Nova lei de proteção de dados: entenda melhor a resolução Bacen 4658

ProMoveCertificaçãoNova lei de proteção de dados: entenda melhor a resolução Bacen 4658
Resolução Bacen 4658 Proteção de Dados

A nova lei de proteção de dados pessoais entrou em vigor pelo Banco Central em 26 de abril de 2018, com a resolução nº 4.658. Essa lei aborda questões sobre políticas de cibersegurança e requisitos para a contratação de serviços em nuvem que devem ser seguidos por instituições financeiras, como as fintechs e os bancos tradicionais.

No post de hoje explicaremos melhor o que é essa lei, suas principais diretrizes, utilidade e importância para as empresas. Quer saber mais? Então continue conosco e confira!

O que é a nova lei de proteção de dados pessoais?

A resolução nº 4.658 foi criada pelo Banco Central do Brasil visando estabelecer padrões de segurança da informação e requisitos para a contratação de soluções de processamento e armazenamento de dados online, passando a ser válida para todas as instituições financeiras que funcionam sob autorização do BACEN.

Em uma visão geral, a resolução 4.658 consiste em:

  • Estabelecer requisitos para contratação de serviços em nuvem.
  • Requerer plano de ação e de respostas a incidentes.
  • Gestão de continuidade do negócio.
  • Adoção de políticas de segurança.

Essa resolução é o meio utilizado pelo Banco Central para regular o uso de informações digitais e a adoção de serviços de nuvem pelas instituições financeiras. A ideia é orientar as empresas na implantação e manutenção de políticas de privacidade e segurança mais efetivas.

Baseada em padrões internacionais de cibersegurança, com o conjunto ISO 27000, a resolução 4658 também leva em consideração as diretrizes da ISO 22301, que trata sobre gestão da continuidade do negócio. A resolução 4658 torna regra aquilo que anteriormente era considerado como boa prática pelas empresas.

A importante ter em mente que a resolução surgiu para estabelecer as exigências para as instituições financeiras e quaisquer outras empresas autorizadas a funcionar pelo Banco Central quanto a seus ambientes de tecnologia da informação contra ataques cibernéticos, por isso ela considera em seus requisitos: pessoas, processo, tecnologia.

Além das instituições financeiras, a resolução 4658 também vale para prestadores de serviços que tratam dados, informações sensíveis ou informações relevantes para execução das atividades operacionais das empresas regulamentadas pelo Banco Central.

Quais as principais diretrizes dela?

A lei aborda, principalmente, questões como as medidas necessárias para a prevenção de vazamento de dados ou incidentes relacionados e, ainda, o comportamento das instituições em casos em que isso ocorra. Assim, é possível contar com serviços mais robustos, já que as empresas são obrigadas a agir imediatamente em caso de problemas com dados ou serviços.

Além disso, como citado, a resolução também busca dar as devidas especificações ao contratar serviços em nuvem — como boas técnicas de gestão de risco e monitoramento de recursos. Desse modo, a terceirização de infraestrutura se torna uma prática segura tanto para a instituição quanto para seus clientes.

Segurança da Informação WebinarsPowered by Rock Convert

De que forma essa lei afeta o setor de TI?

O mundo financeiro agora conta com as facilidades tecnológicas para agilizar seus processos e algumas empresas até mesmo têm a sua experiência e interação com o usuário voltadas para o meio digital.

Nessa realidade, é comum que haja a terceirização de serviços de infraestrutura para melhorar a flexibilidade e reduzir custos nos negócios. Assim, é fundamental que as empresas de TI estejam atentas a esse cenário, disponibilizando tecnologias compatíveis com a resolução e que sejam vantajosas comercialmente.

Por que é necessário se adaptar?

A lei é clara em relação às responsabilidades dos fornecedores de tecnologia que lidam com dados de clientes de instituições financeiras. Dessa forma, a resolução abrange tanto as próprias instituições financeiras quanto seus prestadores de serviços tecnológicos.

Uma vez que o mercado financeiro precisa estar em dia com a lei e empresas desse ramo dependem cada vez mais da tecnologia, as companhias de TI que não se adequarem às normas tendem a perder oportunidades e, consequentemente, se tornarão menos competitivas.

Como fazer essa adaptação?

A resolução nº 4.658 afeta desde as rotinas mais básicas e operacionais até as políticas de governança em alto nível. Antes de tudo, é preciso realizar uma análise completa da companhia, buscando saber quais aspectos já estão de acordo com as normas e quais ainda precisam de ajustes.

Assim, será mais fácil ter um panorama da situação, tornando os investimentos mais práticos e econômicos, uma vez que a companhia não buscará implementar recursos já existentes, por exemplo.

Você pode listar os requisitos em uma planilha organizado pelas seções e capítulos da resolução 4658 para identificar o seu percentual de aderência atual (exemplo na imagem abaixo), e traçar um plano para total aderência à 4658.

Aderência a Resolução 4658

Qual a importância para empresas do mercado financeiro?

A resolução visa garantir a segurança das operações em instituições financeiras e a segurança de seus clientes. Dada a larga utilização de recursos tecnológicos e a possibilidade de utilizar nuvens públicas — tanto no Brasil quanto no exterior — no mercado financeiro, a segurança cibernética se torna crucial para evitar vazamentos e incidentes relacionados.

Desse modo, o Banco Central — que atua sobre essas instituições — pode contar com um meio de regular a aquisição, uso e manutenção dessas tecnologias e, consequentemente, reduzir o número de problemas desse tipo no mundo financeiro.

E aí, já conhecia a importância da nova lei de proteção de dados? Então compartilhe este post nas suas redes sociais agora mesmo e ajude a garantir a segurança no mercado financeiro!

About the author

Consultor em Melhoria de Processos na ProMove. Doutor em Engenharia de Sistemas e Computação pela Universidade Federal do Rio de Janeiro (2010), Mestre em Engenharia de Sistemas e Computação pela Universidade Federal do Rio de Janeiro (2003) e graduado em Ciência da Computação pela Universidade Federal da Bahia (2000). Possui experiência em melhoria de processos, gerência de projetos e coordenação de equipes de consultoria. É consultor na implantação de processos aderentes aos modelos de qualidade CMMI e MPS. Atuou na concepção/desenvolvimento de um framework na linguagem .Net. É certificado ITIL v3 Foundation. É instrutor credenciado dos cursos de capacitação do modelo MPS. É implementador credenciado do modelo MPS para Software e MPS para Serviços. É avaliador líder experiente do modelo MPS para Software e Serviços. É avaliador líder do modelo CERTICS.