantes, incluindo contratos no exterior, cláusulas obrigatórias, continuidade de negócios e retenção de evidências.
A curadoria foi construída em modo retrato-fonte: os requisitos refletem os comandos que nascem do texto original da Resolução nº 4.658/2018 e não incorporam alterações, revogações ou substituições posteriores. Por isso, requisitos permanentes foram mantidos como ativos no retrato da norma-fonte, enquanto comandos transitórios com prazo expresso no próprio texto, como o cronograma de adequação de contratos existentes e a aprovação inicial até 6 de maio de 2019, foram tratados como históricos e encerrados.
A norma exige atenção especial de tecnologia, segurança da informação, riscos, controles internos, compliance, jurídico, suprimentos, governança executiva e, quando aplicável, auditoria interna. A execução adequada depende de documentação robusta, processo de contratação tecnológica integrado a riscos, mecanismos de acompanhamento e retenção estruturada por cinco anos.
Escopo e sujeitos regulados
O escopo declarado alcança instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil. A segmentação do pacote usa uma lista positiva de tags financeiras disponíveis para representar esse universo. Como a expressão “demais instituições autorizadas” pode abranger categorias regulatórias que não estejam perfeitamente granularizadas no dicionário de tags, a aplicabilidade deve ser revisada no workspace conforme o cadastro regulatório da empresa, suas autorizações e sua natureza jurídica.
O documento não se aplica indistintamente a qualquer empresa de tecnologia, prestador de nuvem, fornecedor de software ou empresa do setor financeiro em sentido amplo. O sujeito regulado principal é a instituição autorizada pelo Banco Central. Prestadores de serviços aparecem como terceiros relevantes, mas a obrigação regulatória é estruturada sobre a instituição contratante, que deve diligenciar, contratar, monitorar, comunicar, documentar e manter evidências.
Há uma exceção expressa importante no art. 18: os requisitos dos arts. 11 a 17 não se aplicam à contratação de sistemas operados por câmaras, prestadores de serviços de compensação e liquidação, ou entidades que exerçam atividades de registro ou depósito centralizado. Essa exceção foi tratada como ponto de escopo, não como requisito operacional.
Política de segurança cibernética
A política de segurança cibernética é o eixo central da norma. Ela deve buscar assegurar confidencialidade, integridade e disponibilidade de dados e sistemas e ser compatível com porte, perfil de risco, modelo de negócio, natureza das operações, complexidade dos produtos e serviços e sensibilidade dos dados. Isso significa que uma política meramente genérica, sem vínculo com riscos, sistemas, dados e operações da instituição, tende a ser insuficiente para fins de aderência.
O conteúdo mínimo da política inclui objetivos de segurança, procedimentos e controles para reduzir vulnerabilidades, controles específicos de rastreabilidade e proteção de informações sensíveis, registro e análise de incidentes relevantes, diretrizes para testes de continuidade, procedimentos para prestadores que manuseiem dados sensíveis ou relevantes, classificação de dados e informações, parâmetros de relevância de incidentes, cultura de segurança e iniciativas de compartilhamento de informações.
A norma detalha controles técnicos mínimos que devem ser abrangidos pelos procedimentos e controles da política: autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, testes e varreduras de vulnerabilidade, proteção contra softwares maliciosos, mecanismos de rastreabilidade, controles de acesso, segmentação de rede e cópias de segurança. Esses controles também devem alcançar desenvolvimento de sistemas seguros e adoção de novas tecnologias, o que amplia a aderência para processos de mudança, projetos, novos canais e novas plataformas.
Plano de ação e resposta a incidentes
O plano de ação e resposta a incidentes operacionaliza a política. Ele deve contemplar ações para adequar estruturas organizacional e operacional, rotinas, procedimentos, controles e tecnologias para prevenção e resposta a incidentes, além da área responsável pelo registro e controle dos efeitos de incidentes relevantes. A norma exige também designação de diretor responsável pela política e pela execução do plano, podendo haver acumulação de funções desde que não exista conflito de interesses.
