Por António Aires, Marcia Cicarelli, Antonio Giglio, Thales Dominguez, Camila Prado, Marcelo Ikeziri, Alessandra Garcia e Cleber Cilli
No dia 19 de setembro, foi publicado no site do Banco Central ("BACEN") o Edital de Consulta Pública nº. 57/2017, que divulga minuta de resolução do Conselho Monetário Nacional dispondo sobre os requisitos para a criação de parâmetros de segurança cibernética a serem seguidos pelas instituições autorizadas a funcionar pelo BACEN.
A proposta determina que os supervisionados implantem uma Política de Segurança Cibernética ("PSC"). Ela também prevê o desenvolvimento de ações para o compartilhamento de informações sobre incidentes cibernéticos, além de requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
Segundo a minuta em consulta, caberá às instituições assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados de forma compatível com (i) o porte, o perfil de risco e a atividade da instituição; (ii) a natureza e complexidade de suas operações; e (iii) a sensibilidade dos dados sob sua responsabilidade.
Para este fim, as instituições serão incumbidas do desenvolvimento de uma política de segurança cibernética que deve estabelecer quais serão as providências para reduzir a probabilidade de ocorrência de incidentes dessa natureza. Tais providências deverão abranger atividades ligadas a temas como autenticação, criptografia, prevenção de vazamento de informações e detecção de intrusos, dentre outras.
A PSC também deverá indicar métodos que assegurem a rastreabilidade da informação, isto é, estabelecendo fluxos e responsáveis pela transmissão e armazenamento de dados. Com caminhos preestabelecidos para a transferência e localização da informação dentro da operação, maior será a segurança destes dados e maiores os níveis de consciência entre os responsáveis pelo armazenamento dos dados.
Quanto a isso, uma vez definida, a PSC deve ser divulgada em linguagem compatível com a complexidade das funções desempenhadas pelos funcionários da instituição, bem como às empresas prestadoras de serviços que manuseiem os dados ou informações sensíveis. Além disso, as instituições serão chamadas a criar um plano de ação para adequar suas estruturas organizacional e operacional às diretrizes da PSC.
Pela norma proposta, as instituições serão compelidas a implementar mecanismos de acompanhamento que assegurem a efetividade da PSC e do cumprimento do plano de ação, caso um incidente provoque seu acionamento. A PSC e o plano de ação deverão ser aprovados pelo conselho de administração e tais mecanismos deverão ser documentados e reavaliados no mínimo anualmente.
As instituições autorizadas a funcionar pelo BACEN são entidades que se dedicam a atividades que requerem constante manutenção de elevados níveis de segurança e gerenciamento de riscos, inclusive os de natureza cibernética. Por esse motivo, a proposta de resolução do Conselho Monetário Nacional deverá pautar um padrão de melhores práticas para as demais atividades reguladas e supervisionadas, inclusive as práticas da indústria de seguros.
Nossas áreas de prática Bancária e de Seguros estão à disposição para auxiliar no acompanhamento do tema, à medida em que se desenvolverem as discussões e proposições de alterações dos termos e condições da nova regulação.
Fonte: Demarest Advogados, em 27.09.2017.