O que é a conformidade com a resolução 4.893 do BACEN CMN?

Entenda a Resolução 4893 do BACEN: Normas de cibersegurança, requisitos de serviços em cloud e diretrizes de conformidade para instituições financeiras e provedores de pagamento brasileiros.

A Resolução CMN 4.893, emitida pelo Conselho Monetário Nacional (CMN) em 26 de fevereiro de 2021 e implementada em 1º de julho de 2021, representa um marco regulatório que transformou fundamentalmente a governança da cibersegurança para instituições financeiras que operam sob a supervisão do Banco Central do Brasil (BACEN).

Essa regulamentação abrangente estabelece políticas obrigatórias de cibersegurança e requisitos rigorosos para a contratação de serviços de processamento e armazenamento de dados, e computação em cloud por instituições financeiras e outras entidades licenciadas pelo BACEN.

A resolução surgiu em resposta ao cenário digital em rápida evolução dos serviços financeiros, onde a adoção da cloud, a transformação digital e as ciberameaças cada vez mais sofisticadas criaram a necessidade de uma estrutura regulatória robusta. A Resolução CMN 4.893 substituiu as regulamentações anteriores (Resoluções 4.658 de 2018 e 4.752 de 2019) para fornecer orientações mais abrangentes sobre governança de cibersegurança, gestão de incidentes e gestão de riscos de terceiros.

Notavelmente, ela se aplica a instituições financeiras, mas exclui instituições de pagamento, que são regidas separadamente pela Resolução BCB nº 85 de abril de 2021.

A resolução aborda áreas críticas, incluindo a implementação de políticas formais de cibersegurança, o estabelecimento de planos de resposta a incidentes, a nomeação de responsáveis pela cibersegurança, a obrigatoriedade de relatórios anuais e processos rigorosos para a contratação de provedores de serviços em cloud. Ao tornar essas medidas obrigatórias, o BACEN visa garantir a confidencialidade, a integridade e a disponibilidade dos dados e sistemas de informação, mantendo a estabilidade e a resiliência do sistema financeiro brasileiro.

Níveis e requisitos de conformidade

A Resolução CMN 4.893 está dividida em cinco capítulos, cada um abordando um componente-chave da estrutura de governança de cibersegurança exigida para instituições financeiras que operam no Brasil. Em conjunto, esses capítulos definem os mecanismos estratégicos, operacionais e de supervisão necessários para garantir a resiliência cibernética, proteger informações sensíveis e manter a integridade das operações financeiras.

Capítulo I: Objeto e âmbito de aplicação

Este primeiro capítulo define a finalidade, a aplicabilidade e os princípios gerais da resolução.

O texto estabelece que toda instituição financeira e demais entidades sob a supervisão do Banco Central devem:

• Estabelecer e manter uma política de cibersegurança abrangente, proporcional ao porte, perfil de risco, modelo de negócio e sensibilidade dos dados da empresa.
• Implementar normas e procedimentos para garantir a confidencialidade, integridade e disponibilidade dos dados e sistemas.
• Aplicar esses controles não apenas internamente, mas também em ambientes terceirizados, incluindo processamento de dados, armazenamento de dados e serviços de computação em cloud.

O capítulo também esclarece as exceções — notadamente, que as instituições de pagamento são regidas por seu próprio arcabouço regulatório e não por esta resolução. Além disso, introduz o princípio da proporcionalidade, enfatizando que as medidas de cibersegurança devem ser compatíveis com a escala e a complexidade operacional da instituição, em vez de serem uniformes para todas as entidades.

Capítulo II: Política de cibersegurança

O segundo capítulo constitui o núcleo do regulamento, estabelecendo como as instituições devem criar, divulgar e operacionalizar suas políticas de cibersegurança. Ele está subdividido em três seções principais.

Seção I: Implementação da política de cibersegurança

Esta seção define o conteúdo mínimo e os requisitos operacionais de uma política de cibersegurança. As instituições devem adotar um documento formal, aprovado pela alta administração ou pelo conselho, que detalhe explicitamente os objetivos, as responsabilidades e os controles.

Os principais componentes incluem:

• Objetivos de cibersegurança: Definir estratégias de prevenção, detecção e mitigação de vulnerabilidades, incidentes e intrusões.
• Controles abrangentes: Abrangem criptografia, autenticação, segmentação de rede, gerenciamento de acesso, prevenção e detecção de intrusões, defesa contra malware e prevenção de vazamento de informações.
• Rastreabilidade e responsabilização: Manter mecanismos para rastrear dados sensíveis e históricos de acesso para fins de auditoria.
• Gestão de incidentes: Garantir o monitoramento, a classificação e a análise contínuos de eventos, com identificação de causas e avaliação de impacto.
• Planejamento de continuidade de negócios: Integre cenários de segurança cibernética aos planos de continuidade e recuperação de desastres.
• Cultura de cibersegurança: Promover a conscientização entre funcionários, clientes e entidades terceirizadas por meio de treinamentos periódicos.
• Partilha de informações: Estabelecer canais de colaboração com outras instituições e com o Banco Central sobre ameaças e boas práticas.

O objetivo desta seção é garantir um ambiente onde a cibersegurança esteja integrada à gestão de riscos corporativos, em vez de ser tratada como uma função técnica isolada.

Seção II: Divulgação da política de cibersegurança

Esta seção exige que as instituições divulguem suas políticas de segurança cibernética interna e externamente, garantindo que todas as partes relevantes estejam informadas e alinhadas.

Obrigações essenciais estabelecidas:

• A política completa deve estar disponível para todos os funcionários, executivos e prestadores de serviços terceirizados.
• Deve ser publicado um resumo público, descrevendo os principais objetivos e princípios, sem divulgar informações sensíveis ou confidenciais.
• O conteúdo e o formato das divulgações devem ser claros, acessíveis e adequados ao nível de compreensão do público.

O objetivo é garantir a conscientização e promover a adoção uniforme de padrões de segurança em todo o ecossistema, incluindo fornecedores e clientes.

Seção III: Plano de ação e resposta a incidentes de segurança cibernética

Esta seção exige que as instituições criem um plano operacional que garanta resposta imediata e recuperação em caso de incidentes de segurança cibernética.

O plano deve:

• Definir estruturas organizacionais, responsabilidades e canais de escalonamento para prevenção, detecção e resolução de incidentes.
• Incluir procedimentos e tecnologias para registrar e analisar incidentes, avaliar impactos e implementar medidas corretivas.
• Designar um diretor específico que será o único responsável pela segurança cibernética, garantindo a prestação de contas direta à alta administração e aos órgãos reguladores.

• Providenciar relatórios anuais, detalhando:

  • Eficácia das políticas e dos mecanismos de controle.
  • Incidentes registrados e lições aprendidas.
  • Resultados dos testes de continuidade de negócios e recuperação de desastres.

O relatório anual de cibersegurança deve ser submetido ao conselho ou órgão equivalente até 31 de março do ano seguinte. Tanto a política quanto o plano de resposta devem ser revisados e reaprovados anualmente, garantindo a melhoria contínua e a adaptação às ameaças em constante evolução.

Capítulo III: Contratação de serviços de processamento de dados, armazenamento de dados e computação em cloud

Este capítulo aborda como as instituições terceirizam operações de tecnologia, tanto em âmbito nacional quanto internacional. Ele enfatiza que, embora os serviços possam ser terceirizados, a responsabilidade não pode.

Principais obrigações:

• Integração da gestão de riscos: Os serviços terceirizados devem ser incorporados às estruturas de gestão de riscos e de controle interno da instituição.
• Análise prévia à contratação: É necessário avaliar a capacidade técnica, jurídica e operacional do fornecedor para salvaguardar a confidencialidade, a integridade e a recuperação de dados.

• Avaliação da governança: Os prestadores de serviços devem ser avaliados quanto a:

  • Mecanismos de segurança e controle de acesso.
  • Segregação de dados entre clientes.
  • Certificações e transparência nas auditorias.
  • Disponibilidade de relatórios de auditoria independentes e declarações de conformidade.
• Requisitos contratuais: Os contratos devem especificar claramente as responsabilidades, incluindo acordos de nível de serviço (SLAs), termos de acesso a dados e obrigações de notificação de incidentes.

Para fornecedores estrangeiros, aplicam-se controles adicionais:

• Garantir a clareza da localização dos dados, assegurando que o Banco Central possa acessar as informações mesmo que os dados estejam armazenados no exterior.
• Confirme a existência de acordos de cooperação em matéria de supervisão entre o Banco Central e o regulador da jurisdição estrangeira.

• Exigir cláusulas contratuais explícitas para:

  • Confidencialidade e localização dos dados.
  • Procedimentos de rescisão e devolução de dados.
  • Direitos de auditoria e inspeção.
  • Conformidade com a legislação brasileira e acesso aos órgãos reguladores.

Este capítulo estabelece uma ponte legal e operacional entre a governança da cibersegurança e a gestão de riscos de terceiros, garantindo que a terceirização não enfraqueça a supervisão regulatória.

Capítulo IV: Disposições gerais

O quarto capítulo reforça a integração dos controles de cibersegurança e terceirização em estruturas mais amplas de continuidade de negócios e governança.

Requisitos principais:

• Desenvolver uma estrutura de gestão de crises com critérios que definam "situações de crise" relacionadas a incidentes cibernéticos ou interrupções de serviço.
• Implementar mecanismos de monitoramento contínuo, incluindo indicadores de desempenho, métricas de controle e auditorias internas periódicas.
• Garantir a continuidade das operações críticas durante e após incidentes de segurança.
• Exigir a comunicação de incidentes ao Banco Central sempre que um evento tiver impacto sistêmico ou se originar de um fornecedor terceirizado.

O princípio fundamental é que as instituições devem ser capazes de manter os serviços essenciais mesmo em meio a graves interrupções ou ataques cibernéticos.

Capítulo V: Disposições finais

O capítulo final fornece detalhes processuais, administrativos e de fiscalização.

Ele determina que:

• As instituições devem manter toda a documentação de cibersegurança, incluindo políticas, planos, resoluções do conselho, relatórios e contratos de terceirização, por um período mínimo de cinco anos.

• O Banco Central mantém a autoridade para:

  • Especificar os requisitos técnicos adicionais.
  • Impor medidas corretivas ou prazos.
  • Restringir ou proibir contratos que representem riscos de segurança.
  • Aplicar sanções administrativas em caso de descumprimento.
• A resolução estabeleceu 1º de julho de 2021 como a data de entrada em vigor para o cumprimento integral da norma.
• Revoga quaisquer normas anteriores que conflitem com as suas disposições, consolidando todas as obrigações de cibersegurança das entidades supervisionadas acima mencionadas sob uma única norma regulamentar.

Desafios e benefícios

A implementação da Resolução 4893 apresenta desafios significativos e benefícios relevantes para as instituições financeiras brasileiras, exigindo investimentos estratégicos e, ao mesmo tempo, fortalecendo a segurança cibernética e a governança a longo prazo.

Principais desafios

• Intensidade de recursos: A conformidade exige grandes investimentos financeiros e humanos em tecnologia, treinamento e infraestrutura, o que pode sobrecarregar instituições menores.
• Lacunas em conhecimentos técnicos: O foco da regulamentação em áreas como criptografia, detecção de intrusões e segurança na cloud expõe a escassez de profissionais especializados em cibersegurança.
• Gestão de riscos de terceiros: As instituições devem avaliar e monitorar rigorosamente os fornecedores, especialmente os provedores globais de cloud, sobre os quais têm visibilidade limitada em relação às suas práticas de segurança internas.
• Conformidade transfronteiriça: O uso de serviços de cloud internacionais aumenta a complexidade, pois as instituições precisam lidar com restrições de dados jurisdicionais e processos de autorização impostos pela BACEN.
• Integração de estruturas: Alinhar a Resolução CMN 4893 com estruturas existentes, como a ISO 27001, o NIST e as políticas de governança interna, exige um planejamento cuidadoso para evitar sobreposições.
• Carga administrativa: A extensa documentação e os requisitos de manutenção de registros aumentam a carga de trabalho, tornando necessários sistemas eficientes de gerenciamento de documentos.
• Cenário de ameaças em constante evolução: os riscos cibernéticos mudam rapidamente e exigem adaptação contínua, pois revisões anuais estáticas podem não fornecer proteção suficiente.

Principais benefícios

• Postura de segurança aprimorada: Controles e monitoramento abrangentes reduzem significativamente os riscos de segurança cibernética e fortalecem a resiliência institucional.
• Confiança regulatória: A conformidade demonstrada gera confiança no BACEN e pode levar a uma menor intervenção da supervisão.
• Confiança do cliente: Práticas robustas de cibersegurança reforçam a credibilidade institucional e criam uma vantagem competitiva no setor financeiro.
• Resiliência operacional: A ênfase na resposta a incidentes e no planejamento de continuidade garante a estabilidade dos negócios durante interrupções.
• Governança aprimorada: A integração da cibersegurança à gestão de riscos corporativos melhora a supervisão e a tomada de decisões em nível de diretoria.
• Otimização do relacionamento com fornecedores: A due diligence rigorosa e o monitoramento constante promovem parcerias com terceiros mais transparentes, responsáveis e seguras.
• Apoio à transformação digital: Uma estrutura de conformidade robusta permite a adoção segura da cloud e de tecnologias emergentes.
• Defesa colaborativa: O compartilhamento de informações entre instituições fortalece a consciência coletiva sobre ameaças e a segurança financeira nacional.
• Credibilidade global: O alinhamento com os padrões internacionais de cibersegurança reforça a reputação da instituição junto aos parceiros globais.
• Eficiência de custos a longo prazo: Embora a conformidade exija investimento inicial, ela evita violações dispendiosas, penalidades e danos à reputação ao longo do tempo.

Melhores práticas

Alcançar e manter a conformidade com a Resolução CMN 4.893, maximizando os benefícios associados, exige a adoção de práticas comprovadamente eficazes que vão além dos requisitos regulamentares mínimos.

Governança e implementação técnica

• Designe líderes executivos em cibersegurança, garantindo a alocação de recursos e o foco estratégico, com relações de reporte claras perante o conselho de administração e a alta gestão.
• Integre a cibersegurança nas estruturas de gestão de riscos empresariais presentes nos registos de riscos institucionais, com priorização de ativos baseada no risco e alocação de recursos aos sistemas de maior risco.
• Implemente uma arquitetura focada em defesa com controles em camadas, combinando todas as defesas de perímetro, segmentação de rede e sistemas de proteção de endpoints em um só.
• Adote os princípios de zero trust com autenticação contínua e acesso com privilégios mínimos, suportados por varredura automatizada de vulnerabilidades, gerenciamento de patches e sistemas de detecção de incidentes.

Gestão de incidentes e supervisão de fornecedores

• Desenvolva manuais detalhados de resposta a incidentes para cenários comuns, especificando funções, autoridades de decisão e protocolos de comunicação.
• Realize exercícios trimestrais com a alta administração e estabeleça critérios claros de escalonamento, definindo quando os incidentes exigem notificação ao BACEN.
• Estabeleça abordagens de avaliação de fornecedores em níveis, com análise rigorosa para fornecedores críticos e avaliações simplificadas para fornecedores de baixo risco.
• Exija relatórios de auditoria independentes em vez de autodeclarações e integre os requisitos de segurança nos processos de aquisição, que devem estar vinculados por disposições contratuais alinhadas à Resolução CMN 4893.

Treinamento, monitoramento e documentação

• Implemente treinamentos diferenciados para funcionários em geral, pessoal de TI, desenvolvedores e alta gerência, utilizando metodologias realistas, incluindo simulações de phishing e exercícios de red team.
• Assine serviços de inteligência contra ameaças e participe de acordos de compartilhamento de informações do setor para fortalecer a defesa coletiva.
• Defina métricas relevantes alinhadas aos objetivos de cibersegurança, incluindo a eficácia da detecção de ameaças e a eficiência da resposta.
• Implemente sistemas robustos de gestão documental com controle de versões e aplicação de prazos de retenção, mantendo as evidências de conformidade de forma contínua, em vez de apenas durante os períodos de auditoria.

Conclusão

A Resolução CMN 4893 representa um momento crucial na evolução da governança de cibersegurança para instituições financeiras brasileiras, estabelecendo requisitos abrangentes que elevam as práticas de segurança e, ao mesmo tempo, possibilitam uma transformação digital segura.

Embora a conformidade exija um comprometimento organizacional significativo e investimento de recursos, os benefícios resultantes vão muito além da mera adesão à regulamentação, abrangendo posturas de segurança aprimoradas, resiliência operacional, confiança do cliente e flexibilidade estratégica.

Instituições financeiras que abordam a Resolução CMN 4893 de forma estratégica devem encarar a conformidade como uma oportunidade para desenvolver capacidades duradouras, e não apenas como um ônus regulatório. Aquelas que agirem dessa forma estarão em posição de prosperar neste cenário de serviços financeiros cada vez mais ameaçador.

Seguindo roteiros de implementação estruturados, adotando as melhores práticas reconhecidas e mantendo o compromisso com a melhoria contínua, as instituições financeiras brasileiras podem alcançar a conformidade, ao mesmo tempo que fortalecem a resiliência e a segurança do sistema financeiro brasileiro.