BLOG


Serviços financeiros na nuvem: regulador exige controle granular de dados

Resolução do Banco Central dá flexibilidade para contratação de infraestrutura, mas determina políticas fortes de cibersegurança e soberania de dados, com anulação de contratos em caso de não compliance

Com toda autossuficiência tecnológica dos bancos no país, que detêm alguns dos mais sofisticados data centers, hoje, dados financeiros e o próprio dinheiro, cada vez mais, passam pelas nuvens. Além dos entrantes, os “bancos digitais”, as fintechs, que se fundamentam no modelo de TIaaS e as grandes instituições também passam a se expor de alguma forma nesse ambiente, em função de projetos ou parcerias.

Com a Resolução 4568 do Banco Central do Brasil, publicada em 26 de abril, o regulador busca conciliar as oportunidades sustentadas em novos modelos de TI – importante para fomentar a competição – com critérios fortes de controle e mecanismos de intervenção e, caso de não conformidade.

Em seu artigo 15, a resolução determina que a “contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser previamente comunicada ao Banco Central do Brasil”. No caso de serviços contratados de provedores globais, é obrigatória “a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados”.

O detalhamento sobre a contratação de serviços deve ser comunicado ao Banco Central 60 dias antes, ainda conforme o artigo 15. Ao final do texto, no artigo 27, o regulador adverte que “...poderá vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços”.

O artigo 17 restringe a contratação de serviços caso os dados fujam à jurisdição da autoridade nacional e exige “..permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações”.

Os procedimentos e os controles devem abranger, no mínimo, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra software malicioso, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações”, detalha o artigo 3º da resolução.

Conforme a regulação, as instituições deverão apresentar suas políticas de cibersegurança, proteção a dados e resposta a incidentes, assim como designar um diretor responsável por seu cumprimento. “As instituições que não constituírem política de segurança cibernética própria devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição”, consta no terceiro inciso do artigo 2º.

A resolução dá flexibilidade às instituições reguladas para contratação de serviços de TI, inclusive no exterior. Contudo, exige um gerenciamento muito granular da alocação de dados e das políticas de proteção.

Por Vanderlei Campos