O Banco Central do Brasil publicou a resolução do Conselho Monetário Nacional 4.893, de 26 de fevereiro de 2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.
Esta resolução entrará em vigor a partir de 1 de julho de 2021.
Principais diretrizes
O artigo apresenta as seguir alguns comentários sobre a resolução, sob o ponto de vista da criptografia e da estratégia de Segurança de Dados em serviços de armazenamento e processamento em nuvem.
A norma estabelece diretrizes para:
a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios;
b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;
c) a classificação dos dados e das informações quanto à relevância; e
d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;
A classificação dos dados, sua relevância, os tipos de público que terão acesso e os métodos de proteção são indispensáveis para definir as estratégias a utilizar: mascaramento, anonimização, tokenização, truncamento.
Os procedimentos e os controles de que trata o inciso II do caput devem abranger, no mínimo, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.
Serviços contratados
Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:
I – a indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
II – a adoção de medidas de segurança para a transmissão e armazenamento dos dados citados no inciso I do caput;
III – a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;
IV – a obrigatoriedade, em caso de extinção do contrato, de:
a) transferência dos dados citados no inciso I do caput ao novo prestador de serviços ou à instituição contratante; e
b) exclusão dos dados citados no inciso I do caput pela empresa contratada substituída, após a transferência dos dados prevista na alínea “a” e a confirmação da integridade e da disponibilidade dos dados recebidos;
Como o VaultCore implementa a Política de Segurança Cibernética?
A proteção dos dados processados em ambientes de terceiros pode utilizar os recursos de criptografia denominados BYOK – traga sua própria chave, que permite que somente o contratante, utilizando chaves criptográficas sob seu controle, consiga ter acesso à aplicação e aos dados processados ou em repouso.
Chaves diferentes para diversos ambientes de aplicação, bases de dados operacionais e de backup e para a segregação de redes estabelecem diversas camadas de proteção às informações.
O vaultCore implementa diversos recursos para a proteção estratégica dos dados em ambientes de nuvem, próprias, contratadas ou híbridas.
Uma resposta