Para manter continuamente a alta resiliência atual do sistema contra ataques cibernéticos, o Banco Central (BC) definiu que as instituições de pagamento deverão estabelecer Política de Segurança Cibernética e plano de ação e resposta a incidentes. Nesse segmento, as empresas em geral utilizam intensamente soluções eletrônicas de pagamento, operadas majoritariamente por meio de canais remotos de acesso. É importante a adoção de controles e sistemas voltados especificamente à resiliência contra ataques cibernéticos. A ação compõe a Agenda BC+, pilar SFN Mais Eficiente.
A Circular nº 3.909/2018 estabelece que deverão estar previstas na política iniciativas para compartilhamento de informações sobre os incidentes relevantes com outras instituições do sistema financeiro. Além disso, será necessário elaborar relatório anual tratando da implementação do plano de ação e de resposta a incidentes. Esse relatório deverá ser encaminhado ao conselho de administração ou, na sua inexistência, à diretoria da instituição.
Contratação de serviços
O BC também definiu regras a serem observadas pelas instituições de pagamento na contratação de serviços de processamento e de armazenamento de dados, incluindo a computação em nuvem.
Da mesma forma como está previsto para as demais instituições supervisionadas, a responsabilidade pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados é da instituição de pagamento contratante. As instituições de pagamento devem comunicar a contratação desse tipo de serviço ao Banco Central.
A Circular nº 3.909/2018 entra em vigor em setembro de 2019. A partir daí, as instituições de pagamento têm seis meses para aprovar a Política de Segurança Cibernética e o Plano de Ação e Resposta a Incidentes.
