Em 19 de setembro o BACEN colocou em audiência pública a proposta de resolução que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento, armazenamento de dados e de computação em nuvem, a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

Até agora foram recebidas 20 sugestões, divididas em 3 tipos:

  • Tecnológicas – apesar deste ser o tema central da consulta, as sugestões foram modestas. Observamos várias contribuições citando a necessidade de autenticação por 2 fatores (incluindo biometria).
  • Governança – este é o tema que concentra a maior parte das contribuições. A sugestão de formar um grupo multidisciplinar que envolva todos os “atores” (instituições menores, empresas de TI, Fintechs etc.) é recorrente. É uníssona a exigência de compatibilizar a resolução com regulamentações estrangeiras (americanas e europeia) – o que facilita de sobremaneira a adesão das instituições estrangeiras.
  • Cuidado com a informação – este é o tópico que nos interessa. As críticas vão desde exigir que dados dos clientes sejam armazenados dentro da própria instituição, até a definição do ciclo de vida do documento (quando poderia ser descartada a informação), passando pela sua classificação (confidencial, secreta etc.).

Destacamos que a proposta prevê em seu art. 11 a vedação da contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem no exterior. O que seria um “serviço relevante”? Observamos o mesmo padrão no Edital que cita a necessidade de a classificação dos dados e das informações quanto à relevância, sob a responsabilidade da instituição. Estes critérios de relevância seriam feitos pela própria instituição? Não é muito subjetivo?

Outro ponto curioso diz respeito à necessidade de determinar o local onde os serviços serão realizados. A nosso ver, além de criar a “nuvem” imóvel, esta exigência impede o uso de blockchain, uma vez que o fator de segurança desta tecnologia é justamente ser uma cadeia de registros distribuídos. Ou seja, não se sabe onde está registrada uma operação.

Não podemos deixar de parabenizar a instituição que em seu art. 17 determina o prazo de cinco anos para a guarda dos registros de acesso, procedimentos estabelecidos (planos, políticas) e dos relatórios de evidências. Estabelecer a temporalidade dos registros é fundamental para que tenhamos uma boa governança da informação.

O BC recebe sugestões até 21/11 próximos. O link para acessar a audiência está disponível o Edital https://www3.bcb.gov.br/audpub/AudienciasAtivas?29.

Participe!

Anúncios