BACEN e Risco Operacional

Henrique Takaki
December 8th, 2017

Recentemente as mídias escritas, faladas e digitais comentaram muito sobre um facilitador que, por motivos diversos, não conseguiu efetuar o pagamento aos seus associados lojistas. Isto realmente é algo preocupante, mas estas funções e responsabilidades estão devidamente documentadas nas regulamentações do Banco Central. Pensando nisto, resolvi estudar um pouco mais estas regulamentações e observei algo muito interessante quando se pensa em segurança das informações que são manuseadas pelas diversas instituições participantes dos arranjos de pagamento.

Vejam só, a CIRCULAR Nº 3.681, DE 4 DE NOVEMBRO DE 2013, dispõe sobre o gerenciamento de riscos, os requerimentos mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor e da liquidez dos saldos em contas de pagamento.

Esta circular no artigo 2º define que risco operacional é a possibilidade de ocorrência de perdas resultantes de diversos eventos tais como:

  • Falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;
  • Falhas na identificação e autenticação do usuário final;
  • Ocorrências que acarretem a interrupção das atividades da instituição de pagamento ou a descontinuidade dos serviços de pagamento prestados;
  • Falhas em sistemas de tecnologia da informação; e
  • Falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento;

Pois bem, estas definições são melhor explicadas no CAPÍTULO III DO RISCO OPERACIONAL que no Art. 4º define que a estrutura de gerenciamento de riscos deve prever, no que tange ao risco operacional, alguns requisitos mínimos, dentre eles:

  • Procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;
  • Monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito;
  • Elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;
  • Realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;
  • Segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;
  • Identificação adequada do usuário final;
  • Mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento.

Isto demonstra que estão bem explicitas as preocupações com segurança, autenticação, controle de acesso e segregação de acessos e funções o que representa uma grande evolução perante as normativas existentes até então sendo que, muitas das funções ao contrário do que se pensa podem e são automatizadas resultando em uma menor possibilidade de erros. Além disto, a partir de uma resolução podemos ter as devidas sanções caso os participantes dos arranjos de pagamento não sigam estas normativas.

A mesma circular também menciona que caso as instituições de pagamento terceirizem as funções relacionadas à segurança dos serviços oferecidos, o respectivo contrato de prestação de serviços deve estipular que o contratado deverá atender ao disposto na circular.

Resumindo, a preocupação com segurança da informação é um item importante na concepção das normativas que regem o sistema financeiro nacional e devemos estar sempre atentos a estas mudanças. Aqui neste texto mencionei alguns itens desta circular porém, ela é mais abrangente e complementa a lei 12.865. Em nossos próximos encontros irei comentar pontualmente mais alguns tópicos que sejam de interesse da segurança da informação.

Reconhecida como líder em gestão de contas privilegiadas, a BeyondTrust pode ajudar sua empresa a reduzir riscos de violação de informações críticas, além de cumprir com os requerimentos de compliance. Baixe nosso White Paper e saiba como gerenciar as contas privilegiadas por meio de 7 passos.

Henrique Takaki

Henrique Takaki é especialista em segurança da informação e prevenção a fraudes, tendo construído uma carreira sólida em empresas nacionais e multinacionais. Possui ampla experiência em projetos de captura de transações de cartões, e foi responsável pela busca de inovações tecnológicas que atendam aos processos de negócios, prevenção a fraudes, sistemas e infraestrutura, influenciando as transformações e processos das organizações e melhorando as taxas de conversão das transações com cartões. É reconhecido pela indústria de cartões como referência em prevenção a fraudes, inovação e segurança da informação, bem como pela gestão de comitês multidisciplinares compostos por empresas concorrentes na ABECS, FEBRABAN e no Board do PCI Council.