Quais são os objetivos da política de segurança cibernética segundo a Resolução BCB nº 85, de 2021?

Os objetivos da política de segurança cibernética incluem assegurar a confidencialidade, integridade e disponibilidade dos dados e dos sistemas de informação utilizados, prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético e disseminar a cultura de segurança cibernética na instituição.

Quais são as responsabilidades do conselho de administração em relação à auditoria interna segundo a Resolução BCB nº 93, de 2021?

O conselho de administração é responsável pela observância das normas e procedimentos aplicáveis à atividade de auditoria interna, garantindo que todas as funções da instituição, incluindo as terceirizadas, sejam consideradas no escopo da auditoria.

O que a Resolução BCB nº 155, de 2021, dispõe após a alteração?

A Resolução BCB nº 155, de 2021, dispõe sobre princípios e procedimentos a serem adotados no relacionamento com clientes e usuários de produtos e de serviços pelas administradoras de consórcio, instituições de pagamento, sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.

O que a Resolução BCB nº 28, de 2020, dispõe após a alteração?

A Resolução BCB nº 28, de 2020, dispõe sobre a constituição e o funcionamento de componente organizacional de ouvidoria pelas instituições de pagamento, administradoras de consórcio, sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.

Quais resoluções foram alteradas pela Resolução BCB nº 368?

A Resolução BCB nº 368 altera as Resoluções BCB nº 28, de 23 de outubro de 2020; nº 65, de 26 de janeiro de 2021; nº 85, de 8 de abril de 2021; nº 93, de 6 de maio de 2021; nº 155, de 14 de outubro de 2021; e nº 260, de 22 de novembro de 2022.

Quais são os requisitos para os sistemas de controles internos segundo a Resolução BCB nº 260, de 2022?

Os sistemas de controles internos devem ser contínuos e efetivos, abrangendo todas as atividades de controle para todos os níveis de negócios e riscos aos quais a instituição está exposta, integrando as atividades rotineiras das áreas relevantes da instituição.

Quais são as responsabilidades das instituições mencionadas no art. 2º da Resolução BCB nº 28, de 2020, após a alteração?

As instituições mencionadas no art. 2º devem constituir um componente organizacional de ouvidoria, atuar como canal de comunicação entre a instituição e seus clientes, inclusive na mediação de conflitos, e assegurar a capacitação permanente dos integrantes das ouvidorias.

O que a Resolução BCB nº 85, de 2021, dispõe após a alteração?

A Resolução BCB nº 85, de 2021, dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.

Resolução BCB N° 368 | Banco Central

Q: O que a Resolução BCB nº 65, de 2021, dispõe após a alteração?

A Resolução BCB nº 65, de 2021, dispõe sobre a política de conformidade (compliance) das administradoras de consórcio, instituições de pagamento, sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.

Q: Quais instituições foram incluídas no escopo das resoluções alteradas pela Resolução BCB nº 368?

Foram incluídas as sociedades corretoras de títulos e valores mobiliários, as sociedades distribuidoras de títulos e valores mobiliários e as sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.

Q: O que a Resolução BCB nº 260, de 2022, dispõe após a alteração?

A Resolução BCB nº 260, de 2022, dispõe sobre os sistemas de controles internos das administradoras de consórcio, instituições de pagamento, sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.

Q: O que é a Resolução BCB nº 368, de 25 de janeiro de 2024?

A Resolução BCB nº 368, de 25 de janeiro de 2024, altera diversas resoluções anteriores para incluir sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil em seus escopos de aplicação.

A Resolução BCB Nº 368 expande o escopo de aplicação de diversas normas prudenciais e de conduta do Banco Central do Brasil (BCB) para incluir novas entidades supervisionadas. Especificamente, passam a ser abrangidas pelas resoluções mencionadas as Sociedades Corretoras de Títulos e Valores Mobiliários (SCTVM), as Sociedades Distribuidoras de Títulos e Valores Mobiliários (SDTVM) e as Sociedades Corretoras de Câmbio (SCC) autorizadas a funcionar pelo BCB.

As principais alterações são:

Resolução BCB nº 28/2020 (Ouvidoria):

SCTVMs, SDTVMs e SCCs que atendem clientes pessoas naturais (incluindo empresários individuais) ou pessoas jurídicas classificadas como microempresas e empresas de pequeno porte (Lei Complementar nº 123/2006) devem constituir um componente organizacional de ouvidoria.
A estrutura da ouvidoria deve ser compatível com a natureza e complexidade dos produtos, serviços e sistemas da instituição.
Permite-se o compartilhamento da estrutura de ouvidoria, como dentro de conglomerados ou por meio de associações de classe com código de ética ou autorregulação.
As instituições devem designar perante o BCB o ouvidor e o diretor responsável pela ouvidoria, observando regras sobre acúmulo de funções e conflito de interesses (para IPs e Administradoras de Consórcio, há restrições mais específicas).
Exige-se a divulgação semestral de informações sobre as atividades da ouvidoria no site da instituição.
Os integrantes da ouvidoria devem possuir certificação técnica e receber capacitação permanente.

