Blog

Blog

Provedores de Soluções em Nuvem e a Nova Resolução CMN nº 4.658/18

Cortez, Rizzi & Miranda - 07 mai / 2018 Em 26 de abril de 2018 o Banco Central do Brasil (“BACEN”) publicou a Resolução CMN nº 4.658, que estabelece regras para  políticas de cibersegurança e para a contratação de serviços de computação em nuvem pelas instituições financeiras. Essa norma foi criada com o propósito de estabelecer regras claras sobre a manutenção da integridade, disponibilidade e confidencialidade das informações mantidas pelas instituições, e atualizar as obrigações regulatórias do setor para esse momento de transformação digital da sociedade.

Essa nova Resolução estabelece obrigação sobre como as instituições financeiras devem contratar os serviços de computação em nuvem, de forma a atender certas as peculiaridades sobre acesso da informação pelo regulador. Assim, essa regulamentação também tem impactos sobre como os fornecedores de Tecnologia da Informação deverão ajustar suas soluções de computação em nuvem para atender o setor financeiro.

Além disso, instituições financeiras que já tenham contratado com provedores de serviços de computação em nuvem deverão rever seus contratos para que fiquem em conformidade com a nova Resolução. Essas adequações devem acontecer até 31 de dezembro de 2021.
 
A norma é clara em definir o que deve ser considerado como serviços de computação em nuvem em seu Artigo 13, que abrange desde os serviços de fornecimento de infraestrutura como serviço (IaaS), a disponibilização de plataformas para desenvolvimento e execução de softwares (PaaS) e o fornecimento de software como serviço pelo próprio prestador (SaaS).

Dentre os aspectos mais importantes da nova norma estão: (i) a validação de conformidade dos fornecedores com legislação vigente, práticas de segurança da informação, certificações, monitoramento dos serviços e outros quesitos técnicos pela instituição contratante (Artigo 12); (ii) a notificação obrigatória ao BACEN sobre a contratação, com a indicação dos países onde os dados serão armazenados (Artigo 15); (iii) requisitos específicos para o armazenamento de dados bancários no exterior; e (iv) cláusulas obrigatórias para os contratos de prestação de serviços de computação em nuvem, incluindo eventual acesso aos dados armazenados pelo BACEN em caso de eventual resolução da instituição contratante (Artigo 17).

Talvez o aspecto mais revelante da nova regulamentação está na necessidade de autorização da contratação pelo BACEN, caso não se cumpram certos requisitos sobre o armazenamento de dados no exterior. Outro ponto importante é que ficou de fora o acesso pelo BACEN às dependências dos prestadores, ponto que havia gerado controvérsia na Resolução 4.557, que já comentamos em nosso blog.

Nesse sentido, fornecedores de soluções em nuvem tais como provedores SaaS, PaaS, IaaS, devem esperar em curto e médio prazo uma nova demanda de instituições financeiras para negociação ou revisão dos respectivos contratos.
 
Por se tratar de uma determinação mandatória para o setor, é fundamental que as empresas de TI adequem seus portfólios de produtos e serviços, respectivos contratos e políticas de segurança de dados e  informação, nos termos da regulamentação, sob pena de verem suas receitas afetadas em razão de não atendimento de requisito normativo daquele que é um dos segmentos que mais investe em tecnologia.

Por Cris Cortez e Felipe Sentelhas