BANCOS NA NUVEM: REGULADOR PADRONIZA QUESITOS DE VISIBILIDADE DOS DADOS E CONTROLES DE SERVIÇOS
11 de maio de 2018
Bancos na nuvem: regulador padroniza quesitos de visibilidade dos dados e controles de serviços.
Resolução do Banco Central determina política de cibersegurança, soberania de dados e auditoria de serviços em nuvem, com anulação de contratos em caso de não compliance
A Resolução 4568 do Banco Central do Brasil, publicada em 26 de abril, dá flexibilidade às instituições reguladas para contratação de serviços de TI, inclusive no exterior, ao mesmo tempo em que determina os mecanismos de segurança, governança de dados e controle por parte do regulador.
Conforme a regulação, as instituições deverão apresentar suas políticas de cibersegurança, proteção a dados e resposta a incidentes, assim como designar um diretor responsável por seu cumprimento. “As instituições que não constituírem política de segurança cibernética própria devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição”, consta no terceiro inciso do artigo 2º.
“Os procedimentos e os controles devem abranger, no mínimo, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra software malicioso, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações”, detalha o artigo 3º da resolução.
Visibilidade de geografia e jurisdição dos dados em nuvem
E seu artigo 15, a resolução determina que a “contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser previamente comunicada ao Banco Central do Brasil”. No caso de serviços contratados de provedores globais, é obrigatória “a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados”.
O detalhamento sobre a contratação de serviços deve ser comunicado ao Banco Central 60 dias antes, ainda conforme o artigo 15. Ao final do texto, no artigo 27, a regulador adverte que “poderá vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços”.
Além de determinar a localização dos dados, o artigo 17 estabelece critérios de jurisdição, em que se inclui a exigência de “permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações”.
Facilitadores da Forcepoint para compliance à Resolução 4568
Nesta iniciativa regulatória, a autoridade reconhece uma tendência mundial para tratamento de informações críticas, de focar na proteção do dado em si, onde quer que se armazene, trafegue ou acesse. Essa visão permeia as diversas soluções Forcepoint e orienta a conjugação de todas as camadas de defesa, do monitoramento de rede à análise comportamental do usuário. Contudo, diante das novas determinações do regulador, alguns produtos e funcionalidades podem ser destacados como aceleradores nessa jornada:
CASB com visibilidade granular para IaaS, PaaS e SaaS – a abrangência e simplicidade da solução CASB (cloud access secure broker) da Forcepoint dá visibilidade sobre o deslocamento de informações entre ambientes nuvem, compliance às políticas de geografia de serviços, assim como sobre os dados, as aplicações e as ações dos usuários em serviços em múltiplas nuvens
DLP integrado ao CASB – as soluções líderes de prevenção a vazamento de dados da Forcepoint (que se mantêm há anos no Quadrante Mágico do Gartner) se agregam naturalmente à plataforma de gerenciamento de serviços em nuvem, para estender as políticas de criptografia, controle de acesso e compliance à infraestrutura multicloud.
Firewall, IPS, antimalware prontos para multicloud – além de liderar vários testes independentes de performance nas funções de bloqueio, detecção de invasões camufladas e proteção a ameaças avançadas, a linha de NGFW (firewall de nova geração) oferece uma solução para padronizar as políticas no data center, em redes distribuídas e em múltiplas nuvens.
Simplificando a implementação técnica de compliance – junto à possibilidade de um gerenciamento consolidado das plataformas de NGFW, os clientes da Forcepoint contam com o Smart Policies, uma ferramenta que traduz os requisitos da política de segurança e ajuda a automatizar a configuração da estrutura de proteção.
Não perca as oportunidades de eficiência e competitividade, nem comprometa seus altos padrões de governança de dados. Marque uma conversa com nosso consultor e veja como nossas soluções de segurança podem habilitar negócios mais ágeis e inovadores.