Empréstimo Consignado

Marginália Federal – Empréstimo Consignado – Res. INSS 656, de 04.09.18

RESOLUÇÃO Nº 656, DE 4 DE SETEMBRO DE 2018

Altera dispositivos da Resolução nº 321/PRES/INSS, de 11 de julho de 2013.

FUNDAMENTAÇÃO LEGAL: Lei nº 10.820, de 17 de dezembro de 2003; Decreto nº 9.104, de 24 de julho de 2017; e Instrução Normativa INSS/PRES n° 28, de 16 de maio de 2008.

O PRESIDENTE DO INSTITUTO NACIONAL DO SEGURO SOCIAL – INSS, no uso das atribuições que lhe confere o Decreto nº 9.104, de 24 de julho de 2017, e considerando:

a. a necessidade de uniformizar procedimentos relativos aos empréstimos consignados em benefícios previdenciários, previstos pela Lei nº 10.820, de 17 de dezembro de 2003; e

b. o cumprimento da Ação Civil Pública nº 2008.39.00.003206-2, promovida pelo Ministério Público Federal do Pará – MPF/PA, resolve:

Art. 1º Fica alterada a Resolução nº 321/PRES/INSS, de 11 de julho de 2013, publicada no Diário Oficial da União n° 133, de 12 de julho de 2013, Seção 1, pág. 165, que passa a vigorar com a seguinte redação:

“Art. 2º Realizada a reclamação pertinente, alegando o titular do benefício que não autorizou a consignação/retenção na forma do Anexo desta Resolução, serão suspensos os descontos relativos ao contrato, permanecendo bloqueada a margem consignada até o final da apuração da reclamação. (NR)

Parágrafo único. A apuração deverá ser concluída no prazo de 180 (cento e oitenta) dias, prorrogável por igual período, mediante justificativa.”

Art. 2º O Anexo desta Resolução substitui o Anexo da Resolução nº 321/PRES/INSS, de 2013, e será disponibilizado no Portal do INSS, sendo que suas alterações e posteriores atualizações serão objeto de Despacho Decisório por parte do Diretor de Benefícios.

Art. 3º Esta Resolução entra em vigor na data de sua publicação.

EDISON ANTONIO COSTA BRITTO GARCIA

Este conteúdo não substitui o publicado na versão certificada (pdf).
Anúncios

Óleo Diesel

Marginália Federal – Óleo Diesel – Res. ANP 743, de 27.08.18

RESOLUÇÃO Nº 743, DE 27 DE AGOSTO DE 2018

Regulamenta a metodologia de cálculo do preço de referência para a concessão de subvenção econômica à comercialização de óleo diesel para os períodos descritos no Decreto n° 9.454, de 1º de agosto de 2018.

O DIRETOR-GERAL DA AGÊNCIA NACIONAL DO PETRÓLEO, GÁS NATURAL E BIOCOMBUSTÍVEIS – ANP, no exercício das atribuições conferidas pelo art. 6º do Regimento Interno e pelo art. 7 ° do Decreto n° 2.455, de 14 de janeiro de 1998, tendo em vista o disposto na Lei nº 9.478, de 6 de agosto de 1997, considerando o que consta do processo n° 48610.008368/2018-00, ad referendum da Diretoria Colegiada, resolve:

Art. 1º Fica estabelecida a fórmula de cálculo do preço de referência para a concessão de subvenção econômica à comercialização de óleo diesel:

PR(d)b= [(Cotação Argus Delivery South America ULSD ex – RVO (d – 2)b* Txcâmbio (d – 2)] / 1000 + FRdb+ CTerb

Onde:

PR(d)b: preço de referência calculado para o dia “d”, para a região “b”, à vista e sem tributos, em R$/litro com quatro casas decimais;

Cotação Argus Delivery South America ULSD ex – RVO (d – 2)b: cotação do indicador Argus construído a partir do preço fob do diesel rodoviário no Golfo Americano adicionado dos custos de frete, demurrage, perdas, seguros e imposto da marinha mercante quando aplicável, em USD/m³, para a região “b” conforme Tabela I, no dia “d-2 conforme Tabela II;

FRdb: Parcela fixa equivalente ao custo estimado de frete rodoviário, em R$/litro, para a região “b” conforme Tabela I;

CTerb: Parcela fixa equivalente ao custo estimado de armazenamento e movimentação no terminal, em R$/litro, para a região “b” conforme Tabela I;

Região (b)

Argus Delivery South America ULSD

ex – RVO (d – 2)

FRdb

CTerb

Norte (-TO)

Itaqui

0,0062

0,0367

Nordeste (+TO)

50% Itaqui + 50% Suape

0,0195

0,0511

Sudeste

Santos

0,0418

0,0629

Centro-Oeste

Santos

0,1235

0,0629

Sul

Paranagua

0,0430

0,0413

Tabela I – Cotação Argus e custos fixos de frete rodoviário e terminal por região.

Txcâmbio (d – 2) : cotação de venda do dólar norte-americano, publicada pelo Banco Central do Brasil, no dia “d-2”.

