Em 26 de abril de 2018, o Conselho Monetário Nacional (CMN) editou a Resolução nº 4.658/2018 (inteiro teor), que dispõe sobre a implementação de política de segurança cibernética por parte das instituições financeiras e demais entidades autorizadas a operar pelo Banco Central do Brasil ("Instituições Financeiras"), bem como sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (cloud computing) pelas referidas Instituições Financeiras.

Essa Resolução, que foi objeto de consulta pública lançada pelo Banco Central do Brasil (Bacen) em setembro de 2017, propõe uma transformação no modelo de cibersegurança e contratação em nuvem, que visa mitigar riscos e falhas de segurança no âmbito cibernético. Para tanto, a Resolução apresenta regras e diretrizes voltadas ao tratamento preventivo e reativo de incidentes de segurança, exigências contratuais mínimas para a contratação de serviços que envolvam dados e atribuições de responsabilidade dentro da Instituição Financeira.

Os principais pontos abordados pela Resolução são:

  • Obrigatoriedade de as Instituições Financeiras implementarem políticas de segurança cibernética;
  • Estabelecimento de conteúdo mínimo da referida política de segurança cibernética;
  • Estabelecimento de exigências mínimas para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (cloud computing);
  • Estabelecimento de requisitos mínimos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem prestados no exterior;
  • Obrigatoriedade de designação de diretor responsável pela segurança cibernética da Instituição Financeira;
  • Dever de comunicação prévia, pelas Instituições Financeiras, ao Bacen a respeito da contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem;
  • Estabelecimento de regras específicas para o tratamento dos incidentes relacionados ao ambiente cibernético, incluindo o desenvolvimento de ações para o compartilhamento de informações sobre os referidos incidentes;
  • Possibilidade do Bacen vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar a inobservância do disposto na Resolução.

A Resolução entra em vigor na data de sua publicação. As Instituições Financeiras poderão aprovar a política de segurança cibernética e o plano de ação e de resposta a incidentes até o dia 06 de maio de 2019 e, aquelas que já tiverem contrato a prestação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem, deverão apresentar ao Bacen, no prazo máximo de 180 (cento e oitenta dias), cronograma para adequação do serviço às exigências contratuais e procedimentais mínimas estabelecidas pela Resolução.