As instituições de pagamento devem estar preparadas para atender as exigências do BACEN 3.909, circular elaborada pela Banco Central do Brasil que dispõe sobre a política de segurança digital e os requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

E o prazo final para isso é 29 de novembro de 2019!

De acordo com as diretrizes da BACEN 3.909, as instituições de pagamento deverão criar uma Política de Segurança Digital que contemple, ainda, um plano de ação e soluções para eventuais incidentes cibernéticos – vale lembrar que medida semelhante já havia se tornado obrigatória para as demais instituições financeiras, através da Resolução 4.658, do Conselho Monetário Nacional (CMN).

​Neste artigo vamos ver mais detalhes da Circular 3.909 e de que modo ela impacta a segurança digital.

A expansão dos meios digitais desafiando a segurança digital

A expansão dos meios digitais e a progressiva descoberta de inovações no campo da tecnologia têm modificado a forma com que nos relacionamos, consumimos e realizamos a maior parte das tarefas do dia a dia.

Dos aplicativos de entrega às aplicações financeiras, várias ações podem ser resolvidas com poucos toques a partir do uso dos smartphones – pesquisas recentes, inclusive, indicam que no Brasil a conta já é de mais de um aparelho  ativo por habitante.

O consumo em massa de smartphones modificou, sobretudo, o ambiente dos negócios. Novas necessidades surgiram e, com base nisso, uma onda empreendedora apostou nos aplicativos.

Logo esse novo modelo de negócio invadiu as instituições financeiras e as empresas responsáveis por pagamento. Leitura de QR Codes, reconhecimento facial e reconhecimento das digitais são apenas alguns exemplos que facilitaram o consumo e o pagamento, exigindo cuidados ainda maiores com a segurança digital.

Como resultado dessas ferramentas, o consumidor encontra mais praticidade para realizar as ações, de operações bancárias como pagamentos a aplicações e transferências, podendo realizá-las de qualquer lugar, evitando filas e deslocamentos, o que facilita toda a operação no dia a dia.

Diante desse cenário, a segurança digital passou a ser um desafio ainda mais complexo, exigindo soluções de proteção que façam frente às ameaças em constante desenvolvimento. Também levantou intensas discussões sobre a responsabilidade das organizações em relação à proteção de dados e essas reflexões culminaram em leis sobre o assunto, entre elas a Lei Geral de Proteção de Dados – confira nosso ebook sobre LGPD.

Na continuidade deste texto, falaremos um pouco mais sobre aplicativos vinculados às instituições de pagamento, as novas obrigatoriedades a respeito do processamento e governança dos dados pessoais e o cuidado com a privacidade. Acompanhe a seguir.

Saiba mais sobre a Circular BACEN 3.909

Como dissemos anteriormente, diante do grande fluxo de transações e informações que circulam no banco de dados dos aplicativos, eis que surge a necessidade de regulamentar todos esses processos.

Trata-se de um movimento global em prol da privacidade dos dados. Na esteira da Lei Geral de Proteção de Dados (LGPD) e da resolução 4.658 do BACEN, a circular 3.909 se refere às instituições de pagamento.

Promulgada em agosto de 2018, a resolução 3.909 estabelece que instituições de pagamento vinculadas ao Banco Central implementem normas para assegurar a segurança e o controle dos dados pessoais dos clientes cadastrados.

O prazo final para adequação das instituições de pagamento às novas normas é 29 de novembro de 2019. A partir de 1º de dezembro, as empresas que não conseguirem se atualizar e se dedicar à essa questão ficam sujeitas a sanções legais e financeiras.

Confira os pontos principais da circular.

1. Objetivo da circular BACEN 3.909

A exemplo da resolução 4.658 do BACEN, a circular  3.909 também estabelece normas referentes à manutenção de uma política de segurança cibernética e à contratação de serviços de processamento e armazenamento de dados em nuvem – mas agora aplicadas às instituições de pagamento.

Assim como na normativa que trata das instituições financeiras, caberá única e exclusivamente às instituições de pagamento zelar pela integridade, disponibilidade e confiabilidade da política de segurança cibernética adotada.

