O Banco Central publicou, nesta segunda-feira (20), carta circular regulamentando  a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento. A circular estabelece que deverão estar previstas na política iniciativas para compartilhamento, com outras instituições do sistema financeiro, de informações sobre os incidentes relevantes. Além disso, será necessário elaborar relatório anual tratando da implementação do plano de ação e de resposta a incidentes. 

No caso da contratação de serviços em nuvem, os bancos devem optar por empresas que possibilitem ao menos um dos seguintes serviços, de forma virtual: processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos; implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pela empresa, com a utilização de recursos computacionais do próprio prestador de serviços.

A contratação do serviço de armazenamento de dados ou em nuvem deve ser precedida de comunicação e aprovação do Banco Central. No caso de serem prestados no exterior deve observar os seguintes requisitos: a existência de convênio para troca de informações entre o Banco Central e as autoridades supervisoras dos países onde os serviços poderão ser prestados; a instituição de pagamento contratante deve assegurar que a prestação dos serviços não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central. Além disso, a instituição de pagamento deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e a instituição de pagamento contratante deve prever alternativas para a continuidade dos serviços de pagamento prestados, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.

As instituições de pagamento que, na data de entrada em vigor da circular, já tiverem contratado a prestação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem devem apresentar ao Banco Central, no prazo máximo de noventa dias, cronograma para adequação.

Leia aqui a íntegra da circular.