O Banco Central publicou nesta segunda-feira (20) no Diário Oficial da União a circular 3.909/18 que dispõe sobre a Política de Segurança Cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.

A medida já havia sido adotada para as demais instituições financeiras por meio da resolução 4.654/18 do Conselho Monetário Nacional (CMN), publicada em abril.

A partir da diretriz da circular, a Política de Segurança deverá ser compatível com o porte, o perfil de risco e o modelo de negócio da instituição. Ela deve contemplar os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis.

No que diz respeito à divulgação, a Política de Segurança Cibernética deve ser divulgada aos funcionários da instituição de pagamento e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

O documento deixa claro a necessidade de implantação de um Plano de Ação e de Resposta a Incidentes, exigindo-se a elaboração de um relatório anual dessas atividades.

Com relação ao processamento e armazenamento de dados e de computação em nuvem, a responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados é a instituição de pagamento.

Instituição de pagamento

O Banco Central considera instituição de pagamento toda instituição de caráter pessoa jurídica que viabiliza serviços de compra e venda e de movimentação de recursos, no âmbito de um arranjo de pagamento, sem a possibilidade de conceder empréstimos e financiamentos a seus clientes. As instituições de pagamento possibilitam ao cidadão realizar pagamentos independentemente de relacionamentos com bancos e outras instituições financeiras.

Leia a íntegra da Circular 3.909/2018.