De acordo com o Banco Central, as instituições de pagamento deverão, além da política de segurança cibernética, estabelecer um plano de ação e resposta a incidentes.

No entanto, esse planejamento precisa ser pautado em diretrizes específicas que permitirão à empresa atender todos os requisitos de conformidade.

Detecção, classificação e solução. Lidar com vulnerabilidades e ameaças em sistemas de informação funciona sob esse tripé de ações.

A gestão das vulnerabilidades deve ser acompanhada também pela formação de alguns cenários para treinar respostas pré-definidas. Dessa forma, a tarefa de atuar contra as ameaças poderá ser realizada em menor tempo e com maior eficácia.

Os testes de invasão, ou pentests, podem ser uma boa ferramenta na hora de forjar cenários. Dessa forma, é possível avaliar e programar a resposta do sistema frente a determinadas ameaças.

Com esse método, a empresa consegue avaliar com exatidão como estão seus sistemas de informação com relação à segurança, tendo a chance de fazer adaptações no percurso dos testes  – saiba mais consultando o nosso guia sobre testes de invasão!

2. Informando incidentes digitais

A circular divulgada pelo BACEN ainda prevê o compartilhamento de informações sobre incidentes relevantes entre as instituições de pagamento, que deverão elaborar um relatório anual que retrate as ações da política de segurança digital e do plano de resposta a incidentes.

A execução do relatório deverá ficar a cargo da área responsável pela proteção e governança dos dados, que também é uma novidade contida na proposta. As análises, assim que finalizadas, devem ser encaminhadas ao gestor responsável ou ao diretor da instituição.

O gestor de segurança, novo cargo que passa a fazer parte do setor de TI, é o profissional que deve planejar toda a estrutura voltada à segurança digital dentro da instituição. Portanto, um dos primeiros passos para cumprir os requisitos da resolução é nomear esse profissional.

Formalizar um processo de trabalho relativo à segurança da informação, inclusive, é uma das principais prerrogativas da circular 3.909 do BACEN.

Ao citar a implementação de uma política de segurança digital, o documento atenta para que a política reflita o porte, o perfil de risco e o modelo de negócio da instituição.

A complexidade dos produtos e serviços oferecidos e a sensibilidade dos dados e informações controladas também são fatores que precisam ser levados em conta. Quando da divulgação, deve ser feita de forma clara a todos os colaboradores e prestadores de serviço terceirizado da empresa.

3. Cuidados com prestadores de serviço

Entre outros itens, há uma clara preocupação com a terceirização de serviços, uma vez que um eventual incidente pode expor dados pessoais e informações sensíveis de milhares (ou milhões) de consumidores.

Por isso, as instituições de pagamento devem estar atentas à capacidade do fornecedor em cumprir todas as exigências da 3.909 sobre proteção dos dados armazenados e, ainda, ter controles para identificar e minimizar efeitos de um possível ataque cibernético.

E, obviamente, quanto maior o risco e a complexidade dos produtos e serviços, maior deverá ser o nível de exigência com esses prestadores.

A respeito da contratação de uma instituição responsável pelo processamento e armazenamento em nuvem, o documento do BACEN destaca alguns pontos importantes. Antes de qualquer acordo, é preciso levar em conta:

• a adoção de práticas de governança corporativa do serviço a ser contratado;
• o cumprimento das legislações e regulamentações em vigor pela instituição cotizada;
• o acesso da instituição aos dados e informações a serem processadas pelo prestador de serviço;
• a confidencialidade e integridade das informações processadas e armazenadas pelo prestador de serviço.

Nas disposições finais do documento, ainda fica clara a necessidade de acompanhamento pelo Banco Central.

Documentos relativos à política de segurança cibernética, os relatórios anuais de resposta a incidentes, os planos de ação e contingenciamento de vulnerabilidades… Tudo deve ficar à disposição do Banco Central por um prazo de cinco anos a partir da data de publicação.

4. Criando uma cultura de segurança digital

Faz parte das providências voltadas a atender a circular 3.909, a capacidade de estabelecer uma cultura de segurança digital que envolva toda empresa – colaboradores, prestadores de serviços, fornecedores, todos que utilizem o ambiente.

