Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 21/03/2023 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023032100139
139
Nº 55, terça-feira, 21 de março de 2023
ISSN 1677-7042
Seção 1
ordenado de que trata o inciso XXII do § 1º do art. 31, não podendo ser inferior a 6 (seis)
meses de despesas operacionais, considerando-se, para tanto, a dedução de amortizações
e depreciações;
V - ser aprovados pelo conselho de administração ou, se inexistente, pela
diretoria prevista em estatuto ou contrato social; e
VI - ser submetidos a testes e revisões periódicas.
§ 2º A previsão de que trata inciso IV do § 1º deve:
I - estar amparada nos princípios e nas melhores práticas associados ao
tema;
II - garantir escopo amplo e completo de atuação, prevendo a recuperação e
o encerramento ordenado das atividades exercidas, dos sistemas operados, e da
instituição;
III - ser aprovado, em última instância, pelo conselho de administração ou, se
inexistente, pela diretoria prevista em estatuto ou contrato social; e
IV - ser submetido a testes e revisões periódicos.
§ 3º O montante de que trata o inciso IV do § 1º deve:
I - ser baseado no patrimônio líquido da instituição; e
II - ser apurado considerando-se os ativos que sejam líquidos e de alta
qualidade, descontado o passivo circulante.
§ 4º O montante de que trata o inciso IV do § 1º não deve ser utilizado para
cobrir inadimplências de participantes ou para cobrir outros riscos financeiros.
§ 5º As IOSMF devem ter planos para readequação nos casos de insuficiência
de recursos para satisfazer o que determina o inciso IV do § 1º.
§ 6º As aplicações referentes ao montante de recursos próprios afetados para
a finalidade descrita no inciso IV do § 1º devem ser controladas em subtítulos contábeis
de uso interno.
Seção II
Do Patrimônio Líquido
Art. 60. A IOSMF deve manter patrimônio líquido compatível com os riscos
inerentes aos SMF que opere, observados os seguintes limites mínimos:
I - R$100.000.000,00 (cem milhões de reais), no caso de ser responsável por
contraparte central;
II - R$50.000.000,00 (cinquenta milhões de reais), no caso de ser responsável
por sistema de liquidação sistemicamente importante ou por depositário central; e
III - R$30.000.000,00 (trinta milhões de reais), nos demais casos.
§ 1º Se a IOSMF operar mais de um SMF, os limites mínimos de patrimônio
líquido referidos no caput devem corresponder à soma dos respectivos limites mínimos
exigidos para operar cada SMF.
§ 2º Se o objeto social da IOSMF abarcar outras atividades que não sejam
típicas de SMF, o montante mínimo de patrimônio líquido deve ser acrescido de outros
exigidos pelo exercício das demais atividades.
§ 3º O Banco Central do Brasil poderá determinar limites superiores de
patrimônio líquido, tanto no processo de autorização quanto ao longo do processo de
supervisão, estabelecendo prazo para sua implementação, caso entenda que o montante
é incompatível com os riscos em que a instituição incorre.
CAPÍTULO V
DOS RISCOS DE CUSTÓDIA E DE INVESTIMENTO
Art. 61. As IOSMF devem estruturar gestão de seus ativos e, quando aplicável,
dos ativos de seus participantes de modo a salvaguardá-los de eventuais perdas.
Parágrafo único. A estrutura de que trata o caput deve:
I - estar amparada nos princípios e nas melhores práticas associados ao
tema;
II - definir de forma clara e objetiva as responsabilidades das partes
envolvidas, inclusive quando terceirizadas;
III - ter como objetivo minimizar os riscos de perda financeira;
IV - contemplar os riscos associados aos bancos custodiantes, considerando o
escopo total de relacionamento existente;
V - garantir que os investimentos se deem em instrumentos de baixo risco de
crédito, de mercado e de liquidez, e em instituições reguladas que possuam uma gestão
de recursos e de riscos robusta;
VI - garantir o pronto acesso aos ativos quando necessário, mesmo em
cenários de estresse e em jurisdições estrangeiras;
VII - garantir que a estratégia de investimento seja consistente com a
estrutura de gestão de riscos de que trata o Capítulo III do Título IV;
VIII - garantir que a estratégia de investimento seja totalmente aberta aos
seus participantes;
IX - respeitar a segregação de funções entre a diretoria que negocia esses
ativos
e
as
diretorias
que executam
os
procedimentos
operacionais,
calculam e
contabilizam o resultado e gerenciam os riscos financeiros desses ativos; e
X - ser submetida a avaliações e revisões periódicas.