O relatório anual de implementação do plano é uma das principais evidências de governança. Ele deve ter data-base de 31 de dezembro, abordar efetividade das ações, resultados de rotinas e controles, incidentes relevantes ocorridos no período e resultados dos testes de continuidade de negócios com cenários de indisponibilidade por incidentes. Deve ser submetido ao comitê de risco, quando existente, e apresentado ao conselho de administração ou diretoria até 31 de março do ano seguinte.
A política e o plano devem ser aprovados pelo conselho de administração ou, na inexistência dele, pela diretoria. Também devem ser documentados e revisados, no mínimo, anualmente. Para produto, isso justifica calendário recorrente de revisão anual e calendário recorrente do relatório anual, sem inventar periodicidades adicionais para controles cuja frequência não foi fixada pela norma.
Contratação de serviços relevantes de dados e nuvem
O bloco de contratação exige que políticas, estratégias e estruturas de gerenciamento de riscos contemplem serviços relevantes de processamento, armazenamento de dados e computação em nuvem, no País ou no exterior. Antes da contratação, a instituição deve adotar práticas de governança e gestão proporcionais à relevância do serviço e aos riscos envolvidos, além de verificar a capacidade do prestador de assegurar conformidade legal e regulatória, acesso a dados, confidencialidade, integridade, disponibilidade, recuperação, certificações, relatórios de auditoria, recursos de gestão, segregação de dados de clientes e qualidade dos controles de acesso.
Essa diligência prévia deve considerar a criticidade do serviço e a sensibilidade dos dados, inclusive a classificação de informações definida na política. Os procedimentos e as informações de verificação devem ser documentados. Para serviços de execução de aplicativos pela internet, a instituição deve assegurar que o potencial prestador adote controles para mitigar vulnerabilidades na liberação de novas versões. Além disso, a instituição deve possuir recursos e competências para gerir adequadamente os serviços contratados.
A norma deixa claro que a instituição contratante permanece responsável pela confiabilidade, integridade, disponibilidade, segurança e sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação. Essa responsabilidade remanescente exige monitoramento contínuo do prestador e não apenas diligência pré-contratual.
Comunicações ao Banco Central e contratações no exterior
A contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem deve ser previamente comunicada ao Banco Central com antecedência mínima de sessenta dias. A comunicação deve conter a denominação da empresa contratada, os serviços relevantes e, em contratações no exterior, a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados.
Alterações contratuais que modifiquem essas informações também devem ser comunicadas ao Banco Central com antecedência mínima de sessenta dias antes da alteração contratual. Esse comando exige que a gestão de mudanças contratuais tenha gatilho regulatório próprio.
Contratações no exterior recebem tratamento específico. Devem observar existência de convênio para troca de informações entre o Banco Central e autoridades supervisoras dos países envolvidos, não causar prejuízo ao funcionamento regular da instituição nem embaraço à atuação do regulador, definir previamente países e regiões e prever alternativas para continuidade dos negócios. A instituição também deve assegurar que a legislação e regulamentação desses locais não restringem nem impedem o acesso da instituição e do Banco Central aos dados e informações. A comprovação deve ser documentada. Se não houver convênio, a instituição deve solicitar autorização ao Banco Central, observando prazo e informações da comunicação prévia.
Contratos, continuidade e regime de resolução
Os contratos de serviços relevantes devem prever cláusulas regulatórias mínimas. Entre elas estão localização de serviços e dados, medidas de segurança para transmissão e armazenamento, manutenção da segregação de dados e controles de acesso, transferência e exclusão de dados em caso de extinção do contrato, acesso da instituição a informações e recursos de gestão, notificação de subcontratação, acesso do Banco Central a contratos, acordos, documentação, dados, cópias de segurança e códigos de acesso, adoção de medidas determinadas pelo Banco Central e obrigação de o prestador manter a instituição informada sobre limitações que possam afetar a prestação dos serviços ou o cumprimento regulatório.