Esse é outro grande desafio, uma vez que nem todos os colaboradores conhecem a política de segurança digital da empresa em que trabalha. E, pior, além de não conhecer as normas de prevenção, a maioria não sabe como deve agir em caso de um ataque.

Na verdade, especialistas do setor apontam que existe uma tendência em esconder o ataque, quando o correto seria reportar às pessoas competentes a ocorrência, agilizando a busca por solução – ao esconder a falha, o colaborador expõe a empresa a danos muito maiores.

BACEN 3.909 X BACEN 4.658

As regras contidas na Resolução BACEN 3.909 (publicada em 16/08/2018) são praticamente idênticas às que são determinadas na Resolução 4.658 (data de publicação: 26/04/2018) – a principal diferença está nos prazos para adequação.

As duas normas definem parâmetros a serem observados pelas instituições no momento de definir e implantar políticas de segurança digital, bem como para contratar serviços de armazenamento e processamento de dados e em computação em nuvem. Ambas, também, determinam regras relacionadas à elaboração e prática de plano de ação voltado a oferecer respostas diante de um incidente cibernético.

O objetivo da circular BACEN 3.909, assim como da 4.658, é aumentar o nível de segurança digital, garantindo maior proteção aos dados relacionados às transações financeiras sujeitos às regulamentações do Banco Central brasileiro – dados pessoais de clientes ou colaboradores.

Outro ponto em comum é que ambas possuem um prazo final para serem praticadas, sendo essencial que as instituições fiquem atentas para evitar penalizações.

Veja a seguir um resumo das providências mais importantes a serem tomadas e o prazo limite em cada uma das Resoluções do BACEN.

Instituições Financeiras – BACEN 4.658

• Cronograma de ajustes de contrato: 23 de outubro de 2018
• Definição e implementação de Política de Segurança Digital, Plano de Ação e de Resposta a Incidentes Cibernéticos: 6 de maio de 2019
• Ajustes de Contratos: 31 de dezembro de 2021

Instituições de Pagamento – BACEN 3.909

• Cronograma de ajustes de contrato: 29 de novembro de 2019
• Definição e implementação de Política de Segurança Digital, Plano de Ação e de Resposta a Incidentes Cibernéticos: 29 de novembro de 2019
• Ajustes de Contratos: 31 de dezembro de 2021

Leis, como a BACEN 3909, aprimoram a Segurança Digital 

O comportamento de compra do consumidor mudou. O comércio digital passou a ser opção em função da praticidade, facilidade, conveniência e conforto.

O Brasil é um dos líderes no consumo de smartphone, também está no ranking de países que sofrem mais com ameaças de ciberataques – junto com Estados Unidos e China, o Brasil é um dos países que mais registra ameaças virtuais.

O crescimento do acesso aos dispositivos móveis, de acordo com os especialistas, é o principal fator que motiva o aumento das ameaças – que crescem na mesma velocidade das inovações e descobertas: quanto mais inovadoras as soluções, mais complexos se tornam os ataques.

Nesse cenário, a evolução da legislação – através da criação de regulamentações voltadas à proteção de dados – é algo natural e bem-vindo.

Ao exigir que todos os tipos de organização tenha  políticas de segurança digital efetivas, acaba por gerar benefícios como maior segurança digital e transparência na forma de lidar com os dados de seus consumidores e uma postura proativa em relação aos cuidados com as vulnerabilidades de seu ambiente.

A Lei Geral de Proteção de Dados (LGPD), por exemplo, chegou em um momento decisivo no que diz respeito ao tratamento de informações e dados sensíveis na rede. E os fatos ocorrem a nível global: gigantes de tecnologia, como o Google, já receberam vetos e multas, demonstrando que nenhuma organização passará impune!

Ao estabelecer regras para o tratamento e compartilhamento de dados e informações pessoais na rede, o país passa a obrigar qualquer empresa, nacional ou multinacional, que opere em território brasileiro a cumprir as normas de controle de privacidade em prol da segurança digital.

Da mesma forma, outras normativas se juntaram à LGPD – a BACEN 3.909 é uma delas -, sempre com o propósito de aumentar o nível de segurança digital nas organizações de todos os portes e segmentos.

