Norma
16/08/2018

Circular N° 3.909

Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.

Logo do regulador Banco Central

Registros selecionados

Resumo

A Circular 3.909 estabelece as regras de segurança cibernética e de contratação de serviços em nuvem para Instituições de Pagamento (IPs). Fique atento aos principais pontos:

🔒 Política de Segurança Cibernética: É obrigatório implementar uma política robusta, criar um plano de resposta a incidentes, designar um diretor responsável e elaborar um relatório anual sobre o tema.

☁️ Contratação de Serviços em Nuvem: Exige análise rigorosa dos fornecedores de processamento e armazenamento de dados, garantindo que eles cumpram requisitos de segurança e conformidade.

📣 Comunicação Prévia ao BCB: A contratação de serviços relevantes de nuvem e dados deve ser comunicada ao Banco Central com 60 dias de antecedência.

🌎 Regras para Serviços no Exterior: Contratar fornecedores fora do Brasil exige verificações adicionais, como a existência de acordos de cooperação entre o BCB e autoridades locais ou a obtenção de autorização prévia.

✍️ Cláusulas Contratuais Essenciais: Os contratos devem garantir o acesso do Banco Central aos dados e incluir previsões específicas para a terminação do serviço e para cenários de crise na instituição.

📂 Guarda de Documentos: A política, os planos, relatórios e contratos devem ser armazenados por 5 anos e mantidos à disposição do BCB.

Esta Circular estabelece as diretrizes para a política de segurança cibernética e os requisitos para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem que devem ser observados pelas instituições de pagamento (IPs) autorizadas a funcionar pelo Banco Central do Brasil.

Política de Segurança Cibernética

As instituições de pagamento devem implementar e manter uma política de segurança cibernética compatível com seu porte, perfil de risco e modelo de negócio. O objetivo é assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

A política deve contemplar, no mínimo:

  • Os objetivos de segurança da instituição, com foco em prevenir, detectar e reduzir vulnerabilidades.

  • Procedimentos e controles técnicos, como autenticação, criptografia, prevenção de intrusão, testes periódicos de vulnerabilidades, proteção contra softwares maliciosos, rastreabilidade e manutenção de cópias de segurança (backups).

  • Registro, análise de causa e impacto, e controle dos efeitos de incidentes relevantes.

  • Diretrizes para a segurança na contratação de prestadores de serviços terceirizados que manuseiem dados sensíveis.

  • Mecanismos para disseminar a cultura de segurança cibernética, incluindo capacitação de pessoal e comunicação com usuários finais.

  • Iniciativas para o compartilhamento de informações sobre incidentes relevantes com outras instituições reguladas.

Além da política, as instituições devem elaborar um Plano de Ação e de Resposta a Incidentes, designar formalmente um diretor responsável pelo tema e elaborar um relatório anual sobre a implementação do plano. Este relatório, com data-base de 31 de dezembro, deve ser apresentado à diretoria ou ao conselho de administração até 31 de março do ano seguinte.

Contratação de Serviços de Nuvem e Processamento de Dados

A contratação de serviços relevantes de processamento de dados, armazenamento e computação em nuvem exige um processo criterioso de governança e gestão de riscos.

Comunicação Prévia ao Banco Central: A instituição deve comunicar ao BCB a contratação de serviços relevantes com antecedência mínima de 60 dias. A comunicação deve incluir a identificação do fornecedor, os serviços a serem contratados e, no caso de serviços no exterior, os países e regiões onde os dados serão armazenados e processados.

Requisitos para Contratação no Exterior: Para serviços prestados fora do Brasil, a instituição deve garantir:

  • A existência de um convênio para troca de informações entre o BCB e as autoridades supervisoras do país onde o serviço será prestado. Na ausência de convênio, é necessária uma autorização prévia do BCB.

  • Que a legislação e a regulamentação estrangeiras não restrinjam o acesso aos dados pela instituição contratante e pelo Banco Central.

  • A definição prévia dos países e regiões de prestação do serviço.

  • A existência de planos de continuidade que prevejam alternativas em caso de extinção do contrato.

Cláusulas Contratuais Obrigatórias: Os contratos com esses fornecedores devem prever, entre outros pontos:

  • A indicação dos países e regiões onde os serviços serão prestados.

  • A obrigação do fornecedor de notificar a instituição sobre a subcontratação de serviços relevantes.

  • Procedimentos para a transferência dos dados ao novo prestador ou à própria instituição e a exclusão definitiva dos dados pelo antigo fornecedor ao término do contrato.

  • A permissão de acesso do Banco Central do Brasil aos contratos, documentação, dados armazenados, informações sobre processamentos e códigos de acesso.

  • Cláusulas específicas para o caso de decretação de regime de resolução da IP, garantindo o acesso do responsável pelo regime e a notificação com pelo menos 30 dias de antecedência antes da interrupção dos serviços, mesmo em caso de inadimplência.

Disposições Gerais e Prazos

A instituição de pagamento contratante é sempre a responsável final pela confiabilidade, integridade, disponibilidade e segurança dos serviços contratados. Todos os documentos relevantes — como a política de segurança, planos de ação, relatórios anuais, documentação de due diligence e contratos — devem ser mantidos à disposição do Banco Central pelo prazo de cinco anos.

Tags

Itens vinculados

Recomendações

Documento

Circular N° 3.969

Documento

Circular N° 3.979

Documento

Carta Circular Nº 3.439