O parágrafo único do art. 17 adiciona cláusulas para caso de decretação de regime de resolução da instituição contratante. O contrato deve assegurar acesso pleno do responsável pelo regime de resolução e notificação prévia sobre intenção de interrupção de serviços com pelo menos trinta dias de antecedência. O prestador deve aceitar eventual pedido adicional de trinta dias, e a notificação também deve ocorrer quando a interrupção decorrer de inadimplência da contratante.
Esses comandos justificam dois requisitos separados no pacote: um para cláusulas contratuais gerais de segurança, dados e continuidade; outro para acesso regulatório e regime de resolução, pela criticidade e pelo conjunto próprio de evidências jurídicas e operacionais.
Continuidade, crise e mecanismos de controle
As políticas de gerenciamento de riscos devem tratar continuidade de negócios para incidentes cibernéticos e interrupção de serviços relevantes contratados, incluindo cenários de substituição do prestador e restabelecimento da operação normal. Os procedimentos de gerenciamento de riscos também devem contemplar tratamento para mitigar efeitos de incidentes relevantes e interrupções, prazo estipulado para reinício ou normalização e comunicação tempestiva ao Banco Central quando as ocorrências configurarem situação de crise pela instituição financeira.
A norma exige ainda mecanismos de acompanhamento e controle para assegurar implementação e efetividade da política, do plano e dos requisitos de contratação. Esses mecanismos devem incluir processos, testes, trilhas de auditoria, métricas, indicadores e identificação e correção de deficiências. Notificações sobre subcontratação de serviços relevantes devem ser consideradas, e os mecanismos devem ser submetidos a testes periódicos pela auditoria interna, quando aplicável.
Esse bloco é especialmente relevante para evidências de segunda linha, auditoria interna e governança executiva. A instituição deve ser capaz de demonstrar que monitora a efetividade do regime, não apenas que possui políticas e contratos.
Retenção de documentos e comandos transitórios
O art. 23 estabelece retenção por cinco anos à disposição do Banco Central para documentos centrais: política de segurança cibernética, ata de opção por política única, plano de resposta, relatório anual, documentação de diligência prévia, documentação de requisitos no exterior, contratos relevantes e dados, registros e informações de mecanismos de acompanhamento e controle. Para contratos, o prazo conta da extinção do contrato; para registros dos mecanismos de acompanhamento, conta da implementação desses mecanismos.
A resolução também contém comandos transitórios. Instituições com contratos relevantes já existentes na data de entrada em vigor deveriam apresentar ao Banco Central, em até cento e oitenta dias, cronograma de adequação, com prazo final de adequação não superior a 31 de dezembro de 2021. A aprovação inicial da política e do plano deveria ocorrer até 6 de maio de 2019. Esses itens foram convertidos em requisitos históricos com status encerrado, úteis para auditoria de evidências pretéritas, mas não tratados como obrigações recorrentes atuais.
Pontos de atenção para compliance
O primeiro ponto de atenção é a classificação de serviços relevantes. Sem triagem adequada, uma contratação de nuvem ou processamento de dados pode escapar de diligência prévia, comunicação ao Banco Central, cláusulas obrigatórias e retenção documental. O segundo ponto é a integração entre segurança cibernética, continuidade de negócios e gestão de terceiros. A norma pressupõe que incidentes, prestadores, contratos e continuidade sejam tratados de forma coordenada.
O terceiro ponto é a prova documental. A resolução cria diversas evidências: política, plano, atas, relatório anual, registros de incidentes, dossiês de prestadores, comunicações ao Banco Central, contratos, pareceres de contratação no exterior, testes, indicadores, relatórios de auditoria e registros de retenção. O quarto ponto é a governança de alterações contratuais, pois mudanças relevantes devem ser comunicadas ao Banco Central com antecedência mínima de sessenta dias quando alterarem informações previamente comunicadas.
Por fim, o pacote deve ser usado como acelerador regulatório e não como consolidação vigente. Para uso operacional atual, recomenda-se avaliar no workspace se existe norma posterior aplicável e processá-la em pacote próprio ou em modo consolidado, conforme o caso.
