Política de Segurança Cibernética: Guia da Resolução BACEN
Entenda a Resolução CMN nº 4.893 do BACEN, seus requisitos para política de segurança cibernética e como garantir o compliance financeiro na sua instituição.
A digitalização acelerada do Sistema Financeiro Nacional (SFN) trouxe eficiência e inovação sem precedentes, mas também ampliou a superfície de ataque para ameaças cibernéticas. Diante deste cenário, o Banco Central do Brasil (BACEN) assumiu uma postura proativa, estabelecendo um arcabouço regulatório robusto para proteger a integridade, a confidencialidade e a disponibilidade dos dados e das operações financeiras. A governança de segurança cibernética deixou de ser uma recomendação de boas práticas para se tornar um pilar mandatório de compliance, com diretrizes claras, responsabilidades definidas e sanções severas para o descumprimento.
O que é a Política de Segurança Cibernética exigida pelo BACEN?
É um conjunto de diretrizes, objetivos, procedimentos e controles obrigatórios que as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central devem implementar para gerenciar e mitigar os riscos cibernéticos. Esta política é formalizada principalmente pela Resolução do Conselho Monetário Nacional (CMN) nº 4.893, de 26 de fevereiro de 2021, que consolidou e aprimorou normativos anteriores, como a Resolução 4.658. A política deve ser compatível com o porte, o perfil de risco e o modelo de negócio da instituição, além de alinhada com as melhores práticas internacionais de segurança da informação.
O principal objetivo da regulamentação é garantir a resiliência do setor financeiro brasileiro. Para isso, a norma exige que cada instituição desenvolva e documente formalmente sua abordagem para a segurança cibernética. Este documento não é apenas uma formalidade burocrática; ele deve ser aprovado pelo conselho de administração ou, na sua ausência, pela diretoria da instituição, e revisado anualmente. A política abrange desde a prevenção de ataques, passando pela identificação e resposta a incidentes, até a gestão de relacionamentos com prestadores de serviços, especialmente os de computação em nuvem. A implementação efetiva dessa política é um fator crítico para a manutenção da licença de operação concedida pelo BACEN.
Quais são os pilares da Resolução CMN nº 4.893/2021?
A resolução é estruturada em torno de quatro pilares fundamentais que, juntos, formam um framework completo para a gestão do risco cibernético. Estes pilares são a Política de Segurança Cibernética formalizada, o Plano de Ação e Resposta a Incidentes, a Governança e Controles internos, e os requisitos para a contratação de serviços de terceiros, com ênfase em processamento de dados e computação em nuvem.
O primeiro pilar, a Política de Segurança Cibernética, exige que a instituição documente seus princípios e diretrizes. Isso inclui a classificação da informação, os controles de acesso, a criptografia, a segurança de redes e a prevenção contra malwares. O segundo pilar é o Plano de Ação e Resposta a Incidentes, que detalha os procedimentos técnicos e operacionais para prevenir, detectar e responder a ataques. Este plano deve ser testado periodicamente por meio de simulações. O terceiro pilar, Governança e Controles, estabelece a necessidade de um diretor estatutário responsável pela política, a disseminação de uma cultura de segurança e a realização de auditorias e testes de penetração. Por fim, o quarto pilar define as regras para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, exigindo due diligence rigorosa dos fornecedores para garantir que eles também atendam aos padrões de segurança do BACEN.
Como a governança de segurança cibernética deve ser implementada?
A implementação da governança de segurança cibernética exige a designação formal de um diretor estatutário responsável por garantir a aplicação da política em toda a organização. Este profissional, que não precisa ser um especialista em TI, mas deve compreender os riscos de negócio associados, tem a incumbência de supervisionar a execução do plano de ação, alocar recursos e reportar-se diretamente ao conselho de administração sobre o estado da segurança da instituição.
Além da designação do diretor, a governança eficaz se materializa na criação de uma estrutura clara de papéis e responsabilidades. Isso envolve a formação de um comitê de segurança ou de um time de resposta a incidentes de segurança computacional (CSIRT), com membros de diferentes áreas (TI, jurídico, compliance, comunicação). A disseminação de uma cultura de segurança é outro componente vital, alcançada por meio de programas contínuos de treinamento e conscientização para todos os colaboradores, desde o nível operacional até a alta gestão. A governança também prevê a elaboração e o envio ao BACEN de um Relatório Anual de Segurança Cibernética, que consolida os resultados das auditorias, testes de vulnerabilidade, descrição dos incidentes ocorridos e o progresso do plano de ação.
Quais são os requisitos para contratação de serviços em nuvem e processamento de dados?
As instituições devem realizar um processo de due diligence exaustivo antes de contratar provedores de serviços de computação em nuvem, armazenamento ou processamento de dados. Este processo deve verificar se o fornecedor possui capacidade técnica e financeira, e se suas políticas de segurança e controles internos são compatíveis com os requisitos regulatórios do BACEN. A análise deve ir além das certificações de mercado, como ISO 27001, e aprofundar-se em aspectos práticos da operação do provedor.
