CMN regulamenta Política de Segurança Cibernética

CMN regulamenta Política de Segurança Cibernética

O Banco Central do Brasil publicou a resolução do Conselho Monetário Nacional 4.893, de 26 de fevereiro de 2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

Esta resolução entrará em vigor a partir de 1 de julho de 2021.

O artigo apresenta as seguir alguns comentários sobre a resolução, sob o ponto de vista da criptografia e da estratégia de Segurança de Dados em serviços de armazenamento e processamento em nuvem.

A norma estabelece diretrizes para:

a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios;

b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;

c) a classificação dos dados e das informações quanto à relevância; e

d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;

A classificação dos dados, sua relevância, os tipos de público que terão acesso e os métodos de proteção são indispensáveis para definir as estratégias a utilizar: mascaramento, anonimização, tokenização, truncamento.

Os procedimentos e os controles de que trata o inciso II do caput devem abranger, no mínimo, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.

Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:

I – a indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;

II – a adoção de medidas de segurança para a transmissão e armazenamento dos dados citados no inciso I do caput;

III – a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;

IV – a obrigatoriedade, em caso de extinção do contrato, de:

a) transferência dos dados citados no inciso I do caput ao novo prestador de serviços ou à instituição contratante; e

b) exclusão dos dados citados no inciso I do caput pela empresa contratada substituída, após a transferência dos dados prevista na alínea “a” e a confirmação da integridade e da disponibilidade dos dados recebidos;

A proteção dos dados processados em ambientes de terceiros pode utilizar os recursos de criptografia denominados BYOK – traga sua própria chave, que permite que somente o contratante, utilizando chaves criptográficas sob seu controle, consiga ter acesso à aplicação e aos dados processados ou em repouso.

Chaves diferentes para diversos ambientes de aplicação, bases de dados operacionais e de backup e para a segregação de redes estabelecem diversas camadas de proteção às informações.

O vaultCore implementa diversos recursos para a proteção estratégica dos dados em ambientes de nuvem, próprias, contratadas ou híbridas.

VaultCore e a Política de Segurança Cibernética

Quer conhecer o VaultCore, entre em contato!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *