DOU 26/01/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024012600081
81
Nº 19, sexta-feira, 26 de janeiro de 2024
ISSN 1677-7042
Seção 1
"Art. 9º As instituições mencionadas no caput do art. 1º devem aplicar o
disposto nesta Resolução prospectivamente a partir da data de sua entrada em vigor.
........................................................................................................................." (NR)
Art. 33. Fica revogado o parágrafo único do art. 2º da Resolução BCB nº 92, de 2021.
Art. 34. Esta Resolução entra em vigor em 1º de março de 2024.
OTÁVIO RIBEIRO DAMASO
Diretor de Regulação
RESOLUÇÃO BCB Nº 368, DE 25 DE JANEIRO DE 2024
Altera as Resoluções BCB ns. 28, de 23 de outubro de
2020; 65, de 26 de janeiro de 2021; 85, de 8 de abril
de 2021; 93, de 6 de maio de 2021; 155, de 14 de
outubro de 2021; e 260, de 22 de novembro de 2022,
para incluir em seus
escopos de aplicação as
sociedades corretoras de títulos e valores mobiliários,
as sociedades distribuidoras de títulos e valores
mobiliários e as sociedades corretoras de câmbio
autorizadas a funcionar pelo Banco Central do Brasil.
A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 23 de
janeiro de 2024, com base no art. 9º-A, incisos I e II, da Lei nº 4.728, de 14 de julho de
1965, 6º e 7º, inciso III, da Lei nº 11.795, de 8 de outubro de 2008, 9º, incisos II e IX, alínea
"b", e 15 da Lei nº 12.865, de 9 de outubro de 2013, resolve:
Art. 1º A ementa da Resolução BCB nº 28, de 23 de outubro de 2020, passa a
vigorar com a seguinte alteração:
"Dispõe sobre a constituição e o funcionamento de componente organizacional
de ouvidoria pelas instituições de pagamento, pelas administradoras de consórcio, pelas
sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de
títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a
funcionar pelo Banco Central do Brasil." (NR)
Art. 2º A Resolução BCB nº 28, de 2020, passa a vigorar com as seguintes
alterações:
"Art. 2º O componente organizacional de ouvidoria deve ser constituído pelas
seguintes instituições:
I - instituições de pagamento, sociedades corretoras de títulos e valores
mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades
corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil que tenham
clientes
pessoas
naturais,
inclusive empresários
individuais,
ou
pessoas jurídicas
classificadas como microempresas e empresas de pequeno porte, nos termos da Lei
Complementar nº 123, de 14 de dezembro de 2006; e
........................................................................................................................." (NR)
"Art. 3º Para fins desta Resolução, também considera-se cliente:
........................................................................................................................." (NR)
"Art. 4º ....................................................................................................................
..................................................................................................................................
II - atuar como canal de comunicação entre a instituição mencionada no art. 2º
e os seus clientes, inclusive na mediação de conflitos.
........................................................................................................................." (NR)
"Art. 5º ...................................................................................................................
I - no caso de instituição mencionada no inciso I do caput do art. 2º, com a
natureza e a complexidade dos produtos, serviços, atividades, processos e sistemas de
cada instituição; e
........................................................................................................................" (NR)
"Art. 6º É admitido o compartilhamento de ouvidoria pelas instituições
mencionadas no art. 2º, observadas as seguintes situações e regras:
.................................................................................................................................
II - a instituição não enquadrada no disposto no inciso I pode compartilhar a
ouvidoria constituída:
..................................................................................................................................
§ 2º O disposto no inciso II, alínea "b", do caput, somente se aplica a
associação de classe que possuir código de ética ou de autorregulação efetivamente
implantado, ao qual a instituição tenha aderido." (NR)
"Art. 8º As instituições mencionadas no art. 2º devem:
........................................................................................................................" (NR)
"Art. 9º ....................................................................................................................
..................................................................................................................................
§ 2º As alterações estatutárias ou contratuais exigidas por esta Resolução
relativas às instituições mencionadas no art. 2º que optarem pela faculdade prevista no
art. 6º, inciso I, podem ser promovidas somente pela instituição que constituir a
ouvidoria.
§ 3º A instituição que não constituir ouvidoria própria em decorrência da
faculdade prevista no art. 6º, inciso II, deve ratificar a decisão na primeira assembleia geral
ou na primeira reunião de diretoria realizada após tal decisão." (NR)
"Art. 10. As instituições mencionadas no art. 2º devem designar, perante o
Banco Central do Brasil, os nomes do ouvidor e do diretor ou administrador responsável
pela ouvidoria, observadas as seguintes condições:
I - o diretor ou administrador responsável pela ouvidoria pode desempenhar
outras funções, inclusive a de ouvidor, exceto a de diretor de administração de recursos de
terceiros;
II - no caso das instituições de pagamento e administradoras de consórcio, o
ouvidor não poderá desempenhar outra função, exceto a de diretor ou administrador
responsável pela ouvidoria;
III - nas situações em que o ouvidor desempenhe outra atividade na instituição,
essa atividade não pode configurar conflito de interesses ou de atribuições; e
IV - na hipótese de a designação de diretor ou administrador responsável pela
ouvidoria e de ouvidor nas instituições de pagamento e administradoras de consórcio
recaírem sobre a mesma pessoa, esta não poderá desempenhar outra função." (NR)
"Art. 12. Para cumprimento do disposto no caput do art. 10, nas hipóteses
previstas no art. 6º, inciso II, as instituições mencionadas no art. 2º devem:
........................................................................................................................." (NR)
"Art.
14.
As
instituições
mencionadas
no
art.
2º
devem
divulgar
semestralmente, nos respectivos sítios eletrônicos na internet, informações relativas às
atividades desenvolvidas pela ouvidoria." (NR)
"Art. 16. As instituições mencionadas no art. 2º devem adotar providências para
que os integrantes da ouvidoria que realizem as atividades mencionadas no art. 7º sejam
considerados aptos em exame de certificação organizado por entidade de reconhecida
capacidade técnica.
..................................................................................................................................
§ 3º As instituições mencionadas no art. 2º devem assegurar a capacitação
permanente dos integrantes das respectivas ouvidorias em relação aos temas mencionados
no § 1º.
........................................................................................................................." (NR)
"Art. 18. ...................................................................................................................
Parágrafo único. O disposto no caput deve ser observado, inclusive, pela
instituição mencionada no art. 2º que não constituir componente de ouvidoria próprio em
decorrência da faculdade prevista no art. 6º." (NR)
Art. 3º A ementa da Resolução BCB nº 65, de 26 de janeiro de 2021, passa a
vigorar com a seguinte alteração:
"Dispõe sobre a política de conformidade (compliance) das administradoras de
consórcio, das instituições de pagamento, das sociedades corretoras de títulos e valores
mobiliários, das sociedades distribuidoras de títulos e valores mobiliários e das sociedades
corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)
Art. 4º A Resolução BCB nº 65, de 2021, passa a vigorar com as seguintes alterações:
"Art. 1º Esta Resolução regulamenta a política de conformidade (compliance)
aplicável às seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:
I - administradoras de consórcio;
II - instituições de pagamento;
III - sociedades corretoras de títulos e valores mobiliários;
IV - sociedades distribuidoras de títulos e valores mobiliários; e
V - sociedades corretoras de câmbio." (NR)
"Art. 2º As instituições mencionadas no art. 1º devem implementar e manter
política de conformidade compatível com a natureza, o porte, a complexidade, a estrutura,
o perfil de risco e o modelo de negócio, de forma a assegurar o efetivo gerenciamento do
seu risco de conformidade.
§ 1º Para fins desta Resolução, considera-se risco de conformidade a
possibilidade de a instituição sofrer sanções legais ou administrativas, perdas financeiras,
danos de reputação e outros danos, decorrentes de descumprimento ou falhas na
observância do arcabouço legal, da regulamentação infralegal, das recomendações dos
órgãos reguladores e dos códigos de autorregulação aplicáveis.
§ 2º O risco de conformidade deve ser gerenciado pelas sociedades corretoras
de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores
mobiliários e pelas sociedades corretoras de câmbio, de forma integrada com os demais
riscos incorridos pela instituição, nos termos da regulamentação específica." (NR)
"Art. 7º ....................................................................................................................
I - testar e avaliar a aderência da instituição mencionada no art. 1º ao
arcabouço legal, à regulamentação infralegal, às recomendações dos órgãos de supervisão
e, quando aplicáveis, aos códigos de ética, de conduta e outros regulamentos que estejam
obrigadas a observar;
..................................................................................................................................
V - elaborar relatório, com periodicidade mínima anual, contendo o sumário
dos resultados das atividades relacionadas com a função de conformidade, suas principais
conclusões, recomendações e providências tomadas pela administração da instituição
mencionada no art. 1º; e
..................................................................................................................................