Dia (d)

Dia (d-2)

segunda-feira

quinta-feira

terça-feira

sexta-feira

quarta-feira

segunda-feira

quinta-feira

terça-feira

sexta-feira

quarta-feira

sábado

quinta-feira

domingo

quinta-feira

Tabela II – Relação entre o dia (d) e dia (d-2) para cálculo do PR.

Art. 2º. Esta Resolução entra em vigor no dia 31 de agosto de 2018.

DÉCIO FABRICIO ODDONE DA COSTA

Este conteúdo não substitui o publicado na versão certificada (pdf).

Pedágio

Legislação Federal – Pedágio – Lei 13711, de 24.08.18

LEI Nº 13.711, DE 24 DE AGOSTO DE 2018

Altera a Lei nº 13.103, de 2 de março de 2015, para prever isenção, em todo o território nacional, da cobrança de pedágio sobre eixos suspensos de veículos de transporte de cargas que circularem vazios nas vias terrestres federais, estaduais, distritais e municipais.

O P R E S I D E N T E D A R E P Ú B L I C A

Faço saber que o Congresso Nacional decreta e eu sanciono a seguinte Lei:

Art. 1º O art. 17 da Lei nº 13.103, de 2 de março de 2015, passa a vigorar com a seguinte redação:

“Art. 17. Em todo o território nacional, os veículos de transporte de cargas que circularem vazios ficarão isentos da cobrança de pedágio sobre os eixos que mantiverem suspensos.

§ 1º O disposto nocaputdeste artigo abrange as vias terrestres federais, estaduais, distritais e municipais, inclusive as concedidas.

§ 2º Os órgãos e as entidades competentes da União, dos Estados, do Distrito Federal e dos Municípios disporão sobre as medidas técnicas e operacionais para viabilizar a isenção de que trata ocaputdeste artigo.

§ 3º Até a implementação das medidas a que se refere o § 2º deste artigo, considerar-se-ão vazios os veículos de transporte de carga que transpuserem as praças de pedágio com um ou mais eixos mantidos suspensos, assegurada a fiscalização dessa condição pela autoridade com circunscrição sobre a via ou pelo agente designado na forma prevista no § 4º do art. 280 da Lei nº 9.503, de 23 de setembro de 1997 (Código de Trânsito Brasileiro).

§ 4º Para as vias rodoviárias federais concedidas ou delegadas, será adotada a regulamentação da Agência Nacional de Transportes Terrestres (ANTT).

§ 5º Ficam sujeitos à penalidade prevista no art. 209 da Lei nº 9.503, de 23 de setembro de 1997 (Código de Trânsito Brasileiro), os veículos de transporte de cargas que circularem com eixos indevidamente suspensos.

§ 6º O aumento do valor do pedágio para os usuários da rodovia a fim de compensar a isenção de que trata ocaputdeste artigo somente será adotado após esgotadas as demais alternativas de reequilíbrio econômico-financeiro dos contratos.” (NR)

Art. 2º Esta Lei entra em vigor na data de sua publicação.

Brasília, 24 de agosto de 2018; 197oda Independência e 130oda República.

MICHEL TEMER

Torquato Jardim

Herbert Drummond

Esteves Pedro Colnago Junior

Eliseu Padilha

Este conteúdo não substitui o publicado na versão certificada (pdf).

e-Social

Marginália Federal – e-Social – Circular CEF 819, de 20.08.18

CIRCULAR N° 819, DE 20 DE AGOSTO DE 2018

Aprova e divulga alteração no cronograma de implantação do eSocial.

A Caixa Econômica Federal CAIXA, na qualidade de Agente Operador do Fundo de Garantia do Tempo de Serviço FGTS, no uso das atribuições que lhe são conferidas pelo artigo 7º, inciso II, da Lei nº 8.036/90, e de acordo com o Regulamento Consolidado do FGTS, aprovado pelo Decreto nº 99.684/90, alterado pelo Decreto nº 1.522/95, em consonância com a Lei nº 9.012/95, e com o Decreto n 8.373/14, em especial ao que estabelece o seu 1º do Art. 2º e Art. 8º, publica a presente Circular.