Resolução BCB nº 65/2021 (Política de Conformidade - Compliance):

SCTVMs, SDTVMs e SCCs devem implementar e manter uma política de compliance compatível com sua natureza, porte, complexidade, estrutura, perfil de risco e modelo de negócio.
O risco de conformidade (descumprimento legal/regulatório) deve ser gerenciado de forma integrada aos demais riscos por estas instituições, conforme regulamentação específica.
A função de conformidade deve, entre outras atribuições, testar a aderência da instituição ao arcabouço legal e regulatório e elaborar relatório anual sobre suas atividades.
O conselho de administração (ou a diretoria, na ausência do conselho) é responsável por aprovar a política, prover recursos adequados, disseminar a cultura de integridade e ética, entre outras atribuições.
A documentação relativa à política de conformidade deve ser mantida à disposição do BCB.

Resolução BCB nº 85/2021 (Política de Segurança Cibernética e Contratação de Serviços de Nuvem/Dados):

SCTVMs, SDTVMs e SCCs devem implementar e manter política de segurança cibernética, assegurando confidencialidade, integridade e disponibilidade de dados e sistemas.
A política deve incluir objetivos, procedimentos, controles, tratamento de incidentes, integração com testes de continuidade, diretrizes para terceiros, disseminação da cultura de segurança e compartilhamento de informações sobre incidentes relevantes.
Instituições em conglomerado prudencial podem adotar política única.
Exige-se a divulgação interna da política e um resumo público.
Deve haver um plano de ação e resposta a incidentes e um diretor designado como responsável pela política e pelo plano.
É necessário elaborar um relatório anual sobre a implementação do plano (com data-base 31 de dezembro), a ser submetido ao comitê de risco (se houver) e apresentado ao conselho/diretoria até 31 de março do ano seguinte.
As instituições devem seguir requisitos específicos para a contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem (no país ou exterior), incluindo due diligence prévia (capacidade do fornecedor, controles, segregação de dados, etc.).
A contratação desses serviços relevantes deve ser comunicada ao BCB.
Regras específicas se aplicam à contratação de serviços no exterior, incluindo a necessidade de convênios de cooperação entre o BCB e autoridades supervisoras estrangeiras (ou autorização específica do BCB), garantia de acesso a dados pelo BCB e pela instituição, definição prévia de países/regiões e planos de continuidade.
Contratos devem prever cláusulas sobre acesso a dados, segregação, portabilidade, notificação de subcontratação, cumprimento de determinações do BCB e informações sobre limitações, além de regras para casos de regime de resolução.
Procedimentos de continuidade de negócios devem ser atualizados para incluir cenários de incidentes cibernéticos e comunicação tempestiva ao BCB em caso de crise.
Devem existir mecanismos de acompanhamento e controle da efetividade da política e dos requisitos de contratação.

Resolução BCB nº 93/2021 (Auditoria Interna):

SCTVMs, SDTVMs e SCCs devem implementar e manter atividade de auditoria interna compatível com suas características e riscos.
A auditoria interna deve ser realizada por unidade específica (da instituição ou do conglomerado) subordinada ao conselho de administração (ou diretoria), ou, em certos casos (exceto para instituições obrigadas a ter comitê de auditoria), por auditor independente (não o das demonstrações financeiras) ou auditoria de entidade de classe.
A equipe de auditoria deve ter acesso irrestrito a informações e pessoas.
O escopo da auditoria abrange todas as funções, incluindo as terceirizadas.
Deve haver um regulamento específico para a auditoria interna, aprovado pelo conselho/comitê de auditoria.
Os responsáveis pela auditoria devem elaborar plano anual e relatórios.
O conselho de administração (ou diretoria) é o responsável pela observância das normas de auditoria interna.
Documentação deve ser mantida à disposição do BCB.

Resolução BCB nº 155/2021 (Relacionamento com Clientes e Usuários):

SCTVMs, SDTVMs e SCCs devem seguir princípios de ética, responsabilidade, transparência e diligência no relacionamento com clientes e usuários.
Devem assegurar adequação de produtos/serviços ao perfil do cliente, transparência nas informações e contratos, e identificação de beneficiários em extratos.
É obrigatória a elaboração e implementação de uma política institucional de relacionamento com clientes e usuários (pode ser única no conglomerado).
Rotinas e procedimentos operacionais devem ser consistentes com a política, incluindo a definição do público-alvo para cada produto/serviço.
Devem existir mecanismos de acompanhamento, controle e mitigação de riscos relacionados à política.
Um diretor deve ser designado ao BCB como responsável pelo cumprimento da resolução.

