Blog Minuto Proteção

Gestão de vulnerabilidades LGPD Privacidade Segurança Digital Segurança no E-Commerce

Resolução BACEN 4.893: O que mudou?

O Banco Central (BACEN) recentemente tornou pública a Resolução 4.893 em substituição às resoluções 4.658 e 4.752.

A resolução 4.893, assim como as anteriores, determina que as instituições autorizadas a funcionar pelo Banco Central do Brasil devem desenvolver uma política de segurança cibernética, bem como, planos de ação para resposta a incidentes e continuidade de negócio e estipula requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

A resolução entra em vigor em 1º de julho de 2021, contudo, a data limite para adequação se mantém em 31 de dezembro de 2021.

  • Qual a importância desta resolução no contexto atual?

Com o avanço tecnológico alcançamos um nível de praticidade nunca antes imaginado. No que tange a transações bancárias, este avanço nos propiciou executar operações de forma prática e ágil, diretamente da palma de nossas mãos. Todavia, este conforto e praticidade trazem consigo uma ampliação do vetor de ataque às instituições financeiras em geral.

Segundo pesquisas realizadas pela Febraban, tendo como ano base 2019, as operações pelo Mobile Banking tiveram crescimento de 19% em relação ao ano anterior e as movimentações financeiras um aumento de 41% no mesmo período. Além disso, a pesquisa aponta que as transações de Pessoa Física nos canais digitais chegaram a representar 74% no período pandêmico e ressalta: “O Mobile Banking torna-se cada vez mais um canal chave para contratação de produtos e transações financeiras, com crescimento acentuado em operações de investimentos, seguros e depósitos virtuais”.

Este aumento exponencial nas transações financeiras realizadas de forma digital e o volume de dados pessoais e bancários envolvidos nestas operações tornam as instituições financeiras um dos principais alvos dos criminosos cibernéticos. Segundo a Feedzai, houve um aumento de 250% nas tentativas de fraude em serviços bancários online em 2020.

Somado a isto, vemos  a atual comoção no que tange à privacidade e o tratamento de dados pessoais, reforçada pela recente vigoração da Lei Geral de Proteção de Dados (LGPD) que visa garantir os direitos dos titulares e prevê sanções rígidas às empresas que não estiverem em conformidade.

Diante deste cenário o BACEN, órgão regulador das instituições financeiras no Brasil, criou a Resolução 4658 que entrou em vigor em 26 de abril de 2018 e buscando adaptar-se a Lei Geral de Proteção de Dados (LGPD) e às rápidas mudanças e corrigir erros pontuais vem realizando modificações na resolução original.

  • Quais são os requisitos previstos na resolução 4.893?

Como discorreremos à frente, não houveram mudanças significativas no que diz respeito aos requisitos previstos na resolução. Em suma mantém-se os mesmos da resolução anterior:

  • Criação de uma política de segurança da informação que assegure a confidencialidade, integridade e disponibilidade das informações, dados e ativos pertencentes à instituição;
  • Criação de um plano de ação e processos para detecção e resposta a incidentes;
  • Definição de um plano de ação que garanta a continuidade dos negócios;
  • Cumprimento dos requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem observados na resolução.

Caso tenha interesse em entender um pouco mais sobre os requisitos previstos e em como aplicá-los, nós temos um post em nosso blog que pode te ajudar.

  • Mas, o que mudou?

Analisando a resolução 4.658, as edições feitas na resolução 4.752 e realizando um comparativo com a nova 4.893, foi possível notar que as mudanças realizadas foram mínimas. Em sua maioria houveram modificações na escrita, correções de concordância verbal e ajustes para melhor entendimento referentes a data atual com objetivo de esclarecer possíveis dúvidas que as instituições poderiam vir a manifestar e/ou manifestaram anteriormente.

Das mudanças analisadas, apenas três foram relevantes o suficiente para merecerem menção. São elas:

  1. Inserção de parágrafo único no capítulo I, Art. 1º, evidenciando que:
    “O disposto nesta Resolução não se aplica às instituições de pagamento, que devem observar a regulamentação emanada do Banco Central do Brasil, no exercício de suas atribuições legais.”

No momento desta publicação, as instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil estão sob a circular 3.909 e as alterações especificadas na circular 3.969. Confira em mais detalhes sobre a circular 3.909 aqui.

  1. A inserção de parágrafo único no Art. 20:
    “Parágrafo único. As instituições devem estabelecer e documentar os critérios que configuram uma situação de crise de que trata o inciso III do caput.”Nas resoluções anteriores esta documentação não era prevista, sendo necessário apenas: “a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes…”. Na nova resolução a criação desta documentação passa a ser exigida.
  1. A adição do inciso IX no Art. 23:
    “IX – a documentação com os critérios que configuram uma situação de crise de que trata o art. 20, Parágrafo único.”

O Art. 23 dita quais documentações devem ser mantidas pela instituição e permanecerem disponíveis ao BACEN pelo período mínimo de cinco anos. Como mencionado anteriormente, o Art. 20, nesta nova resolução, estipula a criação da documentação supracitada e no Art. 23, inciso IX, é exigido que a mesma fique à disposição do Banco Central do Brasil pelo prazo de cinco anos.

Além das modificações citadas acima, o Art. 27 revoga as resoluções 4.658 e 4.752 e o Art. 28 define a data em que a resolução 4.893 entra em vigor, 1º de julho de 2021.

  • Conclusão

A criação da resolução 4.658 significou um grande passo para o cenário de segurança nacional no tangente às instituições financeiras e apesar das modificações encontradas na resolução 4.893 não terem sido impactantes, esta iniciativa demonstra o real interesse do BACEN em estabelecer um nível de segurança adequado às instituições financeiras que regula.

As instituições abrangidas pelos termos desta resolução têm até 31 de dezembro de 2021 para se adequarem.

O planejamento com antecedência é um fator decisivo para o sucesso, tendo em vista o grau de complexidade que uma política de segurança desse nível exige. O auxílio de empresas especializadas pode contribuir neste processo.

Conte com a IBLISS para alcançar um patamar de excelência em segurança e privacidade digital em sua empresa. Fale com os nossos especialistas e conheça nossas soluções.

Escrito por Geraldo Alcântara – HaaS IBLISS