O mercado financeiro precisa estar em conformidade com os Atos Normativos vigentes e as empresas desse segmento, que são altamente dependentes de tecnologia também, por meio dos controles da Política de Segurança Cibernética.
As Fintechs que contam com as facilidades tecnológicas para agilizar os processos do mercado financeiro, também estão suscetíveis às ameaças de cibersegurança e novos casos de vazamento de dados, e pensando na Segurança da Informação, proteção de dados e na continuidade dos negócios, foram editados alguns Atos Normativos para as Instituições Financeiras, Instituições de Pagamento e Fintechs.
A Resolução CMN n° 4.893 de 26/2/2021 e a Resolução BCB n° 85, 8/4/2021, definem como a Política de Segurança Cibernética deve ser estruturada, bem como sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas Instituições.
É importante salientar que além da Política de Segurança Cibernética, as Instituições devem estabelecer um Plano de Ação e de Resposta a Incidentes visando a implementação da Política de Segurança Cibernética.
Além disso, é necessário elaborar um relatório anual com informações relacionadas à Política de Segurança Cibernética e resumo do resultado das ações realizadas na Instituição.
Portanto, para estabelecer uma Política de Segurança Cibernética e estar em conformidade com a Resolução CMN n° 4.893 de 26/2/2021 e a Resolução BCB n° 85, 8/4/2021, as Instituições devem seguir, no mínimo, alguns passos que traremos a seguir.
1) Quais os objetivos da Política de Segurança?
Antes de adentrarmos de fato na estrutura, devemos entender quais os objetivos dessa Política.
A Política de Segurança Cibernética visa prover a metodologia necessária para instituir processos e controles para prevenir e reduzir as vulnerabilidades e atender aos demais objetivos relacionados à Segurança Cibernética das instituições.
Além disso, a Política de Segurança Cibernética assegura a proteção dos ativos associados aos negócios críticos, definindo processos para o tratamento de incidentes Cibernéticos e para avaliação de contratação de serviços de processamento e armazenamento de dados e de computação em nuvem para garantir a segurança das operações.
2) Como a Política de Segurança Cibernética deve ser estruturada?
Para que sua Fintech tenha uma Política bem estruturada ela deverá:
- Estar em conformidade com a Resolução CMN n° 4.893 de 26/2/2021 e a Resolução BCB n° 85, 8/4/2021 que dispõe sobre a Política de Segurança Cibernética;
- Ser compatível com o porte da empresa, perfil de risco e modelo de negócio da Instituição;
- Considerar a natureza das operações, complexidade dos produtos e/ou serviços, atividades e processos da organização;
- Reconhecer a sensibilidade dos dados e das informações sob responsabilidade da instituição.
3) O que deve ter em uma Política de Segurança Cibernética?
A política de segurança cibernética deve especificar, no mínimo:
I - os objetivos de segurança cibernética da instituição;
II - os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;
III - os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;
IV - o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;
V - as diretrizes para:
a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios;
b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;
c) a classificação dos dados e das informações quanto à relevância; e
d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;
VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo:
a) a implementação de programas de capacitação e de avaliação periódica de pessoal;
b) a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; e
c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética; e
VII - as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com as demais instituições.
4) Conclusão
Diante do exposto, faz-se necessário, para conseguir estruturar a Política de Segurança Cibernética adequada para a sua Fintech, além de seguir as orientações básicas que trouxemos, realizar a contratação de especialistas, por meio de uma assessoria jurídica completa, que irá te oferecer toda a estrutura e suporte necessários para alavancar o seu negócio.
Por Diessika Alves