Resolução BCB nº 260/2022 (Sistemas de Controles Internos):

SCTVMs, SDTVMs e SCCs devem implementar e manter sistemas de controles internos compatíveis com suas características e riscos.
Os controles devem ser contínuos, efetivos, integrados às rotinas e abranger todos os níveis e riscos, incluindo ambiente de controle, avaliação de riscos, atividades de controle (segregação de funções, prevenção de atividades ilícitas/riscos sociais, ambientais e climáticos), informação/comunicação (incluindo planos de contingência) e monitoramento.
Deve ser elaborado relatório semestral sobre deficiências dos controles, submetido à administração e auditorias.
O conselho de administração (ou diretoria) é responsável pela supervisão, enquanto a diretoria é responsável pela implementação, documentação e monitoramento.
Um diretor deve ser designado ao BCB como responsável pela resolução.
O BCB pode determinar controles adicionais ou impor limites operacionais em caso de inadequação.

Revogações e Vigência:

A Resolução revoga o parágrafo único do art. 2º da Resolução BCB nº 65/2021 e o art. 24 da Resolução BCB nº 85/2021.
A Resolução BCB Nº 368 entra em vigor em 1º de março de 2024.

RESOLUÇÃO BCB Nº 368, DE 25 DE JANEIRO DE 2024

Altera as Resoluções BCB ns. 28, de 23 de outubro de 2020; 65, de 26 de janeiro de 2021; 85, de 8 de abril de 2021; 93, de 6 de maio de 2021; 155, de 14 de outubro de 2021; e 260, de 22 de novembro de 2022, para incluir em seus escopos de aplicação as sociedades corretoras de títulos e valores mobiliários, as sociedades distribuidoras de títulos e valores mobiliários e as sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.

A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 23 de janeiro de 2024, com base no art. 9º-A, incisos I e II, da Lei nº 4.728, de 14 de julho de 1965, 6º e 7º, inciso III, da Lei nº 11.795, de 8 de outubro de 2008, 9º, incisos II e IX, alínea "b", e 15 da Lei nº 12.865, de 9 de outubro de 2013,

R E S O L V E :

Art. 1º A ementa da Resolução BCB nº 28, de 23 de outubro de 2020, passa a vigorar com a seguinte alteração:

"Dispõe sobre a constituição e o funcionamento de componente organizacional de ouvidoria pelas instituições de pagamento, pelas administradoras de consórcio, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 2º A Resolução BCB nº 28, de 2020, passa a vigorar com as seguintes alterações:

"Art. 2º O componente organizacional de ouvidoria deve ser constituído pelas seguintes instituições:

I - instituições de pagamento, sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil que tenham clientes pessoas naturais, inclusive empresários individuais, ou pessoas jurídicas classificadas como microempresas e empresas de pequeno porte, nos termos da Lei Complementar nº 123, de 14 de dezembro de 2006; e

................................................................................................................" (NR)

"Art. 3º Para fins desta Resolução, também considera-se cliente:

................................................................................................................" (NR)

"Art. 4º ............................................................................................................

.........................................................................................................................

II - atuar como canal de comunicação entre a instituição mencionada no art. 2º e os seus clientes, inclusive na mediação de conflitos.

................................................................................................................" (NR)

"Art. 5º ............................................................................................................

I - no caso de instituição mencionada no inciso I do caput do art. 2º, com a natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas de cada instituição; e

................................................................................................................" (NR)

"Art. 6º É admitido o compartilhamento de ouvidoria pelas instituições mencionadas no art. 2º, observadas as seguintes situações e regras:

.........................................................................................................................

II - a instituição não enquadrada no disposto no inciso I pode compartilhar a ouvidoria constituída:

.........................................................................................................................

§ 2º O disposto no inciso II, alínea "b", do caput, somente se aplica a associação de classe que possuir código de ética ou de autorregulação efetivamente implantado, ao qual a instituição tenha aderido." (NR)

"Art. 8º As instituições mencionadas no art. 2º devem:

................................................................................................................" (NR)

"Art. 9º ............................................................................................................

.........................................................................................................................

§ 2º As alterações estatutárias ou contratuais exigidas por esta Resolução relativas às instituições mencionadas no art. 2º que optarem pela faculdade prevista no art. 6º, inciso I, podem ser promovidas somente pela instituição que constituir a ouvidoria.