CAPÍTULO VI
DO RISCO OPERACIONAL
Seção I
Dos Aspectos Gerais
Art. 62. As IOSMF devem possuir uma estrutura robusta de gestão do risco
operacional, compatível com sua natureza, porte, complexidade, estrutura e perfil de
risco.
§ 1º A estrutura de que trata o caput deve:
I - estar amparada nos princípios e nas melhores práticas da gestão do risco
operacional,
de forma
a
garantir elevados
níveis
de
segurança, continuidade e
confiabilidade e capacidade adequada e passível de expansão;
II - definir de forma clara e objetiva as responsabilidades das partes
envolvidas, inclusive quando terceirizadas;
III - contemplar, entre outros temas, a gestão de fraudes, a gestão da
terceirização de serviços, a continuidade de negócios, a gestão de serviços de tecnologia
da informação e a segurança da informação e cibernética;
IV - abranger a instituição como um todo, inclusive o sistema computacional
responsável por operacionalizar as atividades listadas no Título V e os demais sistemas
(periféricos) da instituição;
V - prever, entre outros,
políticas, planos, procedimentos e sistemas
apropriados, que garantam a identificação, o monitoramento e o gerenciamento dos
riscos operacionais, por meio de avaliações contínuas dos fatores de risco internos e
externos, estabelecimento e revisão periódica de controles internos e contingências,
conscientização e promoção da cultura de riscos, e relatórios, que devem ser levados ao
conhecimento dos administradores; e
VI - ser avaliada, revisada, auditada e testada periodicamente e após
mudanças significativas.
§ 2º Os fatores de risco de que trata o inciso V do § 1º devem abranger o
segmento de atuação ao qual a IOSMF pertença e contemplar, entre outros, aqueles
advindos de outras IOSMF, de provedores de serviços e insumos, ainda que no mesmo
conglomerado, de participantes, e os riscos que suas operações possam representar para
outras IOSMF.
§ 3º A estrutura de que trata o caput deve ser própria.
§ 4º A estrutura de que trata o caput deve ser aprovada pelo conselho de
administração ou, se inexistente, pela diretoria prevista em estatuto ou contrato social,
que deve definir claramente funções e responsabilidades para lidar com o risco
operacional.
Art. 63. As IOSMF devem ter objetivos de resiliência operacional claramente
definidos.
Art. 64. As IOSMF devem instituir mecanismos de acompanhamento e de
controle com vistas a assegurar a implementação e a efetividade da política de segurança
da informação e cibernética, do plano diretor de segurança da informação, do plano de
resposta a incidentes e dos requisitos para contratação de serviços, em especial os de
processamento e armazenamento de dados e de computação em nuvem, incluindo:
I - a definição de processos, testes e trilhas de auditoria;
II - a definição de métricas e indicadores adequados; e
III - a identificação e a correção de eventuais deficiências.
§ 1º As notificações recebidas sobre a subcontratação de serviços relevantes,
descritas no inciso VI do art. 74, devem ser consideradas na definição dos mecanismos de
que trata o caput.
§ 2º Os mecanismos de que trata o caput devem ser submetidos a testes
periódicos pela auditoria interna compatíveis com os controles internos da instituição.
§ 3º As IOSMF devem definir e documentar papéis e responsabilidades
relativas aos mecanismos de acompanhamento e de controle de que trata o caput.
Seção II
Das Políticas
Art. 65. As IOSMF devem estabelecer, no mínimo, políticas de:
I - gestão de risco operacional;
II - gestão de fraudes;
III - gestão da terceirização de serviços;
IV - continuidade de negócios;
V - gestão de serviços de tecnologia da informação; e
VI - segurança da informação e cibernética.
§ 1º As políticas de que trata o caput:
I - devem ser aprovadas pelo conselho de administração ou, se inexistente,
pela diretoria prevista em estatuto ou contrato social;
II - devem ser revisadas periodicamente;
III - devem ser publicadas no sítio eletrônico da instituição em nível de
detalhamento compatível com a sensibilidade das informações e com as informações
referentes ao controle de versionamento, além de outras eventualmente requeridas pelo
Banco Central do Brasil;
IV - devem estar à disposição do Banco Central do Brasil pelo prazo mínimo
de 5 (cinco) anos contados de sua revogação;
V - podem ser tratadas em documento único, a critério da instituição; e
VI - devem ser projetadas para alcançar os objetivos de que tratam os arts. 63
e 67.
§ 2º Caso a instituição pertença a conglomerado, admite-se a adoção de
política única do conglomerado, garantindo, todavia, as peculiaridades associadas à
instituição.