Parágrafo único. As instituições mencionadas no art. 1º poderão contratar
especialistas para a execução de atividades relacionadas com a política de conformidade,
mantidas integralmente as atribuições e responsabilidades do conselho de administração." (NR)
"Art. 9º ....................................................................................................................
I - ..............................................................................................................................
..................................................................................................................................
d) a disseminação de padrões de integridade e conduta ética como parte da
cultura da instituição;
........................................................................................................................." (NR)
"Art. 10. Para as instituições mencionadas no art. 1º que não possuam conselho
de administração, as atribuições e responsabilidades previstas nesta Resolução devem ser
imputadas à sua diretoria ou aos seus administradores." (NR)
"Art. 11. As instituições mencionadas no art. 1º devem manter à disposição do
Banco Central do Brasil:
........................................................................................................................." (NR)
Art. 5º A ementa da Resolução BCB nº 85, de 8 de abril de 2021, passa a
vigorar com a seguinte alteração:
"Dispõe sobre a política de segurança cibernética e sobre os requisitos para a
contratação de serviços de processamento e armazenamento de dados e de computação
em nuvem a serem observados pelas instituições de pagamento, pelas sociedades
corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e
valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo
Banco Central do Brasil." (NR)
Art. 6º A Resolução BCB nº 85, de 2021, passa a vigorar com as seguintes
alterações:
"Art. 1º Esta Resolução dispõe sobre a política de segurança cibernética e sobre
os requisitos para a contratação de serviços de processamento e armazenamento de dados
e de computação em nuvem a serem observados pelas instituições de pagamento, pelas
sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de
títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a
funcionar pelo Banco Central do Brasil." (NR)
"Art. 2º As instituições mencionadas no art. 1º devem implementar e manter
política de segurança cibernética formulada com base em princípios e diretrizes que
busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos
sistemas de informação utilizados.
..................................................................................................................................
§ 2º As instituições integrantes de conglomerado prudencial podem adotar
política de segurança cibernética única do conglomerado prudencial, nos termos da
regulamentação em vigor, desde que compatível com o disposto neste Capítulo.
§ 3º As instituições que não constituírem política de segurança cibernética
própria em decorrência do disposto no § 2º devem formalizar a opção por essa faculdade
em reunião do conselho de administração ou, na sua inexistência, da diretoria da
instituição." (NR)
"Art. 3º ....................................................................................................................
I - os objetivos de segurança cibernética da instituição;
II - os procedimentos e os controles adotados para reduzir a vulnerabilidade da
instituição a incidentes e atender aos demais objetivos de segurança cibernética;
..................................................................................................................................
IV - o registro, a análise da causa e do impacto, bem como o controle dos
efeitos de incidentes relevantes para as atividades da instituição;
V - .............................................................................................................................
a) a elaboração de cenários de incidentes considerados nos testes de
continuidade de negócios;
b) a definição de procedimentos e de controles voltados à prevenção e ao
tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a
terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a
condução das atividades operacionais da instituição;
..................................................................................................................................
VI - os mecanismos para disseminação da cultura de segurança cibernética na
instituição, incluindo:
..................................................................................................................................
b) a prestação de informações a clientes e a usuários finais sobre precauções na
utilização de produtos e serviços oferecidos; e
..................................................................................................................................
VII - as iniciativas para compartilhamento de informações sobre os incidentes
relevantes, mencionados no inciso IV, com as instituições mencionadas no art. 1º e com as
demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
§ 1º Na definição dos objetivos de segurança cibernética referidos no inciso I
do caput, deve ser contemplada a capacidade de a instituição prevenir, detectar e reduzir
a vulnerabilidade a incidentes relacionados com o ambiente cibernético.
..................................................................................................................................
§ 3º Os procedimentos e os controles citados no inciso II do caput devem ser
aplicados, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção
de novas tecnologias empregadas nas atividades da instituição.
..................................................................................................................................
§ 5º As diretrizes de que trata a alínea "b" do inciso V do caput devem
contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão
compatíveis com os utilizados pela própria instituição." (NR)
"Art. 4º A política de segurança cibernética deve ser divulgada aos funcionários
da instituição mencionada no art. 1º e às empresas prestadoras de serviços a terceiros,
mediante linguagem clara, acessível e em nível de detalhamento compatível com as
funções desempenhadas e com a sensibilidade das informações." (NR)
"Art. 5º As instituições mencionadas no art. 1º devem divulgar ao público
resumo contendo as linhas gerais da política de segurança cibernética." (NR)
Fechar