​A Diretoria Colegiada do Banco Central do Brasil (Bacen) editou, em 15 de agosto de 2018, a Circular nº 3.909 (Circular 3.909 – inteiro teor), que dispõe sobre a implementação de política de segurança cibernética por parte das instituições de pagamento autorizadas a funcionar pelo Bacen (Instituições de Pagamento), bem como sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (cloud computing) por tais Instituições de Pagamento.

A Circular 3.909 traz obrigações similares àquelas dispostas na Resolução do Conselho Monetário Nacional (CMN) nº 4.658/2018 (Resolução 4.658 – inteiro teor), que estabelece os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (cloud computing) pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Bacen. Neste sentido, assim como a Resolução 4.658, a Circular 3.909 propõe uma transformação no modelo de cibersegurança e contratação em nuvem, que visa mitigar riscos e falhas de segurança no âmbito cibernético.

A Circular 3.909 apresenta regras e diretrizes voltadas ao tratamento preventivo e reativo de incidentes de segurança, exigências contratuais mínimas para a contratação de serviços que envolvam dados e atribuições de responsabilidade dentro das Instituições de Pagamento.

Os principais pontos abordados pela Circular 3.909 são:

  • Obrigatoriedade de as Instituições de Pagamento implementarem políticas de segurança cibernética;

  • Estabelecimento de conteúdo mínimo da referida política de segurança cibernética;

  • Estabelecimento de exigências mínimas para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (cloud computing);

  • Estabelecimento de requisitos mínimos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem prestados no exterior;

  • Obrigatoriedade de designação de diretor responsável pela segurança cibernética da Instituição de Pagamento;

  • Dever de comunicação prévia, pelas Instituições de Pagamento, ao Bacen a respeito da contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem;

  • Estabelecimento de regras específicas para o tratamento dos incidentes relacionados ao ambiente cibernético, incluindo o desenvolvimento de ações para o compartilhamento de informações sobre os referidos incidentes; e

  • Possibilidade do Bacen vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar a inobservância do disposto na Circular 3.909.

A Circular 3.909 entra em vigor em 1º de setembro de 2019.

As Instituições de Pagamento poderão aprovar a política de segurança cibernética e o plano de ação e de resposta a incidentes em até 90 (noventa) dias contados da entrada em vigor da Circular 3.909 e, aquelas que já tiverem contrato a prestação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem na data de vigência da Circular 3.909, deverão apresentar ao Bacen, no prazo máximo de 90 (noventa dias), cronograma para adequação do serviço às exigências contratuais e procedimentais mínimas estabelecidas pela Circular 3.909.