Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 21/03/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023032100140
140
Nº 55, terça-feira, 21 de março de 2023
ISSN 1677-7042
Seção 1
III - a promoção da conformidade do participante com os requisitos de
segurança, incluindo a execução de planos de ação para mitigação de vulnerabilidades
identificadas durante a realização de procedimentos de avaliação internos e externos;
IV - o provimento e a utilização de informações e ferramentas para o
aprimoramento contínuo e a prevenção e a detecção de fraudes entre IOSMF e
participantes;
V - a resposta tempestiva a indícios de fraudes, envolvendo IOSMF e
participantes;
VI - a promoção contínua de treinamento, divulgação e compartilhamento de
informações para a gestão de fraudes, sem prejuízo das leis de sigilo bancário e de
proteção de dados; e
VII - o aproveitamento do aprendizado sobre gestão de fraudes para evolução
e coordenação de práticas, inclusive com outras IOSMF.
Seção IV
Da Gestão da Terceirização de Serviços Relevantes
Art. 69. As IOSMF devem assegurar que suas políticas, estratégias e estruturas
para gerenciamento de riscos contemplem os critérios de decisão quanto à terceirização
de serviços relevantes, incluindo serviços relevantes de processamento e armazenamento
de dados.
Parágrafo único. A terceirização de serviços relevantes não exime a instituição
do cumprimento de quaisquer dispositivos deste Regulamento, especialmente os
associados ao risco operacional, e requer da instituição uma gestão ainda mais robusta
dos riscos advindos de fatores externos.
Art. 70. As IOSMF, previamente à contratação de serviços relevantes, devem
adotar procedimentos que contemplem:
I - a adoção de práticas de governança corporativa e de gestão proporcionais
à relevância do serviço a ser contratado e aos riscos a que estejam expostos;
II - a verificação da capacidade do potencial prestador de serviço de
assegurar:
a) o cumprimento da legislação e da regulamentação em vigor;
b) o acesso da instituição contratante aos relatórios elaborados por empresa
de auditoria especializada independente contratada pelo prestador de serviço, relativos
aos procedimentos e aos controles utilizados na prestação dos serviços a serem
contratados;
c) o provimento de informações e de recursos de gestão adequados ao
monitoramento dos serviços a serem prestados; e
d) o acesso do Banco Central do Brasil para a realização de supervisão, nos
moldes daqueles realizados na própria IOSMF; e
III - no caso de contratação de serviços relevantes de processamento e
armazenamento de dados, a verificação adicional da capacidade do potencial prestador de
serviço de assegurar:
a) o acesso da instituição aos dados e às informações a serem processados ou
armazenados pelo prestador de serviço;
b) a confidencialidade, a integridade, a disponibilidade e a recuperação dos
dados e das informações processados ou armazenados pelo prestador de serviço;
c) a sua observância a certificações exigidas pela instituição para a prestação
do serviço a ser contratado;
d) a identificação e a segregação dos dados dos participantes por meio de
controles físicos ou lógicos; e
e) a qualidade dos controles de acesso voltados à proteção dos dados e das
informações dos participantes da instituição.
§ 1º Na avaliação da relevância do serviço a ser contratado, de que trata o
inciso I do caput, a entidade contratante deve considerar a criticidade do serviço e a
sensibilidade dos dados e das informações a serem processados, armazenados e
gerenciados pelo contratado, levando em conta, inclusive, a classificação realizada nos
termos da alínea "c" do inciso V do art. 67.
§ 2º Os procedimentos de que trata o caput, inclusive as informações relativas
à verificação mencionada nos incisos II e III, devem ser documentados.
§ 3º No caso da execução de aplicativos por meio da internet, referidos no
inciso LII do art. 2º, a entidade deve assegurar que o potencial prestador dos serviços
adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de
novas versões do aplicativo.
§ 4º A instituição deve possuir recursos e competências necessários para a
adequada gestão dos serviços a serem contratados, inclusive para análise de informações
e uso dos recursos providos nos termos da alínea "c" do inciso II do caput.
Art.
71. 
A
contratação
de
serviços 
relevantes
de
processamento,
armazenamento de dados e de computação em nuvem prestados no exterior deve
observar os seguintes requisitos:
I - a existência de convênio para troca de informações entre o Banco Central
do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser
prestados;
II - a instituição contratante deve assegurar que a prestação dos serviços
referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à
atuação do Banco Central do Brasil;
III - a instituição contratante deve definir, previamente à contratação, os países
e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser
armazenados, processados e gerenciados; e
IV - a instituição contratante deve prever alternativas para a continuidade dos
negócios, no caso de impossibilidade de manutenção ou extinção do contrato de
prestação de serviços.
