Com o aumento do uso de aplicativos e inovações tecnológicas no setor financeiro, os reguladores da área promulgaram a Circular nº 3.909. Este documento define regras de controle e impõe às instituições a contratação de sistemas capazes de lidar com ataques cibernéticos.
No mesmo sentido da Resolução 4.658/18, que é voltada para as instituições financeiras, a Circular nº 3.909 possui regras quase idênticas para as instituições de pagamento, mas oferece prazos mais flexíveis de adaptação.
O seu lançamento gerou grande impacto para o fim de 2018 e início de 2019. Neste artigo, vamos explicar o que é a Circular nº 3.909 e quais são as principais diretrizes do texto. Boa leitura!
A Circular nº 3.909 determina alguns pontos que devem ser observados por instituições de pagamento sobre dois pontos:
No mesmo contexto da Lei de Proteção de Dados Pessoais, o Banco Central publicou no dia 16 de agosto de 2018 a Circular nº 3.909 para estabelecer que instituições de pagamento vinculadas a ele implementem políticas e diretrizes para garantir a proteção de dados de seus usuários.
As duas regulamentações têm origem no grande número de operações comerciais que vêm crescendo nos e-commerces. As lojas que não possuem um bom sistema de segurança estão mais suscetíveis ao ataque de criminosos cibernéticos, que buscam os dados confidenciais dos consumidores.
A contínua confidencialidade, integridade e disponibilidade de sistemas de informação devem sustentar as operações das instituições de pagamento.
A incapacidade de proteger os sistemas de informação colocaria em risco a capacidade da instituição de cumprir sua missão e ter maior impacto a longo prazo. Isso aconteceria através do risco de perda financeira ou de reputação.
A área responsável pelo registro e controle dos efeitos de incidentes relevantes deverá conduzir a implementação de um Plano de Ação através de diretrizes específicas. Tais normas fornecem requisitos específicos sobre vários tópicos que permitem que a empresa atenda aos requisitos de política e conformidade. Confira a seguir!
Depois que diferentes ativos e ameaças forem identificados, é importante definir cenários para garantir ações pré-definidas e fornecer orientações sobre respostas apropriadas.
Assim, o Plano de Ação deve ser baseado em cenários de ataque, pois as ações detalhadas a serem executadas poderão variar. O plano deve ser específico por função ou posição dentro da organização.
Os procedimentos são instruções passo a passo para alcançar um objetivo. Os procedimentos devem ser concebidos para reforçar as políticas de segurança e ajudar a garantir a prestação de serviços consistente.
Os procedimentos também são cruciais para manter a conformidade com as regulamentações.
É um procedimento a ser seguido no caso de um ataque, invasão real, suspeita de invasão, acesso não autorizado, perda ou outra violação envolvendo informações confidenciais.
Um bom Plano de Resposta identificará cada recurso externo, fornecerá informações completas de contato e incluirá uma pessoa de backup em caso de indisponibilidade.
Também é associada a responsabilidade para cada profissional para que cada um saiba exatamente o que deve ser feito. Acrescente-se a isso a necessidade de treinamentos e simulações destes Planos de Contingência, para garantir a efetividade na sua aplicação.
A classificação dos dados, no contexto da segurança da informação, é a especificação dos dados com base no seu nível de sensibilidade e no impacto, caso esse conteúdo seja divulgado, alterado ou destruído sem autorização.
Essa categorização de informação ajuda a determinar quais controles de segurança de linha de base são apropriados para proteger esses dados.
O objetivo da definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes é fornecer uma estrutura para garantir que os possíveis problemas de segurança de computadores sejam gerenciados de maneira efetiva e consistente.
Isso inclui uma avaliação para determinar:
Criar uma cultura de segurança dentro da instituição tem por base o treinamento e conscientização. Afinal, é preciso garantir que todos os funcionários estejam cientes das possíveis ameaças que podem enfrentar.
Além disso, o panorama da segurança cibernética está sempre mudando à medida que os hackers encontram novas maneiras de acessar informações. Por isso, é muito importante criar uma cultura de conscientização das ameaças.
As políticas e diretrizes da segurança cibernética precisam ser revisadas e atualizadas regularmente. O ideal é que isso aconteça, pelo menos, uma vez por ano para empresas menores. Já para as organizações maiores, a frequência deve ser maior.
As diretrizes devem mudar para refletir o momento atual da empresa. Lidar incorretamente com a violação em função de um planejamento inadequado ou uma falha na execução das ações planejadas pode piorar ainda mais a situação.
A Circular nº 3.909 obriga que exista uma diretoria responsável pela política de segurança cibernética e que estabeleça um plano com as seguintes ações:
Como espera-se que a segurança cibernética continue a ser uma função integral para as instituições financeiras, a melhoria das capacidades provavelmente será um desafio contínuo à medida que as ameaças continuarem evoluindo no escopo, técnica e sofisticação.
As ações devem ser tomadas para que as instituições se adequem às suas políticas e para que possam ficar um passo à frente dos atores de ameaças que pretendem prejudicá-las.
Todos na instituição devem compreender e adotar seu papel vital e responsabilidades na detecção de intrusões, relatórios de alerta e manutenção de uma boa segurança para ajudar a impedir que os eventos aconteçam e limitar a danos se ocorrerem.
A área responsável deve fornecer detalhes sobre como a instituição está lidando com a prevenção e resposta a incidentes. Isso deve ser feito através do registro e controle dos efeitos dos incidentes relevantes. Estes registros, em conjunto com outras informações, irão compor o relatório que será enviado ao BACEN anualmente.
As instituições de pagamento possuem até 29 de novembro de 2019 para apresentar ao Banco Central do Brasil o cronograma de adequação. O prazo previsto no cronograma da Circular nº 3.909 para adequação não pode ultrapassar 31 de dezembro de 2021.
Gostou deste post sobre a Circular nº 3909? Normas de segurança fazem parte do dia a dia de toda empresa. Para receber outros conteúdos como esse, assine nossa newsletter e fique por dentro das novidades!
This post was last modified on julho 30, 2019 16:44
A adequação à LGPD é uma preocupação de várias empresas. Afinal de contas, não se…
A tecnologia tem passado por mudanças contínuas. Nesse contexto, modelos de gestão e governança estão…
Conhecer um pouco mais sobre serviços gerenciados de TI (Tecnologia da Informação) e outsourcing de…
TIC e segurança de dados são conceitos que nasceram "entrelaçados". Enquanto o primeiro representa a…
Como melhorar a experiência do cliente? Essa é uma pergunta recorrente entre os gestores de…
A gestão de incidentes em TI nada mais é que um conjunto de boas práticas…