Recentemente as mídias escritas, faladas e digitais comentaram muito sobre um facilitador que, por motivos diversos, não conseguiu efetuar o pagamento aos seus associados lojistas. Isto realmente é algo preocupante, mas estas funções e responsabilidades estão devidamente documentadas nas regulamentações do Banco Central. Pensando nisto, resolvi estudar um pouco mais estas regulamentações e observei algo muito interessante quando se pensa em segurança das informações que são manuseadas pelas diversas instituições participantes dos arranjos de pagamento.
Vejam só, a CIRCULAR Nº 3.681, DE 4 DE NOVEMBRO DE 2013, dispõe sobre o gerenciamento de riscos, os requerimentos mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor e da liquidez dos saldos em contas de pagamento.
Esta circular no artigo 2º define que risco operacional é a possibilidade de ocorrência de perdas resultantes de diversos eventos tais como:
- Falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;
- Falhas na identificação e autenticação do usuário final;
- Ocorrências que acarretem a interrupção das atividades da instituição de pagamento ou a descontinuidade dos serviços de pagamento prestados;
- Falhas em sistemas de tecnologia da informação; e
- Falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento;
Pois bem, estas definições são melhor explicadas no CAPÍTULO III DO RISCO OPERACIONAL que no Art. 4º define que a estrutura de gerenciamento de riscos deve prever, no que tange ao risco operacional, alguns requisitos mínimos, dentre eles:
- Procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;
- Monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito;
- Elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;
- Realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;
- Segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;
- Identificação adequada do usuário final;
- Mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento.
Isto demonstra que estão bem explicitas as preocupações com segurança, autenticação, controle de acesso e segregação de acessos e funções o que representa uma grande evolução perante as normativas existentes até então sendo que, muitas das funções ao contrário do que se pensa podem e são automatizadas resultando em uma menor possibilidade de erros. Além disto, a partir de uma resolução podemos ter as devidas sanções caso os participantes dos arranjos de pagamento não sigam estas normativas.
A mesma circular também menciona que caso as instituições de pagamento terceirizem as funções relacionadas à segurança dos serviços oferecidos, o respectivo contrato de prestação de serviços deve estipular que o contratado deverá atender ao disposto na circular.
Resumindo, a preocupação com segurança da informação é um item importante na concepção das normativas que regem o sistema financeiro nacional e devemos estar sempre atentos a estas mudanças. Aqui neste texto mencionei alguns itens desta circular porém, ela é mais abrangente e complementa a lei 12.865. Em nossos próximos encontros irei comentar pontualmente mais alguns tópicos que sejam de interesse da segurança da informação.