O contrato com o terceiro deve conter cláusulas específicas que garantam a segurança e a continuidade dos serviços. Entre as exigências estão a definição de responsabilidades em caso de incidentes, a segregação dos dados do contratante, e a garantia de que a instituição financeira e o BACEN terão pleno acesso aos dados, registros e informações sobre os serviços prestados, para fins de auditoria e supervisão. Para serviços prestados a partir do exterior, a regulamentação é ainda mais estrita, exigindo que a instituição verifique as leis de proteção de dados do país de origem do provedor e mantenha acordos que assegurem o cumprimento da legislação brasileira.
A tabela abaixo resume os principais pontos de verificação na contratação de serviços de nuvem, conforme as diretrizes da Resolução CMN 4.893/2021.
| Requisito Regulatório | Descrição da Exigência | Ações de Verificação e Compliance |
|---|---|---|
| Avaliação do Provedor | A instituição deve verificar a capacidade do provedor em garantir a confidencialidade, integridade, disponibilidade e recuperação de dados. | Análise de certificações (ISO 27001, SOC 2), relatórios de auditoria de terceiros, e avaliação da saúde financeira e reputação do provedor. |
| Cláusulas Contratuais | O contrato deve prever a obrigação do provedor de aderir à política de segurança cibernética da instituição e às regulamentações do BACEN. | Incluir cláusulas de direito de auditoria, notificação obrigatória de incidentes, segregação de dados e SLAs (Service Level Agreements) claros para segurança. |
| Direito de Acesso do BACEN | O provedor deve garantir contratualmente que o Banco Central do Brasil terá acesso irrestrito aos dados e informações para fins de supervisão. | Formalizar em contrato a cláusula de "Acesso por Regulador", permitindo que o BACEN audite o ambiente do provedor que serve à instituição financeira. |
| Processamento no Exterior | Para dados processados fora do Brasil, a instituição deve obter consentimento prévio dos clientes e garantir que o país oferece proteção adequada. | Análise da legislação do país de destino, obtenção de parecer jurídico e implementação de mecanismos de transferência internacional de dados (e.g., cláusulas padrão). |
| Plano de Contingência | A instituição deve ter um plano para a substituição do provedor ou para a internalização dos serviços em caso de rescisão contratual ou falha grave. | Mapear provedores alternativos, realizar provas de conceito (PoCs) de migração e manter backups dos dados em local independente do provedor principal. |
Como a política do BACEN se conecta com a LGPD?
A política de segurança cibernética do BACEN e a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) são normativos complementares e sinérgicos. Enquanto a LGPD estabelece um regime amplo para a proteção de dados pessoais em todos os setores da economia, focando nos direitos dos titulares e nos deveres dos agentes de tratamento, a Resolução 4.893 detalha os mecanismos técnicos e de governança que as instituições financeiras devem adotar para proteger não apenas dados pessoais, mas todo o ambiente informacional que sustenta o SFN.
A conformidade com a resolução do BACEN é um passo fundamental para o cumprimento do Artigo 46 da LGPD, que exige que os agentes de tratamento adotem "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão". Em caso de um incidente de segurança que envolva dados pessoais, a instituição pode ter uma dupla obrigação de comunicação: ao BACEN, conforme os critérios da Circular nº 3.979/2020, que define o que é um incidente relevante; e à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, conforme os termos da LGPD. Portanto, uma estratégia de compliance integrada é essencial para navegar pelas exigências de ambos os reguladores de forma eficiente.
FAQ — Perguntas Frequentes
A Resolução CMN 4.893/2021 aplica-se a todas as instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central. Isso inclui bancos, cooperativas de crédito, corretoras, e também fintechs que operam como Sociedade de Crédito Direto (SCD), Sociedade de Empréstimo entre Pessoas (SEP) ou Instituição de Pagamento (IP). Fintechs que operam sob modelos mais leves, como correspondentes bancários ou por meio de parcerias de Banking as a Service (BaaS), podem não ser diretamente reguladas, mas serão contratualmente obrigadas por seus parceiros regulados a aderir a padrões de segurança equivalentes.
Conforme a Circular BACEN nº 3.979/2020, um incidente é considerado relevante quando afeta os serviços críticos da instituição, causa impacto significativo na imagem, resulta em perdas financeiras expressivas, ou provoca a indisponibilidade, vazamento ou alteração de dados de um grande número de clientes. A análise de relevância deve considerar o potencial de contágio ou risco sistêmico para o Sistema Financeiro Nacional. Incidentes relevantes devem ser comunicados ao BACEN em, no máximo, uma hora após a confirmação.
O não cumprimento das diretrizes estabelecidas pelo BACEN pode acarretar sanções administrativas severas. As penalidades variam desde a emissão de cartas de advertência e a aplicação de multas pecuniárias — que podem atingir valores de até R$ 2 bilhões ou 0,5% da receita de serviços da instituição — até a suspensão temporária de diretores ou de operações específicas, e, em casos extremos, a cassação da autorização para funcionar. Além das sanções financeiras e operacionais, o dano reputacional pode ser devastador.
A Resolução 4.893 exige que a política e o plano de ação sejam revisados anualmente e que a eficácia dos controles seja testada periodicamente. Embora a revisão anual possa ser interna, a norma determina a realização de testes de penetração e análises de vulnerabilidade por equipes especializadas, que frequentemente são terceirizadas para garantir a imparcialidade e o nível técnico da avaliação. Os relatórios dessas auditorias e testes são insumos essenciais para o relatório anual de conformidade enviado ao BACEN.