§ 1º No caso de inexistência de convênio nos termos do inciso I do caput, a
instituição contratante deverá solicitar autorização do Banco Central do Brasil, no âmbito
das autorizações de que tratam os incisos I, II, III e XI do art. 4º deste Regulamento, para
a contratação de serviços e para as alterações contratuais que impliquem modificação de
informações relacionadas à denominação da empresa contratada, aos serviços relevantes
contratados e à indicação dos países e das regiões em cada país onde os serviços poderão
ser prestados e os dados poderão ser armazenados, processados e gerenciados, conforme
o inciso III deste artigo.
§ 2º As instituições deverão assegurar que a legislação e a regulamentação nos
países e nas regiões em cada país onde os serviços poderão ser prestados não restringem
nem impedem o acesso das instituições contratantes e do Banco Central do Brasil aos
dados e às informações.
§ 3º A comprovação do atendimento aos requisitos de que tratam os incisos
I a IV do caput e o cumprimento da exigência de que trata o § 2º devem ser
documentados.
§ 4º O prestador de serviço relevante no exterior deve atender, pelo menos,
aos mesmos requisitos solicitados aos prestadores de serviços relevantes localizados no
território nacional.
§ 5º O prestador de serviço relevante no exterior deve possuir representação
no Brasil.
§ 6º O supervisor estrangeiro
deve ter as mesmas competências
regulamentares e de supervisão de IOSMF dos supervisores do Banco Central do Brasil.
§ 7º No convênio, de que trata o inciso I do caput, ou memorando de
entendimento, deve estar previsto o relacionamento direto do Banco Central do Brasil
com o
prestador de serviço relevante,
inclusive para realizar
inspeções, caso
necessário.
§ 8º O prestador de serviço relevante deverá ter, no Brasil, um site de
contingência com mecanismos para a continuidade de negócios que possibilitem a
execução do serviço relevante contratado em
território nacional, no caso da
materialização de riscos que inviabilizem a continuidade da prestação do serviço no
exterior, sendo que tais mecanismos devem incluir a previsão da replicação da base de
dados e de informações no site doméstico e devem ser testados periodicamente.
§ 9º Caso se entenda necessário, o prestador de serviço relevante deverá
prestar informações e fornecer evidências à atuação Banco Central do Brasil, inclusive em
português, se solicitado.
Art. 72. A IOSMF contratante dos serviços mencionados no art. 70 é
responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e
pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da
legislação e da regulamentação em vigor.
Art. 73. As contratações e alterações relacionadas à terceirização de serviços
relevantes devem ser comunicadas pelas instituições referidas no art. 1º ao Banco Central
do Brasil.
§
1º A
comunicação
mencionada no
caput
deve
conter as
seguintes
informações:
I - a denominação da empresa a ser contratada;
II - os serviços relevantes a serem contratados;
III - a indicação dos países e das regiões em cada país onde os serviços
poderão ser prestados definida nos termos do inciso III do art. 71, no caso de contratação
no exterior; e
IV - outras informações a critério do Banco Central do Brasil.
§ 2º A comunicação de que trata o caput deve ser realizada até 10 (dez) dias
após a contratação dos serviços.
§ 3º As alterações contratuais que impliquem modificação das informações de
que trata o § 1º devem ser comunicadas ao Banco Central do Brasil até 10 (dez) dias após
a alteração contratual.
§ 4º As minutas de contratos ou de aditivos contratuais relativos a serviços
relevantes de processamento e armazenamento de dados e de computação em nuvem
devem ser encaminhadas ao Banco Central do Brasil, no mínimo, 60 (sessenta) dias antes
da assinatura dos respectivos instrumentos contratuais.
