148
149
As instituições que decidirem por não constituir Política de Segurança própria devem
formalizar essa decisão em reunião do conselho de administração ou da diretoria da
instituição.
Além da Política de Segurança, as instituições referidas no art. 1º da Resolução devem
estabelecer plano de ação e de resposta a incidentes visando à implementação da refe-
rida política. O referido plano deverá identificar as ações, as rotinas e os procedimentos
a serem adotados para atendimentos da Política de Segurança e a área responsável pelo
controle dos referidos procedimentos e incidentes.
De acordo com a Resolução, a aprovação da Política de Segurança cibernética, e do plano
de ação e de resposta a incidentes, deve ser realizada até 6 de maio de 2019.
Atendendo a pedidos do mercado, diferentemente da minuta disponível na consulta pú-
blica, o texto final da resolução permite que instituições financeiras contratem os referi-
dos serviços de provedores estrangeiros, desde que cumpridos determinados requisitos,
como por exemplo, a existência de convênio entre o BACEN e as autoridades superviso-
ras do país em questão.
As instituições que já contratam hoje serviços de processamento ou armazenamento de
dados e de computação em nuvem devem, nos próximos 180 dias, apresentar ao BACEN
um cronograma de adequação dos seus serviços.
Por Rachel de Oliveira Sampaio,
advogada especializada em mercado
de capitais, mentora do Projeto Libria
– Aceleradora de Impacto e do Instituto
Legado
Assim como a SCD, a SEP também está autorizada a prestar serviços relacionados à
análise e cobrança de crédito para clientes e terceiros, cobrança de crédito de clien-
tes e terceiros; atuação como representante de seguros na distribuição de seguro
relacionado com as operações de empréstimo, nos termos da regulamentação do
CNSP. Além dessas atividades a SEP está autorizada ainda a emitir moeda eletrônica.
A Resolução determina que para constituição de uma SCD ou de uma SEP deverão
ser observados os seguintes requisitos mínimos:
a. Tipo Societário. Sociedade anônima, podendo ter o seu capital aberto ou fe-
chado;
b.Capital Social. Mínimo de capital social integralizado e patrimônio líquido de
R$ 1 milhão. No entanto, caso haja participação de fundos de investimento no
grupo de controle da SCD e da SEP, o Banco Central poderá exigir adicional de
capital social integralizado e patrimônio líquido;
c. Autorização para Funcionamento e Fiscalização pelo BACEN. O seu funciona-
mento depende de autorização prévia do BACEN, que analisará, entre outras
informações: o grupo de controle, a documentação societária e contábil da
sociedade. Após a sua constituição, qualquer mudança no quadro de sócios
deverá ser informada ao BACEN.
Segurança Cibernética e Armazenamento de Dados
Foi aprovada também a Resolução CMN nº 4.658, que dispõe sobre a política de
segurança cibernética, assim como os requisitos para a contratação de serviços de
processamento e armazenamento de dados e de computação em nuvem a serem ob-
servados pelas instituições financeiras e demais instituições autorizadas a funcionar
pelo BACEN.
Nos termos da Resolução, as instituições financeiras e demais instituições autori-
zadas a funcionar pelo BACEN devem implementar e manter política de segurança
cibernética formulada com base em princípios e diretrizes que busquem assegurar
a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de
informação utilizados (“Política de Segurança”).
A Resolução estabelece os requisitos mínimos que devem ser atendidos pela referi-
da Política de Segurança e determina que ela seja compatível com (i) o porte, o perfil
de risco e o modelo de negócio da instituição (ii) a natureza das operações e a com-
plexidade dos produtos, os serviços, atividades e os processos da instituição e (iii) a
sensibilidade dos dados e das informações sob responsabilidade da instituição.
ARTIGO