§ 3º A instituição que não constituir ouvidoria própria em decorrência da faculdade prevista no art. 6º, inciso II, deve ratificar a decisão na primeira assembleia geral ou na primeira reunião de diretoria realizada após tal decisão." (NR)

"Art. 10. As instituições mencionadas no art. 2º devem designar, perante o Banco Central do Brasil, os nomes do ouvidor e do diretor ou administrador responsável pela ouvidoria, observadas as seguintes condições:

I - o diretor ou administrador responsável pela ouvidoria pode desempenhar outras funções, inclusive a de ouvidor, exceto a de diretor de administração de recursos de terceiros;

II - no caso das instituições de pagamento e administradoras de consórcio, o ouvidor não poderá desempenhar outra função, exceto a de diretor ou administrador responsável pela ouvidoria;

III - nas situações em que o ouvidor desempenhe outra atividade na instituição, essa atividade não pode configurar conflito de interesses ou de atribuições; e

IV - na hipótese de a designação de diretor ou administrador responsável pela ouvidoria e de ouvidor nas instituições de pagamento e administradoras de consórcio recaírem sobre a mesma pessoa, esta não poderá desempenhar outra função.” (NR)

"Art. 12. Para cumprimento do disposto no caput do art. 10, nas hipóteses previstas no art. 6º, inciso II, as instituições mencionadas no art. 2º devem:

................................................................................................................" (NR)

"Art. 14. As instituições mencionadas no art. 2º devem divulgar semestralmente, nos respectivos sítios eletrônicos na internet, informações relativas às atividades desenvolvidas pela ouvidoria." (NR)

"Art. 16. As instituições mencionadas no art. 2º devem adotar providências para que os integrantes da ouvidoria que realizem as atividades mencionadas no art. 7º sejam considerados aptos em exame de certificação organizado por entidade de reconhecida capacidade técnica.

.........................................................................................................................

§ 3º As instituições mencionadas no art. 2º devem assegurar a capacitação permanente dos integrantes das respectivas ouvidorias em relação aos temas mencionados no § 1º.

................................................................................................................" (NR)

"Art. 18. ...........................................................................................................

Parágrafo único. O disposto no caput deve ser observado, inclusive, pela instituição mencionada no art. 2º que não constituir componente de ouvidoria próprio em decorrência da faculdade prevista no art. 6º." (NR)

Art. 3º A ementa da Resolução BCB nº 65, de 26 de janeiro de 2021, passa a vigorar com a seguinte alteração:

"Dispõe sobre a política de conformidade (compliance) das administradoras de consórcio, das instituições de pagamento, das sociedades corretoras de títulos e valores mobiliários, das sociedades distribuidoras de títulos e valores mobiliários e das sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 4º A Resolução BCB nº 65, de 2021, passa a vigorar com as seguintes alterações:

"Art. 1º Esta Resolução regulamenta a política de conformidade (compliance) aplicável às seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:

I - administradoras de consórcio;

II - instituições de pagamento;

III - sociedades corretoras de títulos e valores mobiliários;

IV - sociedades distribuidoras de títulos e valores mobiliários; e

V - sociedades corretoras de câmbio." (NR)

"Art. 2º As instituições mencionadas no art. 1º devem implementar e manter política de conformidade compatível com a natureza, o porte, a complexidade, a estrutura, o perfil de risco e o modelo de negócio, de forma a assegurar o efetivo gerenciamento do seu risco de conformidade.

§ 1º Para fins desta Resolução, considera-se risco de conformidade a possibilidade de a instituição sofrer sanções legais ou administrativas, perdas financeiras, danos de reputação e outros danos, decorrentes de descumprimento ou falhas na observância do arcabouço legal, da regulamentação infralegal, das recomendações dos órgãos reguladores e dos códigos de autorregulação aplicáveis.

§ 2º O risco de conformidade deve ser gerenciado pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio, de forma integrada com os demais riscos incorridos pela instituição, nos termos da regulamentação específica.” (NR)

"Art. 7º ............................................................................................................

I - testar e avaliar a aderência da instituição mencionada no art. 1º ao arcabouço legal, à regulamentação infralegal, às recomendações dos órgãos de supervisão e, quando aplicáveis, aos códigos de ética, de conduta e outros regulamentos que estejam obrigadas a observar;

.........................................................................................................................

V - elaborar relatório, com periodicidade mínima anual, contendo o sumário dos resultados das atividades relacionadas com a função de conformidade, suas principais conclusões, recomendações e providências tomadas pela administração da instituição mencionada no art. 1º; e

.........................................................................................................................

Parágrafo único. As instituições mencionadas no art. 1º poderão contratar especialistas para a execução de atividades relacionadas com a política de conformidade, mantidas integralmente as atribuições e responsabilidades do conselho de administração." (NR)

"Art. 9º ............................................................................................................

I - ......................................................................................................................

