Imagem de destaque

Escrito por: Mariano Montoni

Quando: 21 de janeiro de 2019

Nova lei de proteção de dados: entenda melhor a resolução Bacen 4658

A nova lei de proteção de dados pessoais entrou em vigor pelo Banco Central em 26 de abril de 2018, com a resolução nº 4.658. Essa lei aborda questões sobre políticas de cibersegurança e requisitos para a contratação de serviços em nuvem que devem ser seguidos por instituições financeiras, como as fintechs e os bancos tradicionais.

No post de hoje explicaremos melhor o que é essa lei, suas principais diretrizes, utilidade e importância para as empresas. Quer saber mais? Então continue conosco e confira!

O que é a nova lei de proteção de dados pessoais?

A resolução nº 4.658 foi criada pelo Banco Central do Brasil visando estabelecer padrões de segurança da informação e requisitos para a contratação de soluções de processamento e armazenamento de dados online, passando a ser válida para todas as instituições financeiras que funcionam sob autorização do BACEN.

Em uma visão geral, a resolução 4.658 consiste em:

  • Estabelecer requisitos para contratação de serviços em nuvem.
  • Requerer plano de ação e de respostas a incidentes.
  • Gestão de continuidade do negócio.
  • Adoção de políticas de segurança.

Essa resolução é o meio utilizado pelo Banco Central para regular o uso de informações digitais e a adoção de serviços de nuvem pelas instituições financeiras. A ideia é orientar as empresas na implantação e manutenção de políticas de privacidade e segurança mais efetivas.

Baseada em padrões internacionais de cibersegurança, com o conjunto ISO 27000, a resolução 4658 também leva em consideração as diretrizes da ISO 22301, que trata sobre gestão da continuidade do negócio. A resolução 4658 torna regra aquilo que anteriormente era considerado como boa prática pelas empresas.

A importante ter em mente que a resolução surgiu para estabelecer as exigências para as instituições financeiras e quaisquer outras empresas autorizadas a funcionar pelo Banco Central quanto a seus ambientes de tecnologia da informação contra ataques cibernéticos, por isso ela considera em seus requisitos: pessoas, processo, tecnologia.

Além das instituições financeiras, a resolução 4658 também vale para prestadores de serviços que tratam dados, informações sensíveis ou informações relevantes para execução das atividades operacionais das empresas regulamentadas pelo Banco Central.

Quais as principais diretrizes dela?

A lei aborda, principalmente, questões como as medidas necessárias para a prevenção de vazamento de dados ou incidentes relacionados e, ainda, o comportamento das instituições em casos em que isso ocorra. Assim, é possível contar com serviços mais robustos, já que as empresas são obrigadas a agir imediatamente em caso de problemas com dados ou serviços.

Além disso, como citado, a resolução também busca dar as devidas especificações ao contratar serviços em nuvem — como boas técnicas de gestão de risco e monitoramento de recursos. Desse modo, a terceirização de infraestrutura se torna uma prática segura tanto para a instituição quanto para seus clientes.

De que forma essa lei afeta o setor de TI?

O mundo financeiro agora conta com as facilidades tecnológicas para agilizar seus processos e algumas empresas até mesmo têm a sua experiência e interação com o usuário voltadas para o meio digital.

Nessa realidade, é comum que haja a terceirização de serviços de infraestrutura para melhorar a flexibilidade e reduzir custos nos negócios. Assim, é fundamental que as empresas de TI estejam atentas a esse cenário, disponibilizando tecnologias compatíveis com a resolução e que sejam vantajosas comercialmente.

Por que é necessário se adaptar?

A lei é clara em relação às responsabilidades dos fornecedores de tecnologia que lidam com dados de clientes de instituições financeiras. Dessa forma, a resolução abrange tanto as próprias instituições financeiras quanto seus prestadores de serviços tecnológicos.

Uma vez que o mercado financeiro precisa estar em dia com a lei e empresas desse ramo dependem cada vez mais da tecnologia, as companhias de TI que não se adequarem às normas tendem a perder oportunidades e, consequentemente, se tornarão menos competitivas.

Como fazer essa adaptação?

A resolução nº 4.658 afeta desde as rotinas mais básicas e operacionais até as políticas de governança em alto nível. Antes de tudo, é preciso realizar uma análise completa da companhia, buscando saber quais aspectos já estão de acordo com as normas e quais ainda precisam de ajustes.

Assim, será mais fácil ter um panorama da situação, tornando os investimentos mais práticos e econômicos, uma vez que a companhia não buscará implementar recursos já existentes, por exemplo.

Você pode listar os requisitos em uma planilha organizado pelas seções e capítulos da resolução 4658 para identificar o seu percentual de aderência atual (exemplo na imagem abaixo), e traçar um plano para total aderência à 4658.

Aderência a Resolução 4658

Qual a importância para empresas do mercado financeiro?

A resolução visa garantir a segurança das operações em instituições financeiras e a segurança de seus clientes. Dada a larga utilização de recursos tecnológicos e a possibilidade de utilizar nuvens públicas — tanto no Brasil quanto no exterior — no mercado financeiro, a segurança cibernética se torna crucial para evitar vazamentos e incidentes relacionados.

Desse modo, o Banco Central — que atua sobre essas instituições — pode contar com um meio de regular a aquisição, uso e manutenção dessas tecnologias e, consequentemente, reduzir o número de problemas desse tipo no mundo financeiro.

E aí, já conhecia a importância da nova lei de proteção de dados? Então compartilhe este post nas suas redes sociais agora mesmo e ajude a garantir a segurança no mercado financeiro!

Mariano Montoni

Possui mais de 20 anos de experiência em impulsionar a excelência nos processos de empresas de tecnologia, realizando mais de 150 avaliações oficiais nos modelos CMMI e MPS.BR.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Nenhum comentário aprovado.


Matérias Semelhantes

Agilidade
6 de setembro, 2024

Kanban vs. Scrum: entenda as diferenças e semelhanças

No universo das metodologias ágeis, Kanban e Scrum são duas abordagens amplamente adotadas para a gestão e melhoria de processos em projetos de software e outras ...
Ler artigo
Agilidade
19 de julho, 2024

Métricas Ágeis: como medir performance, qualidade e planejamento

Frequentemente identificamos empresas no mercado que buscam metodologias ágeis como Scrum, Kanban ou XP para melhorar o desempenho e...
Ler artigo
Agilidade
28 de junho, 2024

CMMI e Agilidade: integrando abordagens para otimizar processos

No desenvolvimento de software, organizações frequentemente exploram frameworks e modelos como o Capability Maturity Model Integration (CMMI) e metodologias ágeis...
Ler artigo