Segurança da Informação no Mercado Financeiro: novas oportunidades no Brasil

Diversos 24 Dez 2018
Segurança da Informação no Mercado Financeiro: novas oportunidades no Brasil

por: Dennys Eduardo Gonsales Camara

A aprovação da Lei Geral de Proteção de Dados (“LGPD”), em agosto de 2018, foi um importante passo para o Brasil atualizar sua legislação diante de questões envolvendo privacidade e tecnologia.

Uma série de mudanças são necessárias após a aprovação de uma lei que se aplique a todos os setores que realizem tratamento de dados. No Brasil, as normas de proteção de dados eram fragmentadas e setoriais. Assim, essas normas deverão ser atualizadas ou receber novas interpretações segundo os ditames da LGPD.

Um dos setores que já vem se atualizando é o mercado financeiro. Por meio de audiências públicas, o setor tem aprovado regulamentações sobre o tema. Isso cria demanda por empresas de segurança da informação e proteção de dados. No presente artigo trataremos de uma audiência e uma resolução já aprovada que sinalizam essa abertura de novas oportunidades de atuação no Brasil.

 

Resolução nº 4.658, de 26/4/2018 do Banco Central do Brasil sobre segurança da informação

Em setembro de 2017, o Banco Central (“BACEN”) anunciou o edital de Consulta Pública 57/2017 sobre “a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento, armazenamento de dados e de computação em nuvem, a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil”.

Em abril de 2018, o BACEN publicou a Resolução nº 4.658/2018, resultado da Consulta Pública citada. Estabeleceu-se, assim, que instituições financeiras e outros órgãos autorizados a funcionar pelo BACEN precisam conter uma política de proteção de dados.

O artigo 3º da Resolução apresenta os requisitos mínimos que devem ser contemplados por essas políticas, como os procedimentos e controles utilizados para reduzir a vulnerabilidade à incidentes e os controles específicos para rastreabilidade das informações. Ou seja, a norma cria demanda para de empresas de segurança da informação.

O artigo 13 da Resolução utiliza o termo “serviços de computação em nuvem” de maneira bastante abrangente. Caso uma empresa realize um dos serviços abaixo, ela será enquadrada nessa categoria:

 

“I – processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;

 II – implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou

 III – execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.”

 

As instituições financeiras devem prestar ao BACEN[1]informações sobre as empresas contratadas: a denominação, os serviços contratados e indicação dos países e das regiões de cada país onde os dados em questão serão tratados[2]. O artigo 17 da Resolução vai além e estabelece as cláusulas mínimas que devem constar no contrato para este tipo de prestação de serviços.

Quando se trata de empresas estrangeiras prestando esses serviços, no entanto, informações adicionais devem ser apresentadas[3] tais como (a) a existência de convênio de troca de informações entre o BACEN e as autoridades responsáveis dos países onde os serviços poderão ser prestados, (b) a instituição contratante deve assegurar que os serviços não causem prejuízo à atuação do BACEN, (c) a instituição contratante deve definir em quais países e regiões os serviços serão prestados e, por fim, (d) a instituição contratante também deve prever alternativas para continuidade das atividades caso haja impossibilidade de manutenção ou se o contrato for extinto.

 

Audiência Pública SMD 05/2018 da Comissão de Valores Mobiliários

A Comissão de Valores Mobiliários (“CVM”) lançou Audiência Pública para alterar sua Instrução CVM nº 505, de 27 de setembro de 2011, que trata de normas e procedimentos que devem ser observados nas operações realizadas com valores mobiliários no mercado regulamentado.

A alteração busca dirimir dois riscos: o de eventos que possam paralisar a execução das atividades e o risco de falhas relacionadas à segurança da informação envolvendo as negociações em bolsa.

Entre as preocupações da minuta de Audiência Pública que podem ser vistas como abertura de oportunidades para empresas de segurança da informação, podemos citar alguns exemplos:

  • a necessidade de os intermediários do mercado desenvolverem procedimentos específicos para preservar o atendimento aos investidores e manter a continuidade das operações em momentos adversos;
  • o dever dos intermediários de desenvolver e implementar políticas e práticas que garantam confidencialidade, integridade e disponibilidade dos dados atrelados;
  • o dever dos intermediários de possuir estrutura tecnológica e política de segurança de informação para mitigação e controle de riscos;
  • o dever dos intermediários em empregar medidas visando proteger os dados e informações sensíveis, principalmente aquelas que possibilitem a identificação dos investidores.

 

As informações descritas acima são os principais elementos que serão introduzidos na regulação, estando a sua versão final ainda indefinida.

 

[1] BANCO CENTRAL DO BRASIL. Resolução nº 4.658, de 26 de abril de 2018. Artigo 15.
[2] O termo “tratamento de dados” é o mesmo utilizado no artigo 5º, X, da Lei nº 13.709, de 14 de agosto de 2018. “…tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;
[3] BANCO CENTRAL DO BRASIL. Resolução nº 4.658, de 26 de abril de 2018. Artigo 16.

Dennys Eduardo Gonsales Camara é pesquisadore no Baptista Luz Advogadosassociados da Câmara.

← Tragédia em Brumadinho Brasil estreita parcerias estratégicas com Israel em Saúde →

Leave A Reply

Comments are closed