.........................................................................................................................

d) a disseminação de padrões de integridade e conduta ética como parte da cultura da instituição;

................................................................................................................" (NR)

"Art. 10. Para as instituições mencionadas no art. 1º que não possuam conselho de administração, as atribuições e responsabilidades previstas nesta Resolução devem ser imputadas à sua diretoria ou aos seus administradores." (NR)

"Art. 11. As instituições mencionadas no art. 1º devem manter à disposição do Banco Central do Brasil:

................................................................................................................" (NR)

Art. 5º A ementa da Resolução BCB nº 85, de 8 de abril de 2021, passa a vigorar com a seguinte alteração:

“Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.” (NR)

Art. 6º A Resolução BCB nº 85, de 2021, passa a vigorar com as seguintes alterações:

“Art. 1º Esta Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.” (NR)

“Art. 2º As instituições mencionadas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

.........................................................................................................................

§ 2º As instituições integrantes de conglomerado prudencial podem adotar política de segurança cibernética única do conglomerado prudencial, nos termos da regulamentação em vigor, desde que compatível com o disposto neste Capítulo.

§ 3º As instituições que não constituírem política de segurança cibernética própria em decorrência do disposto no § 2º devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição.” (NR)

“Art. 3º ............................................................................................................

I – os objetivos de segurança cibernética da instituição;

II – os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

.........................................................................................................................

IV – o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;

V - ....................................................................................................................

a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios;

b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;

.........................................................................................................................

VI – os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo:

.........................................................................................................................

b) a prestação de informações a clientes e a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e

.........................................................................................................................

VII – as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com as instituições mencionadas no art. 1º e com as demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

§ 1º Na definição dos objetivos de segurança cibernética referidos no inciso I do caput, deve ser contemplada a capacidade de a instituição prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

.........................................................................................................................

§ 3º Os procedimentos e os controles citados no inciso II do caput devem ser aplicados, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da instituição.

.........................................................................................................................

§ 5º As diretrizes de que trata a alínea “b” do inciso V do caput devem contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela própria instituição.” (NR)

“Art. 4º A política de segurança cibernética deve ser divulgada aos funcionários da instituição mencionada no art. 1º e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.” (NR)

“Art. 5º As instituições mencionadas no art. 1º devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.” (NR)

“Art. 6º As instituições mencionadas no art. 1º devem estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética.

................................................................................................................” (NR)

“Art. 7º As instituições mencionadas no art. 1º devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

................................................................................................................” (NR)

“Art. 8º As instituições mencionadas no art. 1º devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, mencionado no art. 6º, com data-base de 31 de dezembro.

§ 1º .................................................................................................................

.........................................................................................................................

IV – os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes.

§ 2º O relatório mencionado no caput deve ser:

I - submetido ao comitê de risco, quando existente; e

II - apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base." (NR)

"Art. 9º A política de segurança cibernética referida no art. 2º e o plano de ação e de resposta a incidentes mencionado no art. 6º devem ser aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição mencionada no art. 1º." (NR)

"Art. 11. As instituições mencionadas no art. 1º devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior." (NR)

"Art. 12. As instituições mencionadas no art. 1º, previamente à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, devem adotar procedimentos que contemplem:

.........................................................................................................................

II - .....................................................................................................................

.........................................................................................................................

g) a identificação e a segregação dos dados dos clientes e dos usuários finais da instituição por meio de controles físicos ou lógicos; e

h) a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes e dos usuários finais da instituição.

................................................................................................................" (NR)

"Art. 13. Para os fins do disposto nesta Resolução, os serviços de computação em nuvem abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

................................................................................................................" (NR)

"Art. 14. A instituição contratante dos serviços mencionados no art. 12 é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor." (NR)

"Art. 15. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada pelas instituições mencionadas no art. 1º ao Banco Central do Brasil.

................................................................................................................" (NR)

"Art. 16. ...........................................................................................................

.........................................................................................................................

II - a instituição contratante deve assegurar que a prestação dos serviços referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;

III - a instituição contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e

IV - a instituição contratante deve prever alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.

§ 1º No caso de inexistência de convênio nos termos do inciso I do caput, a instituição contratante deverá solicitar autorização do Banco Central do Brasil para:

.........................................................................................................................

§ 2º Para atendimento aos incisos II e III do caput, as instituições deverão assegurar que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso das instituições contratantes e do Banco Central do Brasil aos dados e às informações.

................................................................................................................" (NR)

"Art. 17. ...........................................................................................................

.........................................................................................................................

III - a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes e dos usuários finais;

IV - ...................................................................................................................

a) transferência dos dados citados no inciso I ao novo prestador de serviços ou à instituição contratante; e

.........................................................................................................................

