Blog

Blog

A Resolução CMN nº 4.557/17 e o impacto para o Setor de TI.

Cortez, Rizzi & Miranda - 15 nov / 2017 A partir de 24 de fevereiro de 2018 passarão a valer novas regras do Banco Central do Brasil (“BACEN”) relativas à risco operacional decorrente de contratação de prestadores de serviços de Tecnologia da Informação por instituições financeiras enquadradas nos Segmentos 2 a 5 do BACEN (https://www.bcb.gov.br/nor/basileia/enquadramento.asp). Essas novas regras estão definidas na Resolução CMN nº 4.557, de 23 de fevereiro de 2017, e vêm detalhar, dentre outras, as medidas prudenciais de prevenção de risco operacional, conforme já regulado na Resolução n° 3.380, de 29 de junho de 2006, com o objetivo de mitigar a exposição aos riscos de fraudes, segurança de informação de clientes, produtos e serviços, risco de interrupção das atividades da instituição financeira, e falhas em sistemas de tecnologia da informação em geral.
 
Em antecipação à essas novas determinações, as instituições financeiras que operam no Brasil já estão adaptando seus instrumentos contratuais para cumprir com essa nova norma.
 
As instituições financeiras enquadradas no Segmento 1 (S1), composto pelos bancos múltiplos, bancos comerciais, bancos de investimento, bancos de câmbio e caixas econômicas que (i) tenham porte igual ou superior a 10% (dez por cento) do Produto Interno Bruto (PIB), ou (ii) exerçam atividade internacional relevante, independentemente do porte da instituição, já estão abarcadas pelas novas regras desde 28 de agosto de 2017.
 
Dentre as principais mudanças advindas com a Resolução CMN nº 4.557/2017, destaca-se a obrigatoriedade de as instituições financeiras operando em território nacional, fazerem constar de seus contratos com “prestadores de serviços terceirizados de TI” a permissão de acesso do BACEN a: (i) termos firmados; (ii) documentação e informações referentes aos serviços prestados; e (iii) dependências do contratado.
 
A norma não estabelece uma definição para prestador de serviço terceirizado de TI e, na ausência de previsão regulamentar, as instituições financeiras vêm adotando uma interpretação mais conservadora, aplicando as novas regras a qualquer prestador de serviço de tecnologia da informação, independente da modalidade e escopo do serviço. Nesse sentido, fornecedores de soluções em nuvem tais como provedores SaaS, PaaS, IaaS, além dos tradicionais players de outsourcing de TI estão sendo chamados pelas instituições financeiras para negociação ou revisão dos respectivos contratos.
 
A possibilidade de acesso pelo BACEN dos termos contratados, bem como a exigência de permissão de acesso às dependências do prestador de serviço tem sido alvo de grande preocupação das empresas do setor, em especial daquelas que oferecem serviços fora do Brasil, como é o caso dos prestadores de serviço em nuvem, que oferecem como parte do seu plano operacional, a possibilidade de execução dos serviços em localidades muitas vezes desconhecidas pelo próprio tomador do serviço em razão das regras e boas práticas de segurança da informação.
 
Por se tratar de uma determinação mandatória para o setor, é fundamental que as empresas de TI adequem seus portfólios de produtos e serviços, respectivos contratos e políticas de segurança de dados e  informação, nos termos da regulamentação, sob pena de verem suas receitas afetadas em razão de não atendimento de requisito normativo daquele que é um dos segmentos que mais investe em tecnologia.

Finalmente, a computação em nuvem tem sido um tópico importante também para a maioria dos reguladores, agências governamentais e autoridades (em especial autoridades fiscais), e o Banco Central do Brasil não está alheio a essas discussões. Uma chamada para a Consulta Pública n. 57/2017 tratando do tema já foi disponibilizada pelo BACEN e qualquer um pode apresentar suas sugestões ou comentários até o dia 21 de novembro de 2017. Mas vamos tratar desse assunto em outro post.

Por Cris Cortez e Felipe Sentelhas