DOU 26/01/2024 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152024012600082
82
Nº 19, sexta-feira, 26 de janeiro de 2024
ISSN 1677-7042
Seção 1
"Art. 6º As instituições mencionadas no art. 1º devem estabelecer plano de ação
e de resposta a incidentes visando à implementação da política de segurança cibernética.
........................................................................................................................." (NR)
"Art. 7º As instituições mencionadas no art. 1º devem designar diretor
responsável pela política de segurança cibernética e pela execução do plano de ação e de
resposta a incidentes.
........................................................................................................................." (NR)
"Art. 8º As instituições mencionadas no art. 1º devem elaborar relatório anual
sobre a implementação do plano de ação e de resposta a incidentes, mencionado no art.
6º, com data-base de 31 de dezembro.
§ 1º ..........................................................................................................................
..................................................................................................................................
IV - os resultados dos testes de continuidade de negócios, considerando
cenários de indisponibilidade ocasionada por incidentes.
§ 2º O relatório mencionado no caput deve ser:
I - submetido ao comitê de risco, quando existente; e
II - apresentado ao conselho de administração ou, na sua inexistência, à
diretoria da instituição até 31 de março do ano seguinte ao da data-base." (NR)
"Art. 9º A política de segurança cibernética referida no art. 2º e o plano de
ação e de resposta a incidentes mencionado no art. 6º devem ser aprovados pelo conselho
de administração ou, na sua inexistência, pela diretoria da instituição mencionada no art.
1º." (NR)
"Art. 11. As instituições mencionadas no art. 1º devem assegurar que suas
políticas, estratégias e estruturas para gerenciamento de riscos previstas na
regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à
terceirização de serviços, contemplem a contratação de serviços relevantes de
processamento e armazenamento de dados e de computação em nuvem, no país ou no
exterior." (NR)
"Art. 12. As instituições mencionadas no art. 1º, previamente à contratação de
serviços relevantes de processamento e armazenamento de dados e de computação em
nuvem, devem adotar procedimentos que contemplem:
..................................................................................................................................
II - .............................................................................................................................
..................................................................................................................................
g) a identificação e a segregação dos dados dos clientes e dos usuários finais da
instituição por meio de controles físicos ou lógicos; e
h) a qualidade dos controles de acesso voltados à proteção dos dados e das
informações dos clientes e dos usuários finais da instituição.
........................................................................................................................." (NR)
"Art. 13. Para os fins do disposto nesta Resolução, os serviços de computação
em nuvem abrangem a disponibilidade à instituição contratante, sob demanda e de
maneira virtual, de ao menos um dos seguintes serviços:
........................................................................................................................." (NR)
"Art. 14. A instituição contratante dos serviços mencionados no art. 12 é
responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e
pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação
e da regulamentação em vigor." (NR)
"Art.
15.
A
contratação
de
serviços
relevantes
de
processamento,
armazenamento de dados e de computação em nuvem deve ser comunicada pelas
instituições mencionadas no art. 1º ao Banco Central do Brasil.
........................................................................................................................." (NR)
"Art. 16. ...................................................................................................................
..................................................................................................................................
II - a instituição contratante deve assegurar que a prestação dos serviços
referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à
atuação do Banco Central do Brasil;
III - a instituição contratante deve definir, previamente à contratação, os países
e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser
armazenados, processados e gerenciados; e
IV - a instituição contratante deve prever alternativas para a continuidade dos
negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação
de serviços.
§ 1º No caso de inexistência de convênio nos termos do inciso I do caput, a
instituição contratante deverá solicitar autorização do Banco Central do Brasil para:
..................................................................................................................................
§ 2º Para atendimento aos incisos II e III do caput, as instituições deverão
assegurar que a legislação e a regulamentação nos países e nas regiões em cada país onde
os serviços poderão ser prestados não restringem nem impedem o acesso das instituições
contratantes e do Banco Central do Brasil aos dados e às informações.
........................................................................................................................." (NR)
"Art. 17. ...................................................................................................................
..................................................................................................................................
III - a manutenção, enquanto o contrato estiver vigente, da segregação dos dados
e dos controles de acesso para proteção das informações dos clientes e dos usuários finais;
IV - ............................................................................................................................
a) transferência dos dados citados no inciso I ao novo prestador de serviços ou
à instituição contratante; e
..................................................................................................................................
V - o acesso da instituição contratante a:
..................................................................................................................................