V - o acesso da instituição contratante a:

.........................................................................................................................

VI - a obrigação de a empresa contratada notificar a instituição contratante sobre a subcontratação de serviços relevantes para a instituição;

.........................................................................................................................

VIII - a adoção de medidas pela instituição contratante, em decorrência de determinação do Banco Central do Brasil; e

IX - a obrigação de a empresa contratada manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

Parágrafo único. Os contratos mencionados no caput devem prever, para o caso da decretação de regime de resolução da instituição contratante pelo Banco Central do Brasil:

.........................................................................................................................

II - .....................................................................................................................

.........................................................................................................................

b) a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da instituição contratante." (NR)

"Art. 19. As instituições mencionadas no art. 1º devem assegurar que suas políticas previstas na estrutura de gerenciamento de riscos, nos termos da regulamentação em vigor, disponham, no tocante à continuidade dos negócios, sobre:

.........................................................................................................................

III - os cenários de incidentes considerados nos testes de continuidade de negócios de que trata o art. 3º, inciso V, alínea "a"." (NR)

"Art. 20. Os procedimentos adotados pelas instituições mencionadas no art. 1º para gerenciamento de riscos previstos na regulamentação em vigor devem especificar, no tocante à continuidade dos negócios:

.........................................................................................................................

III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem situação de crise pela instituição mencionada no art. 1º, bem como das providências para o reinício das suas atividades.

Parágrafo único. As instituições mencionadas no art. 1º devem estabelecer e documentar os critérios que configurem a situação de crise de que trata o inciso III do caput." (NR)

"Art. 21. As instituições mencionadas no art. 1º devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo:

................................................................................................................" (NR)

"Art. 22. Sem prejuízo do dever de sigilo e da livre concorrência, as instituições mencionadas no art. 1º devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes de que trata o art. 3º, inciso IV.

................................................................................................................" (NR)

Art. 7º A ementa da Resolução BCB nº 93, de 6 de maio de 2021, passa a vigorar com a seguinte alteração:

"Dispõe sobre a atividade de auditoria interna nas administradoras de consórcio, nas instituições de pagamento, nas sociedades corretoras de títulos e valores mobiliários, nas sociedades distribuidoras de títulos e valores mobiliários e nas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 8º A Resolução BCB nº 93, de 2021, passa a vigorar com as seguintes alterações:

"Art. 1º Esta Resolução regulamenta a atividade de auditoria interna nas seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:

I - administradoras de consórcio;

II - instituições de pagamento;

III - sociedades corretoras de títulos e valores mobiliários;

IV - sociedades distribuidoras de títulos e valores mobiliários; e

V - sociedades corretoras de câmbio." (NR)

"Art. 2º As instituições mencionadas no art. 1º devem implementar e manter atividade de auditoria interna compatível com a natureza, o porte, a complexidade, a estrutura, o perfil de risco e o modelo de negócio da instituição.

................................................................................................................" (NR)

"Art. 3º A atividade de auditoria interna deve ser realizada por unidade específica da instituição mencionada no art. 1º ou de outra instituição autorizada a funcionar pelo Banco Central do Brasil integrante do mesmo conglomerado prudencial, diretamente subordinada ao conselho de administração.

§ 1º .................................................................................................................

I - por auditor independente devidamente habilitado, na forma da regulamentação vigente, para prestar serviços de auditoria independente para instituições autorizadas a funcionar pelo Banco Central do Brasil, desde que este não seja responsável pela auditoria das demonstrações financeiras da instituição mencionada no art. 1º ou por qualquer outra atividade com potencial conflito de interesses;

II - pela auditoria da entidade de classe a que a instituição mencionada no art. 1º seja filiada; ou

III - por auditoria de entidade de classe de outras instituições autorizadas a funcionar pelo Banco Central do Brasil, mediante convênio, previamente aprovado por essa autarquia, celebrado entre a entidade a que a instituição mencionada no art. 1º seja filiada e a entidade prestadora do serviço.

§ 2º O disposto no § 1º não se aplica às instituições mencionadas no art. 1º que, na forma da regulamentação vigente, estão obrigadas a constituir comitê de auditoria." (NR)

"Art. 7º As instituições mencionadas no art. 1º devem garantir aos membros da equipe de auditoria, no desempenho de suas atividades:

................................................................................................................" (NR)

"Art. 10. O escopo da atividade de auditoria interna deve considerar todas as funções da instituição mencionada no art. 1º, incluindo as terceirizadas.

