Blog/Post

Banco Central propõe regras mais rígidas para uso de nuvem, TI e segurança cibernética no sistema financeiro

O Banco Central do Brasil abriu consulta pública para atualizar as normas que regulam a infraestrutura tecnológica do sistema financeiro nacional. A proposta prevê regras mais rigorosas para tecnologia da informação, computação em nuvem e segurança cibernética das Instituições Operadoras de Sistemas do Mercado Financeiro, com novas exigências de planejamento, auditoria e controle.

Plano obrigatório de Tecnologia da Informação

Entre as principais mudanças está a exigência de que cada instituição elabore e mantenha um Plano Diretor de Tecnologia da Informação (PDTI). O documento deverá orientar as estratégias e objetivos da área de TI, além de ser revisado anualmente.

As instituições também terão que monitorar formalmente a execução do plano e produzir relatórios anuais, que deverão permanecer disponíveis para o Banco Central por pelo menos cinco anos.

Segundo o regulador, a medida se justifica pela rápida evolução da tecnologia no sistema financeiro, tornando necessário um planejamento contínuo para garantir segurança e eficiência. O PDTI passará a ter o mesmo nível de importância do Plano Diretor de Segurança da Informação, já exigido atualmente.

Regras mais duras para serviços em nuvem no exterior

A proposta também endurece as regras para contratação de serviços de computação em nuvem prestados por empresas estrangeiras. As instituições terão que comprovar que possuem mecanismos eficazes de continuidade de negócios, incluindo testes periódicos para garantir o funcionamento das operações mesmo em caso de interrupção do serviço fora do país.

Além disso, o Banco Central poderá exigir que os prestadores de serviço forneçam informações diretamente ao regulador, inclusive em português, sempre que solicitado.

Avaliação obrigatória de cibersegurança a cada dois anos

Outro ponto importante da proposta é a definição de uma periodicidade mínima para a avaliação das estruturas de segurança da informação e segurança cibernética, que deverá ocorrer pelo menos a cada dois anos.

A análise terá duas etapas obrigatórias:

  • auditoria interna da própria instituição;
  • verificação por auditores independentes externos.

O mesmo modelo também será aplicado à gestão de continuidade de negócios. De acordo com o Banco Central, a norma atual não detalhava o tipo de auditoria necessário, o que permitia contratações com qualidade abaixo do esperado.

Consulta pública aberta por 90 dias

As mudanças fazem parte de ajustes na Resolução BCB nº 304, de 2023, que regula o funcionamento dos sistemas de liquidação e registro de ativos financeiros no Sistema de Pagamentos Brasileiro.

A proposta completa está disponível no portal Participa + Brasil e no site do Banco Central. O prazo para envio de contribuições é de 90 dias, e as manifestações só serão aceitas por meio do formulário oficial disponibilizado pelo órgão.

Fonte: https://convergenciadigital.com.br/governo/banco-central-vai-apertar-regras-de-uso-de-nuvem-ti-e-seguranca-cibernetica-do-sistema-financeiro/ acesso em 16/03/2025 às 17:58

Tags