VI - a obrigação de a empresa contratada notificar a instituição contratante
sobre a subcontratação de serviços relevantes para a instituição;
..................................................................................................................................
VIII - a adoção de medidas pela instituição contratante, em decorrência de
determinação do Banco Central do Brasil; e
IX - a obrigação de a empresa contratada manter a instituição contratante
permanentemente informada sobre eventuais limitações que possam afetar a prestação
dos serviços ou o cumprimento da legislação e da regulamentação em vigor.
Parágrafo único. Os contratos mencionados no caput devem prever, para o caso da
decretação de regime de resolução da instituição contratante pelo Banco Central do Brasil:
..................................................................................................................................
II - .............................................................................................................................
..................................................................................................................................
b) a notificação prévia deverá ocorrer também na situação em que a
interrupção for motivada por inadimplência da instituição contratante." (NR)
"Art. 19. As instituições mencionadas no art. 1º devem assegurar que suas
políticas previstas na estrutura de gerenciamento de riscos, nos termos da regulamentação
em vigor, disponham, no tocante à continuidade dos negócios, sobre:
..................................................................................................................................
III - os cenários de incidentes considerados nos testes de continuidade de
negócios de que trata o art. 3º, inciso V, alínea "a"." (NR)
"Art. 20. Os procedimentos adotados pelas instituições mencionadas no art. 1º
para gerenciamento de riscos previstos na regulamentação em vigor devem especificar, no
tocante à continuidade dos negócios:
..................................................................................................................................
III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de
incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que
configurem situação de crise pela instituição mencionada no art. 1º, bem como das
providências para o reinício das suas atividades.
Parágrafo único. As instituições mencionadas no art. 1º devem estabelecer e
documentar os critérios que configurem a situação de crise de que trata o inciso III do caput." (NR)
"Art. 21. As instituições mencionadas no art. 1º devem instituir mecanismos de
acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da
política de segurança cibernética, do plano de ação e de resposta a incidentes e dos
requisitos para contratação de serviços de processamento e armazenamento de dados e de
computação em nuvem, incluindo:
........................................................................................................................." (NR)
"Art. 22. Sem prejuízo do dever de sigilo e da livre concorrência, as instituições
mencionadas no art. 1º devem desenvolver iniciativas para o compartilhamento de
informações sobre os incidentes relevantes de que trata o art. 3º, inciso IV.
........................................................................................................................." (NR)
Art. 7º A ementa da Resolução BCB nº 93, de 6 de maio de 2021, passa a
vigorar com a seguinte alteração:
"Dispõe sobre a atividade de auditoria interna nas administradoras de
consórcio, nas instituições de pagamento, nas sociedades corretoras de títulos e valores
mobiliários, nas sociedades distribuidoras de títulos e valores mobiliários e nas sociedades
corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)
Art. 8º A Resolução BCB nº 93, de 2021, passa a vigorar com as seguintes
alterações:
"Art. 1º Esta Resolução regulamenta a atividade de auditoria interna nas
seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:
I - administradoras de consórcio;
II - instituições de pagamento;
III - sociedades corretoras de títulos e valores mobiliários;
IV - sociedades distribuidoras de títulos e valores mobiliários; e
V - sociedades corretoras de câmbio." (NR)
"Art. 2º As instituições mencionadas no art. 1º devem implementar e manter
atividade de auditoria interna compatível com a natureza, o porte, a complexidade, a
estrutura, o perfil de risco e o modelo de negócio da instituição.
........................................................................................................................." (NR)
"Art. 3º A atividade de auditoria interna deve ser realizada por unidade
específica da instituição mencionada no art. 1º ou de outra instituição autorizada a
funcionar pelo Banco Central do Brasil integrante do mesmo conglomerado prudencial,
diretamente subordinada ao conselho de administração.
§ 1º ..........................................................................................................................
I - por auditor independente
devidamente habilitado, na forma da
regulamentação vigente, para prestar serviços de auditoria independente para instituições
autorizadas a funcionar pelo Banco Central do Brasil, desde que este não seja responsável
pela auditoria das demonstrações financeiras da instituição mencionada no art. 1º ou por
qualquer outra atividade com potencial conflito de interesses;
II - pela auditoria da entidade de classe a que a instituição mencionada no art.
