BeyondTrust
Skip to content
  • Skip to content
Entre em contato com vendas

What can we help you with?

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
Entre em contato conosco Bate-papo com vendas Acesse suporte

BACEN e Risco Operacional

dezembro 8, 2017

Recentemente as mídias escritas, faladas e digitais comentaram muito sobre um facilitador que, por motivos diversos, não conseguiu efetuar o pagamento aos seus associados lojistas. Isto realmente é algo preocupante, mas estas funções e responsabilidades estão devidamente documentadas nas regulamentações do Banco Central. Pensando nisto, resolvi estudar um pouco mais estas regulamentações e observei algo muito interessante quando se pensa em segurança das informações que são manuseadas pelas diversas instituições participantes dos arranjos de pagamento.

Vejam só, a CIRCULAR Nº 3.681, DE 4 DE NOVEMBRO DE 2013, dispõe sobre o gerenciamento de riscos, os requerimentos mínimos de patrimônio, a governança de instituições de pagamento, a preservação do valor e da liquidez dos saldos em contas de pagamento.

Esta circular no artigo 2º define que risco operacional é a possibilidade de ocorrência de perdas resultantes de diversos eventos tais como:

  • Falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;
  • Falhas na identificação e autenticação do usuário final;
  • Ocorrências que acarretem a interrupção das atividades da instituição de pagamento ou a descontinuidade dos serviços de pagamento prestados;
  • Falhas em sistemas de tecnologia da informação; e
  • Falhas na execução, cumprimento de prazos e gerenciamento das atividades envolvidas em arranjos de pagamento;

Pois bem, estas definições são melhor explicadas no CAPÍTULO III DO RISCO OPERACIONAL que no Art. 4º define que a estrutura de gerenciamento de riscos deve prever, no que tange ao risco operacional, alguns requisitos mínimos, dentre eles:

  • Procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;
  • Monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito;
  • Elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;
  • Realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;
  • Segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;
  • Identificação adequada do usuário final;
  • Mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento.

Isto demonstra que estão bem explicitas as preocupações com segurança, autenticação, controle de acesso e segregação de acessos e funções o que representa uma grande evolução perante as normativas existentes até então sendo que, muitas das funções ao contrário do que se pensa podem e são automatizadas resultando em uma menor possibilidade de erros. Além disto, a partir de uma resolução podemos ter as devidas sanções caso os participantes dos arranjos de pagamento não sigam estas normativas.

A mesma circular também menciona que caso as instituições de pagamento terceirizem as funções relacionadas à segurança dos serviços oferecidos, o respectivo contrato de prestação de serviços deve estipular que o contratado deverá atender ao disposto na circular.

Resumindo, a preocupação com segurança da informação é um item importante na concepção das normativas que regem o sistema financeiro nacional e devemos estar sempre atentos a estas mudanças. Aqui neste texto mencionei alguns itens desta circular porém, ela é mais abrangente e complementa a lei 12.865. Em nossos próximos encontros irei comentar pontualmente mais alguns tópicos que sejam de interesse da segurança da informação.

Fique atualizado

Acesse as novidades, ideias e táticas mais recentes da BeyondTrust. Você pode cancelar o registro a qualquer momento.

Concordo em receber comunicações sobre os produtos da BeyondTrust conforme está detalhado na Política de privacidade de BeyondTrust,e posso gerenciar minhas preferências ou retirar meu consentimento a qualquer momento.

Up next

From 8 dezembro, 2017:
O que é Cyber threat Intelligence?
From 5 janeiro, 2018:
Previsões de segurança cibernética para 2018 (+ Previsões para cinco anos também!)

You May Also Be Interested In:

Relatório BeyondTrust de Vulnerabilidades Microsoft 2022

Whitepapers

Relatório BeyondTrust de Vulnerabilidades Microsoft 2022

Guia do Comprador: Gerenciamento de Acessos Privilegiados (PAM)

Whitepapers

Guia do Comprador: Gerenciamento de Acessos Privilegiados (PAM)

Cinco Motivos para usar o Remote Support

Whitepapers

Cinco Motivos para usar o Remote Support

Fique atualizado

Concordo em receber comunicações sobre os produtos da BeyondTrust conforme está detalhado na Política de privacidade de BeyondTrust,e posso gerenciar minhas preferências ou retirar meu consentimento a qualquer momento.

  • LinkedIn
  • Twitter
  • Facebook
  • Instagram
Suporte ao cliente Entre em contato com vendas
  • Privacidade
  • Security
  • Gerenciar configurações de cookies
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.