................................................................................................................" (NR)

"Art. 13. As instituições mencionadas no art. 1º devem elaborar e manter regulamento específico para a atividade de auditoria interna, aprovado pelo conselho de administração e pelo comitê de auditoria, quando constituído." (NR)

"Art. 17. Os responsáveis pela atividade de auditoria interna das instituições mencionadas no art. 1º devem elaborar os seguintes documentos:

................................................................................................................" (NR)

"Art. 19. O conselho de administração é o órgão responsável pela observância, por parte da instituição mencionada no art. 1º, das normas e procedimentos aplicáveis à atividade de auditoria interna." (NR)

"Art. 21. Para as instituições mencionadas no art. 1º que não possuam conselho de administração, as atribuições, competências e requisitos previstos nesta Resolução devem ser imputados à sua diretoria ou aos seus administradores." (NR)

"Art. 23. As instituições mencionadas no art. 1º devem manter à disposição do Banco Central do Brasil:

................................................................................................................" (NR)

Art. 9º A ementa da Resolução BCB nº 155, de 14 de outubro de 2021, passa a vigorar com a seguinte alteração:

"Dispõe sobre princípios e procedimentos a serem adotados no relacionamento com clientes e usuários de produtos e de serviços pelas administradoras de consórcio, pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 10. A Resolução BCB nº 155, de 2021, passa a vigorar com as seguintes alterações:

"Art. 1º Esta Resolução dispõe sobre princípios e procedimentos a serem adotados no relacionamento com clientes e usuários de produtos e de serviços pelas seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:

I - administradoras de consórcio;

II - instituições de pagamento;

III - sociedades corretoras de títulos e valores mobiliários;

IV - sociedades distribuidoras de títulos e valores mobiliários; e

V - sociedades corretoras de câmbio.

................................................................................................................" (NR)

"Art. 2º As instituições mencionadas no art. 1º, no relacionamento com clientes e usuários de produtos e de serviços, devem conduzir suas atividades com observância de princípios de ética, responsabilidade, transparência e diligência, propiciando a convergência de interesses e a consolidação de imagem institucional de credibilidade, segurança e competência." (NR)

"Art. 4º As instituições mencionadas no art. 1º, na contratação de operações e na prestação de serviços, devem assegurar:

.........................................................................................................................

V - identificação dos usuários finais beneficiários de pagamento ou transferência em demonstrativos e extratos de contas de registro e de pagamento, inclusive nas situações em que o serviço de pagamento envolver instituições participantes de diferentes arranjos de pagamento; e

................................................................................................................" (NR)

"Art. 6º As instituições mencionadas no art. 1º devem elaborar e implementar política institucional de relacionamento com clientes e usuários que consolide diretrizes, objetivos estratégicos e valores organizacionais, de forma a nortear a condução de suas atividades em conformidade com o disposto no art. 2º.

.........................................................................................................................

§ 3º As instituições mencionadas no art. 1º que não constituírem política própria em decorrência da faculdade prevista no § 2º devem formalizar a decisão em reunião do conselho de administração ou da diretoria.

................................................................................................................" (NR)

"Art. 7º As instituições mencionadas no art. 1º devem assegurar a consistência de rotinas e de procedimentos operacionais afetos ao relacionamento com clientes e usuários, bem como sua adequação à política institucional de relacionamento de que trata o art. 6º, inclusive quanto aos seguintes aspectos:

.........................................................................................................................

§ 1º Com relação ao disposto nos incisos II e III do caput, e em observância ao disposto no art. 4º, inciso I, as instituições mencionadas no art. 1º devem estabelecer o perfil dos clientes que compõem o público-alvo para os produtos e serviços disponibilizados, considerando suas características e complexidade.

.........................................................................................................................

§ 3º Para fins do disposto no caput, as instituições mencionadas no art. 1º devem, adicionalmente:

................................................................................................................" (NR)

"Art. 8º Em relação à política institucional de relacionamento com clientes e usuários, as instituições mencionadas no art. 1º devem instituir mecanismos de acompanhamento, de controle e de mitigação de riscos com vistas a assegurar:

................................................................................................................" (NR)

"Art. 9º As instituições mencionadas no art. 1º devem indicar ao Banco Central do Brasil diretor responsável pelo cumprimento das obrigações previstas nesta Resolução." (NR)

Art. 11. A ementa da Resolução BCB nº 260, de 22 de novembro de 2022, passa a vigorar com a seguinte alteração:

"Dispõe sobre os sistemas de controles internos das administradoras de consórcio, das instituições de pagamento, das sociedades corretoras de títulos e valores mobiliários, das sociedades distribuidoras de títulos e valores mobiliários e das sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)

Art. 12. A Resolução BCB nº 260, de 2022, passa a vigorar com as seguintes alterações:

"Art. 1º Esta Resolução dispõe sobre os sistemas de controles internos das seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:

I - administradoras de consórcio;

II - instituições de pagamento;

III- sociedades corretoras de títulos e valores mobiliários;

IV - sociedades distribuidoras de títulos e valores mobiliários; e

V - sociedades corretoras de câmbio." (NR)

"Art. 2º As instituições mencionadas no art. 1º devem implementar e manter sistemas de controles internos compatíveis com a sua natureza, o seu porte, a sua complexidade, a sua estrutura, o seu perfil de risco e o seu modelo de negócio." (NR)

"Art. 4º ............................................................................................................

