Com o aumento do uso de aplicativos e inovações tecnológicas no setor financeiro, os reguladores da área promulgaram a Circular nº 3.909. Este documento define regras de controle e impõe às instituições a contratação de sistemas capazes de lidar com ataques cibernéticos.
No mesmo sentido da Resolução 4.658/18, que é voltada para as instituições financeiras, a Circular nº 3.909 possui regras quase idênticas para as instituições de pagamento, mas oferece prazos mais flexíveis de adaptação.
O seu lançamento gerou grande impacto para o fim de 2018 e início de 2019. Neste artigo, vamos explicar o que é a Circular nº 3.909 e quais são as principais diretrizes do texto. Boa leitura!
O que é a Circular nº 3.909?
A Circular nº 3.909 determina alguns pontos que devem ser observados por instituições de pagamento sobre dois pontos:
- a política de segurança cibernética;
- e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.
No mesmo contexto da Lei de Proteção de Dados Pessoais, o Banco Central publicou no dia 16 de agosto de 2018 a Circular nº 3.909 para estabelecer que instituições de pagamento vinculadas a ele implementem políticas e diretrizes para garantir a proteção de dados de seus usuários.
As duas regulamentações têm origem no grande número de operações comerciais que vêm crescendo nos e-commerces. As lojas que não possuem um bom sistema de segurança estão mais suscetíveis ao ataque de criminosos cibernéticos, que buscam os dados confidenciais dos consumidores.
Quais são as principais diretrizes para assegurar a confidencialidade, a integridade e a disponibilidade dos dados?
A contínua confidencialidade, integridade e disponibilidade de sistemas de informação devem sustentar as operações das instituições de pagamento.
A incapacidade de proteger os sistemas de informação colocaria em risco a capacidade da instituição de cumprir sua missão e ter maior impacto a longo prazo. Isso aconteceria através do risco de perda financeira ou de reputação.
A área responsável pelo registro e controle dos efeitos de incidentes relevantes deverá conduzir a implementação de um Plano de Ação através de diretrizes específicas. Tais normas fornecem requisitos específicos sobre vários tópicos que permitem que a empresa atenda aos requisitos de política e conformidade. Confira a seguir!
Elaboração de cenários de incidentes
Depois que diferentes ativos e ameaças forem identificados, é importante definir cenários para garantir ações pré-definidas e fornecer orientações sobre respostas apropriadas.
Assim, o Plano de Ação deve ser baseado em cenários de ataque, pois as ações detalhadas a serem executadas poderão variar. O plano deve ser específico por função ou posição dentro da organização.
Definição de procedimentos
Os procedimentos são instruções passo a passo para alcançar um objetivo. Os procedimentos devem ser concebidos para reforçar as políticas de segurança e ajudar a garantir a prestação de serviços consistente.
Os procedimentos também são cruciais para manter a conformidade com as regulamentações.
Definição de controles voltados à prevenção e ao tratamento dos incidentes
É um procedimento a ser seguido no caso de um ataque, invasão real, suspeita de invasão, acesso não autorizado, perda ou outra violação envolvendo informações confidenciais.
Um bom Plano de Resposta identificará cada recurso externo, fornecerá informações completas de contato e incluirá uma pessoa de backup em caso de indisponibilidade.
Também é associada a responsabilidade para cada profissional para que cada um saiba exatamente o que deve ser feito. Acrescente-se a isso a necessidade de treinamentos e simulações destes Planos de Contingência, para garantir a efetividade na sua aplicação.
Classificação quanto à relevância
A classificação dos dados, no contexto da segurança da informação, é a especificação dos dados com base no seu nível de sensibilidade e no impacto, caso esse conteúdo seja divulgado, alterado ou destruído sem autorização.
Essa categorização de informação ajuda a determinar quais controles de segurança de linha de base são apropriados para proteger esses dados.
Definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes
O objetivo da definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes é fornecer uma estrutura para garantir que os possíveis problemas de segurança de computadores sejam gerenciados de maneira efetiva e consistente.
Isso inclui uma avaliação para determinar:
- escopo e risco potencial;
- resposta apropriada;
- comunicação clara com as partes interessadas;
- contenção;
- correção e restauração do serviço;
- planos para reduzir a chance de recorrência.
Meios de disseminação da cultura da segurança cibernética
Criar uma cultura de segurança dentro da instituição tem por base o treinamento e conscientização. Afinal, é preciso garantir que todos os funcionários estejam cientes das possíveis ameaças que podem enfrentar.
Além disso, o panorama da segurança cibernética está sempre mudando à medida que os hackers encontram novas maneiras de acessar informações. Por isso, é muito importante criar uma cultura de conscientização das ameaças.
Melhoria contínua dos procedimentos relacionados com a segurança cibernética
As políticas e diretrizes da segurança cibernética precisam ser revisadas e atualizadas regularmente. O ideal é que isso aconteça, pelo menos, uma vez por ano para empresas menores. Já para as organizações maiores, a frequência deve ser maior.
As diretrizes devem mudar para refletir o momento atual da empresa. Lidar incorretamente com a violação em função de um planejamento inadequado ou uma falha na execução das ações planejadas pode piorar ainda mais a situação.
Como empresas e instituições financeiras deverão adaptar o seu negócio?
A Circular nº 3.909 obriga que exista uma diretoria responsável pela política de segurança cibernética e que estabeleça um plano com as seguintes ações:
1. Ações de adequações aos princípios e às diretrizes
Como espera-se que a segurança cibernética continue a ser uma função integral para as instituições financeiras, a melhoria das capacidades provavelmente será um desafio contínuo à medida que as ameaças continuarem evoluindo no escopo, técnica e sofisticação.
As ações devem ser tomadas para que as instituições se adequem às suas políticas e para que possam ficar um passo à frente dos atores de ameaças que pretendem prejudicá-las.
2. Rotinas, procedimentos, controles e tecnologias
Todos na instituição devem compreender e adotar seu papel vital e responsabilidades na detecção de intrusões, relatórios de alerta e manutenção de uma boa segurança para ajudar a impedir que os eventos aconteçam e limitar a danos se ocorrerem.
3. Criação de uma área responsável
A área responsável deve fornecer detalhes sobre como a instituição está lidando com a prevenção e resposta a incidentes. Isso deve ser feito através do registro e controle dos efeitos dos incidentes relevantes. Estes registros, em conjunto com outras informações, irão compor o relatório que será enviado ao BACEN anualmente.
Quais são os prazos dessa medida?
As instituições de pagamento possuem até 29 de novembro de 2019 para apresentar ao Banco Central do Brasil o cronograma de adequação. O prazo previsto no cronograma da Circular nº 3.909 para adequação não pode ultrapassar 31 de dezembro de 2021.
Gostou deste post sobre a Circular nº 3909? Normas de segurança fazem parte do dia a dia de toda empresa. Para receber outros conteúdos como esse, assine nossa newsletter e fique por dentro das novidades!
Deixe um comentário