1º seja filiada; ou
III - por auditoria de entidade de classe de outras instituições autorizadas a
funcionar pelo Banco Central do Brasil, mediante convênio, previamente aprovado por essa
autarquia, celebrado entre a entidade a que a instituição mencionada no art. 1º seja filiada
e a entidade prestadora do serviço.
§ 2º O disposto no § 1º não se aplica às instituições mencionadas no art. 1º
que, na forma da regulamentação vigente, estão obrigadas a constituir comitê de
auditoria." (NR)
"Art. 7º As instituições mencionadas no art. 1º devem garantir aos membros da
equipe de auditoria, no desempenho de suas atividades:
........................................................................................................................." (NR)
"Art. 10. O escopo da atividade de auditoria interna deve considerar todas as
funções da instituição mencionada no art. 1º, incluindo as terceirizadas.
........................................................................................................................." (NR)
"Art. 13. As instituições mencionadas no art. 1º devem elaborar e manter
regulamento específico para a atividade de auditoria interna, aprovado pelo conselho de
administração e pelo comitê de auditoria, quando constituído." (NR)
"Art. 17. Os responsáveis pela atividade de auditoria interna das instituições
mencionadas no art. 1º devem elaborar os seguintes documentos:
........................................................................................................................." (NR)
"Art. 19. O conselho de administração é o órgão responsável pela observância,
por parte da instituição mencionada no art. 1º, das normas e procedimentos aplicáveis à
atividade de auditoria interna." (NR)
"Art. 21. Para as instituições mencionadas no art. 1º que não possuam conselho
de administração, as atribuições, competências e requisitos previstos nesta Resolução
devem ser imputados à sua diretoria ou aos seus administradores." (NR)
"Art. 23. As instituições mencionadas no art. 1º devem manter à disposição do
Banco Central do Brasil:
........................................................................................................................." (NR)
Art. 9º A ementa da Resolução BCB nº 155, de 14 de outubro de 2021, passa
a vigorar com a seguinte alteração:
"Dispõe sobre princípios e procedimentos a serem adotados no relacionamento
com clientes e usuários de produtos e de serviços pelas administradoras de consórcio, pelas
instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários,
pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades
corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil." (NR)
Art. 10. A Resolução BCB nº 155, de 2021, passa a vigorar com as seguintes
alterações:
"Art. 1º Esta Resolução dispõe sobre princípios e procedimentos a serem
adotados no relacionamento com clientes e usuários de produtos e de serviços pelas
seguintes instituições autorizadas a funcionar pelo Banco Central do Brasil:
I - administradoras de consórcio;
II - instituições de pagamento;
III - sociedades corretoras de títulos e valores mobiliários;
IV - sociedades distribuidoras de títulos e valores mobiliários; e
V - sociedades corretoras de câmbio.
........................................................................................................................." (NR)
"Art. 2º As instituições mencionadas no art. 1º, no relacionamento com clientes
e usuários de produtos e de serviços, devem conduzir suas atividades com observância de
princípios de ética, responsabilidade, transparência e diligência, propiciando a convergência
de interesses e a consolidação de imagem institucional de credibilidade, segurança e
competência." (NR)
"Art. 4º As instituições mencionadas no art. 1º, na contratação de operações e
na prestação de serviços, devem assegurar:
..................................................................................................................................
V - identificação dos usuários
finais beneficiários de pagamento ou
transferência em demonstrativos e extratos de contas de registro e de pagamento,
inclusive nas situações em que o serviço de pagamento envolver instituições participantes
de diferentes arranjos de pagamento; e
........................................................................................................................." (NR)
"Art. 6º As instituições mencionadas no art. 1º devem elaborar e implementar
política institucional de relacionamento com clientes e usuários que consolide diretrizes,
objetivos estratégicos e valores organizacionais, de forma a nortear a condução de suas
atividades em conformidade com o disposto no art. 2º.
..................................................................................................................................
§ 3º As instituições mencionadas no art. 1º que não constituírem política
própria em decorrência da faculdade prevista no § 2º devem formalizar a decisão em
reunião do conselho de administração ou da diretoria.
........................................................................................................................." (NR)
"Art. 7º As instituições mencionadas no art. 1º devem assegurar a consistência
de rotinas e de procedimentos operacionais afetos ao relacionamento com clientes e
usuários, bem como sua adequação à política institucional de relacionamento de que trata
o art. 6º, inclusive quanto aos seguintes aspectos:
..................................................................................................................................
Fechar