I - ser contínuos e efetivos, abrangendo as atividades de controle para todos os níveis de negócios e para todos os riscos aos quais a instituição está exposta;

II - integrar as atividades rotineiras das áreas relevantes da instituição; e

................................................................................................................" (NR)

"Art. 5º ............................................................................................................

I - ......................................................................................................................

.........................................................................................................................

b) ..………...........................................................................................................

.........................................................................................................................

2. situações de não conformidade com os padrões de conduta definidos pela instituição mencionada no art. 1º; e

3. violações das políticas da instituição mencionada no art. 1º ou de disposições legais e regulamentares;

.........................................................................................................................

II - .....................................................................................................................

a) meios para identificar e avaliar continuamente os fatores internos e externos que possam afetar adversamente a realização dos objetivos da instituição mencionada no art. 1º e, quando aplicável, do grupo econômico que integre;

.........................................................................................................................

III - ….................................................................................................................

.........................................................................................................................

g) segregação apropriada das funções atribuídas aos integrantes da instituição mencionada no art. 1º, de forma a evitar situações de conflito de interesses;

.........................................................................................................................

i) controles que visem a evitar o envolvimento da instituição mencionada no art. 1º em atividades indevidas ou ilícitas, em especial as relacionadas aos riscos sociais, ambientais e climáticos;

.........................................................................................................................

IV - ….................................................................................................................

.........................................................................................................................

c) metodologias para o registro e a manutenção de informações internas à instituição mencionada no art. 1º, como dados financeiros, operacionais e de conformidade;

.........................................................................................................................

h) planos de retomada e contingência de negócios para situações de interrupção da prestação de serviços da instituição mencionada no art. 1º em decorrência de eventos fora do seu controle, com previsão de utilização de instalações físicas remotas, inclusive de serviços prestados por terceiros; e

V - ....................................................................................................................

a) monitoramento contínuo da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da instituição mencionada no art. 1º;

b) avaliações periódicas, inclusive por parte da auditoria interna, acerca da eficácia dos sistemas de controles internos e dos principais riscos associados às atividades da instituição mencionada no art. 1º;

c) ......................................................................................................................

1. os objetivos da instituição mencionada no art. 1º estão sendo alcançados;

................................................................................................................" (NR)

"Art. 6º ............................................................................................................

Parágrafo único. ..............................................................................................

I - ser submetido ao conselho de administração ou, se inexistente, à diretoria, bem como às auditorias interna e externa da instituição mencionada no art. 1º; e

................................................................................................................" (NR)

"Art. 8º ............................................................................................................

I - a diretoria da instituição mencionada no art. 1º tome as medidas necessárias para identificar, medir, monitorar e controlar os riscos de acordo com os níveis de riscos definidos;

.........................................................................................................................

III - a diretoria da instituição mencionada no art. 1º monitore a adequação e a eficácia dos sistemas de controles internos; e

.........................................................................................................................

Parágrafo único. Para as instituições mencionadas no art. 1º que não possuam conselho de administração, as responsabilidades previstas no caput devem ser imputadas à diretoria da instituição." (NR)

"Art. 9º A diretoria da instituição mencionada no art. 1º é responsável por:

................................................................................................................" (NR)

"Art. 10. As instituições mencionadas no art. 1º devem designar perante o Banco Central do Brasil diretor responsável pelo cumprimento do previsto nesta Resolução.

Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na instituição, desde que não haja conflito de interesses." (NR)

"Art. 11. ...........................................................................................................

I - determinar a adoção de controles adicionais nos casos em que constatada inadequação nos controles implementados pelas instituições mencionadas no art. 1º; e

II - imputar limites operacionais mais restritivos às instituições mencionadas no art. 1º que deixem de observar determinação nos termos do inciso I no prazo para tanto estabelecido." (NR)

Art. 13. Ficam revogados:

I - o parágrafo único do art. 2º da Resolução BCB nº 65, de 2021; e

II - o art. 24 da Resolução BCB n^o 85, de 2021.

Art. 14. Esta Resolução entra em vigor em 1º de março de 2024.

Otávio Ribeiro Damaso
Diretor de Regulação

Resolução BCB N° 368

Registros selecionados

Resumo

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes

Resolução BCB N° 368 🏦 📑 ⚖️

Registros selecionados

Resumo

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Resolução BCB N° 368