Art. 66. A política para a gestão de continuidade de negócios de que trata o
inciso IV do caput do art. 65 deve estabelecer, entre outros:
I - processo para análise de impacto nos negócios que inclua:
a) identificação, classificação e documentação dos processos críticos de
negócio;
b) avaliação dos potenciais efeitos da interrupção dos processos mencionados
na alínea "a";
II - estratégias para assegurar a continuidade das atividades da IOSMF e limitar
perdas decorrentes da interrupção dos processos críticos de negócio;
III - planos de continuidade de negócios que estabeleçam procedimentos e
prazos estimados para reinício e recuperação das atividades em caso de interrupção dos
processos críticos de negócio, bem como as ações de comunicação necessárias;
IV
-
testes e
revisões
dos
planos
de
continuidade de
negócios
com
periodicidade adequada;
V - tratamento dos incidentes relevantes relacionados com o ambiente
cibernético de que trata o inciso IV do art. 67;
VI - procedimentos a serem seguidos no caso da interrupção de serviços
relevantes contratados, especialmente os de processamento e armazenamento de dados
e de computação em nuvem contratados, abrangendo cenários que considerem a
substituição da empresa contratada e o reestabelecimento da operação normal da
instituição; e
VII - cenários de incidentes considerados nos testes de continuidade de
serviços prestados de que trata a alínea "a" do inciso V do art. 67.
Art. 67. A política de segurança da informação e cibernética de que trata o
inciso VI do caput do art. 65 deve prever mecanismos de prevenção, detecção, redução
de vulnerabilidade, resposta e recuperação de incidentes relacionados com o ambiente
cibernético contemplando, no mínimo:
I - os objetivos de segurança da informação e cibernética da IOSMF;
II - os procedimentos e os controles adotados para reduzir a vulnerabilidade
da entidade a incidentes e atender aos demais objetivos de segurança da informação e
cibernética;
III - os controles específicos, incluindo os voltados para a rastreabilidade da
informação, que busquem garantir a segurança das informações sensíveis;
IV - o registro, a análise da causa e do impacto, bem como o controle dos
efeitos de incidentes relevantes para as atividades da entidade;
V - as diretrizes para:
a) a elaboração de cenários de incidentes considerados nos testes de
continuidade de negócios e de operações de riscos significativos de ruptura, incluindo
eventos que podem causar uma ruptura em larga escala;
b) a definição de procedimentos e de controles voltados à prevenção e ao
tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a
terceiros contratadas pela IOSMF;
c) a classificação dos dados e das informações quanto à relevância; e
d) a definição dos parâmetros a serem utilizados na avaliação da relevância
dos incidentes;
VI - os mecanismos para disseminação da cultura de segurança da informação
e cibernética na IOSMF, incluindo:
a) a implementação de programas de capacitação e de avaliação periódica de
pessoal;
b) a prestação de informações aos participantes sobre precauções na utilização
de produtos e serviços oferecidos; e
c) o comprometimento dos administradores com a melhoria contínua dos
procedimentos relacionados com a segurança da informação e cibernética;
VII - as iniciativas para compartilhamento de informações sobre os incidentes
relevantes, mencionados no inciso XI do § 1º do art. 82, com as IOSMF, instituições
financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo
Banco Central do Brasil.
§ 1º Os procedimentos e os controles de que trata o inciso II do caput devem
abranger a autenticação, a criptografia, a prevenção e a detecção de intrusão, a
prevenção de vazamento de informações, a realização periódica de testes e varreduras
para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o
estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de
segmentação da rede de computadores e a manutenção de cópias de segurança dos
dados e das informações.
§ 2º Os procedimentos e os controles citados no inciso II do caput devem ser
aplicados, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção
de novas tecnologias empregadas nas atividades da IOSMF.
§ 3º O registro, a análise da causa e do impacto, bem como o controle dos
efeitos de incidentes, de que trata o inciso IV do caput, devem abranger inclusive
informações recebidas de empresas prestadoras de serviços a terceiros.
§ 4º As diretrizes de que trata a alínea "b" do inciso V do caput devem
contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão
compatíveis com os utilizados pela própria IOSMF.
Seção III
Da Gestão de Fraudes
Art. 68. A estrutura de gestão de risco operacional de que trata este Capítulo
deve prever, em relação ao risco de fraudes:
I - a identificação e a compreensão dos riscos e das possibilidades de fraude
em produtos, serviços e processos, considerando, de forma individual e coletiva, a IOSMF
e os seus participantes, bem como outros SMF com os quais exista algum tipo de
relacionamento;
II - a definição e a implementação de requisitos de segurança para prevenção,
detecção e resposta a fraudes estabelecidos pela IOSMF, a serem observados tanto pela
IOSMF quanto pelos participantes;

Fechar