BACEN 3909 e a segurança digital em instituições financeiras

As instituições financeiras brasileiras contam tecnologias avançadas para a proteção cibernética, contudo, era necessário definir requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem e criar normativos para a política de segurança digital para o setor.

A chegada da resolução BACEN 3.909, portanto, deve ser encarada como um avanço na segurança digital desse segmento que, como todos os demais, lidam com o desafio de equilibrar custos cada vez mais reduzidos com a máxima proteção cibernética – essencial para fazer frente às ameaças em constante evolução.

Como outras normas e regulamentos, a 3.909 vai oferecer referências de boas práticas de mercado, gerando benefícios às instituições. Isso porque a proteção efetiva de dados e informação passa a ser um grande diferencial competitivo aos negócios que estão, cada vez mais, digitais.

Suporte especializado e segurança digital

Existem algumas formas de manter intacta a estrutura voltada à segurança digital da sua empresa. Essa gestão envolve o monitoramento e a avaliação regulares de indicativos que se referem a ameaças ou alterações no sistema.

Seja para conhecer a fundo a estrutura organizacional dos dados da empresa, armar um esquema de monitoramento eficaz ou garantir a conformidade da empresa frente a eventuais auditorias, contar com suporte especializado é sempre um grande diferencial.

Sabe-se que para construir uma gestão da segurança da informação abrangente é preciso incluir atividades de governança e gerenciamento que utilizam pessoas, processos e tecnologias para prevenir, detectar, responder e recuperar incidentes.

A IBLISS aposta em estabelecer a maturidade digital das empresas parceiras a partir de um ciclo de melhorias e otimização contínua. Acreditamos que uma estratégia de segurança eficiente tem base em processos pré-definidos e uma sequência lógica de ações.

Esse ciclo envolve identificar eventuais problemas, definir a melhor estratégia para combatê-los, aplicar a melhor solução para proteção, atuar na resposta a esses incidentes e, com base na avaliação de todo processo, extrair análises que possibilitem melhorar e otimizar o cenário.

Ao adotar programas de segurança digital, você opta pela construção de uma estratégia de segurança personalizada, que oferece a visualização e o controle de todos os riscos, bem como a gestão facilitada de todo panorama voltado à segurança da informação.

A IBLISS oferece programas de segurança da informação personalizados e voltados à realidade e à necessidade de cada empresa.

Da aplicação de procedimentos normativos, à execução de testes e programas de gestão de vulnerabilidade, a IBLISS oferece serviços voltados à segurança digital de seus negócios.

Instituições de Pagamento X BACEN 3.909

Fica claro que, diante do maior volume de transações, o comércio digital se tornou um grande atrativo para a ação de hackers e cibercriminosos.

Além disso, a emancipação e autonomia do usuário cobra respostas mais transparente pela manipulação e uso dos dados pessoais na rede. E todo esse movimento em prol da privacidade, segurança e transparência na internet propicia a legitimação de resoluções como a BACEN 3.909.

Ao lidar com ativos importantes, como informações pessoais e registros bancários, as instituições de pagamento passam a ser extremamente visadas pelos cibercriminosos. A captura de informações, a criptografia de dados e outras artimanhas são usadas para exigir resgastes por vezes milionários.

Por isso a circular 3.909, assim como outras leis, são importantes para privilegiar a segurança dos dados e a privacidade dos usuários que utilizam de serviços online como os de compra e venda.

O prazo para implementar as normas relativas ao tratamento de dados de clientes cadastrados em instituições de pagamento é 29 de novembro de 2019. A partir de dezembro, as empresas que descumprirem as normas ficam arriscadas a sofrerem sanções.

E essas penalizações podem resultar não só em prejuízos financeiros, decorrentes de multas e outras penas, mas também afetar negativamente a reputação da empresa, que vê sua imagem manchada diante do envolvimento em um caso de desrespeito às legislações vigentes.

Se sua instituição de pagamento ainda precisa se adequar à norma do BACEN 3.909, fale com os especialistas da IBLISS. Eles vão facilitar esse processo!