Art. 74. Os contratos para prestação de serviços relevantes de processamento,
armazenamento de dados e computação em nuvem devem prever:
I - a adoção de medidas de segurança para a transmissão e armazenamento
dos dados;
II - a manutenção, enquanto o contrato estiver vigente, da segregação dos
dados e dos controles de acesso para proteção das informações dos participantes;
III - os acordos de nível de serviço e os parâmetros de qualidade a serem
observados durante a vigência do contrato, compatíveis com as necessidades
regulamentares e operacionais dos SMF que empregam os serviços contratados em sua
operacionalização;
IV - a obrigatoriedade, em caso de extinção do contrato, de:
a) transferência dos dados ao novo prestador de serviços ou à IOSMF
contratante; e
b) exclusão dos dados pela
empresa contratada substituída, após a
transferência dos dados prevista na alínea "a" e a confirmação da integridade e da
disponibilidade dos dados recebidos;
V - o acesso da IOSMF a:
a) informações fornecidas pela empresa contratada, visando a verificar o
cumprimento do disposto nos incisos I e II;
b) informações relativas aos relatórios de auditoria especializada e às
certificações exigidas, nos termos da alínea "b" do inciso II e da alínea "c" do inciso III do
art. 70; e
c) informações e recursos de gestão adequados ao monitoramento dos
serviços a serem prestados, de que trata a alínea "c" do inciso II do art. 70;
VI - a obrigação de a empresa contratada notificar a IOSMF contratante sobre
a subcontratação de serviços relevantes para a instituição;
VII - a permissão de acesso do Banco Central do Brasil aos contratos e aos
acordos firmados para a prestação de serviços, à documentação e às informações
referentes aos serviços prestados, aos dados armazenados e às informações sobre seus
processamentos, às cópias de segurança dos dados e das informações, bem como aos
códigos de acesso aos dados e às informações e aos relatórios das certificações tratadas
no art. 70, inciso III, alínea "c", assim como à documentação e demais insumos que os
subsidiaram;
VIII - a adoção de medidas pela IOSMF contratante, em decorrência de
determinação do Banco Central do Brasil;
IX - a obrigação de a empresa contratada manter a IOSMF contratante
permanentemente informada sobre eventuais limitações que possam afetar a prestação
dos serviços ou o cumprimento da legislação e da regulamentação em vigor; e
X - o acesso do Banco Central do Brasil, para a realização de processos de
supervisão, nos mesmos moldes que seriam realizados na IOSMF.
§ 1º O contrato mencionado no caput deve prever, na hipótese de antecipação
do seu vencimento em decorrência de procedimento concursal, a obrigação de a empresa
contratada manter, por pelo menos 90 (noventa) dias, contados a partir da data de
vencimento antecipado, o acesso aos contratos, aos acordos, à documentação e às
informações referentes aos serviços prestados, aos dados armazenados e às informações
sobre seus processamentos, às cópias de segurança dos dados e das informações, bem
como aos códigos de acesso de que trata o inciso VII do caput que estejam em poder da
empresa contratada.
§ 2º Os acordos de nível de serviço e os parâmetros de qualidade tratados no
inciso III do caput devem ser suficientes para assegurar, pelo menos, o disposto no
Capítulo I do Título V.
Art. 75. O disposto nos arts. 70, 72, 73 e 74 não se aplica à contratação de
sistemas operados por IOSMF autorizadas pelo Banco Central do Brasil.
Art. 76. O Banco Central do Brasil poderá vetar ou impor restrições para a
contratação de serviços de processamento e armazenamento de dados quando constatar,
a qualquer tempo, a inobservância do disposto neste Regulamento, bem como a limitação
à atuação da supervisão do Banco Central do Brasil, estabelecendo prazo para a
adequação dos referidos serviços e dos contratos correspondentes.
Art. 77. O Banco Central do Brasil poderá estabelecer a exigência de
certificações e outros requisitos técnicos a serem requeridos das empresas contratadas,
pela IOSMF contratante, na prestação dos serviços de que trata o art. 69.
Seção V
Da Continuidade de Negócios
Art. 78. As IOSMF devem estruturar gestão de continuidade de negócios
compatível com sua natureza, porte, complexidade, estrutura e perfil de risco.
§ 1º A estrutura de que trata o caput deve:
I - estar amparada na política, nos princípios e nas melhores práticas da gestão
de continuidade de negócios;
II - definir de forma clara e objetiva as responsabilidades das partes
envolvidas, inclusive quando terceirizadas;
III -
prever mecanismos
para a identificação
de processos
e ativos
essenciais;
IV - garantir elevados padrões de resiliência cibernética e operacional;
V - prever plano de continuidade de negócios, responsável por estabelecer um
conjunto de estratégias para garantir a preservação dos processos e ativos essenciais após
a ocorrência de materialização de um evento de risco, e até o retorno à situação normal
de funcionamento;
VI - estabelecer e documentar os critérios que configurem uma situação de
crise;
VII 
- 
prever 
a 
promoção
contínua 
de 
treinamento, 
divulgação 
e
compartilhamento de informações para a gestão da continuidade de negócios;
VIII - comunicar tempestivamente o Banco Central do Brasil sobre as
ocorrências e as interrupções que configurem uma situação de crise pela IOSMF, bem
como as providências para o reinício das suas atividades;
IX - prever tratamento para mitigar os efeitos dos incidentes relevantes de que
trata o inciso IV do art. 67 e da interrupção dos serviços relevantes de processamento,
armazenamento de dados e de computação em nuvem contratados;
X - estipular prazo para reinício ou normalização das suas atividades ou dos
serviços relevantes interrompidos, em consonância com o estabelecido no Capítulo I do
Título V, no que for aplicável ao SMF;
XI - assegurar a completa liquidação das operações até o fim do dia da
materialização do evento de risco, mesmo em condições extremas;
XII - contemplar outras IOSMF e provedores de serviços e insumos, ainda que
no mesmo conglomerado;

Fechar