1 Referentes aos eventos aplicáveis ao FGTS, declara aprovado e divulga as alterações do cronograma de implantação trazidas pela Resolução do Comitê Diretivo do eSocial nº 04, de 04/07/2018, publicada no DOU em 11/07/2018, ao disposto na Resolução do Comitê Diretivo do eSocial nº 02, de 30 de agosto de 2016, publicado no DOU em 31/08/2016, que dispõe sobre o Sistema de Escrituração das Obrigações Fiscais, Previdenciárias e Trabalhistas (eSocial), aprovada pela Circular CAIXA nº 802, de 28/02/2018, publicada no DOU em 05/03/2018, definindo novas fases no cronograma e prazos para transmissão dos eventos que observará o descrito abaixo e demais detalhamentos de enquadramentos contidos naquela resolução: 1.1 Em julho de 2018, para o 2º grupo, que compreende os demais empregadores e contribuintes, exceto os previstos nos incisos III e IV; 1.2 Em janeiro de 2019, para o 3º grupo, que compreende os entes públicos, integrantes do “Grupo 1 – Administração Pública” do anexo V da Instrução Normativa RFB nº 1.634, de 2016; e 1.3 Em janeiro de 2019, para o 4º grupo, que compreende o Segurado Especial e o pequeno produtor rural pessoa física. 1.4 A obrigação de utilizar o eSocial a partir de janeiro de 2019, para o 4º grupo, nos termos do inciso IV do caput, deve ser cumprida de forma progressiva, conforme cronograma a seguir: 1.4.1 As informações constantes dos eventos de tabela S-1000 a S-1080 do leiaute do eSocial, aprovado pelo Comitê Gestor do eSocial, deverão ser enviadas a partir de 8 (oito) horas do dia 14 de janeiro de 2019 e atualizadas desde então; 1.4.2 As informações constantes dos eventos não periódicos S-2190 a S-2400 do leiaute do eSocial, aprovado pelo Comitê Gestor do eSocial, deverão ser enviadas a partir de 8 (oito) horas do dia 1º de março de 2019, conforme previsto no Manual de Orientação do eSocial (MOS); e 1.4.3 As informações constantes dos eventos periódicos S-1200 a S-1300 do leiaute do eSocial, aprovado pelo Comitê Gestor do eSocial, deverão ser enviadas a partir de 8 (oito) horas do dia 1º de maio de 2019, referentes a fatos ocorridos a partir dessa data.” (NR) 1.5 O tratamento diferenciado, simplificado e favorecido dispensado às microempresas e empresas de pequeno porte, ao Microempreendedor Individual (MEI) que contrata empregado, ao segurado especial a que se refere o inciso VII do art. 12 da Lei nº 8.212, de 24 de julho de 1991, e ao pequeno produtor rural pessoa física, contempla as seguintes definições, além de outras que venham a ser estabelecidas em atos específicos: 1.5.1 A microempresa, a empresa de pequeno porte e o microempreendedor individual (MEI) poderão optar pelo envio de informações relativas aos eventos previstos nos incisos I e II do 6º do art. 2º, de forma cumulativa com as relativas aos eventos previstos no inciso III do mesmo parágrafo; e 1.5.2 O segurado especial e o pequeno produtor rural pessoa física poderão optar pelo envio de informações relativas aos eventos previstos nos incisos I e II do 8º do art. 2º, de forma cumulativa com as relativas aos eventos previstos no inciso III do mesmo parágrafo. ” (NR).

2. Fica revogado parcialmente o item 5 da Circular CAIXA 802, de 28 de fevereiro de 2018, publicada no DOU de 05/03/2018, no que concerne à revogação da Circular CAIXA 761, de 12 de abril de 2017.

3 Esta Circular CAIXA entra em vigor na data de sua publicação.

Valter Gonçalves Nunes

Vice-Presidente Interino

Este conteúdo não substitui o publicado na versão certificada (pdf).

Segurança Cibernética

Marginália Federal – Segurança Cibernética – Circular BC 3909, de 16.08.18

CIRCULAR Nº 3.909, DE 16 DE AGOSTO DE 2018

Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.

A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 15 de agosto de 2018, com base nos arts. 9º, 10 e 15 da Lei nº 12.865, de 9 de outubro de 2013, e tendo em vista o art. 14 da Resolução nº 4.282, de 4 de novembro de 2013, resolve:

CAPÍTULO I

DO OBJETO E DO ÂMBITO DE APLICAÇÃO

Art. 1º Esta Circular dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.

CAPÍTULO II

DA POLÍTICA DE SEGURANÇA CIBERNÉTICA

Seção I

Da Implementação da Política de Segurança Cibernética

Art. 2º As instituições de pagamento devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

§ 1º A política mencionada no caput deve ser compatível com:

I – o porte, o perfil de risco e o modelo de negócio da instituição;

II – a natureza das atividades da instituição e a complexidade dos produtos e serviços oferecidos; e

III – a sensibilidade dos dados e das informações sob responsabilidade da instituição.

§ 2º Admite-se que as instituições de pagamento integrantes de conglomerado prudencial adotem política de segurança cibernética única do conglomerado prudencial, nos termos da regulamentação em vigor, desde que compatível com o disposto neste Capítulo.

§ 3º As instituições de pagamento que não constituírem política de segurança cibernética própria em decorrência do disposto no § 2º devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição.

Art. 3º A política de segurança cibernética deve contemplar, no mínimo:

I – os objetivos de segurança cibernética da instituição de pagamento;

II – os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição de pagamento a incidentes e atender aos demais objetivos de segurança cibernética;

III – os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;

IV – o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição de pagamento;

V – as diretrizes para:

a) a elaboração de cenários de incidentes considerados nos testes de continuidade dos serviços de pagamento prestados;

b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição de pagamento;

c) a classificação dos dados e das informações quanto à relevância; e

d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;

VI – os mecanismos para disseminação da cultura de segurança cibernética na instituição de pagamento, incluindo:

a) a implementação de programas de capacitação e de avaliação periódica de pessoal;

b) a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e

c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética; e

VII – as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com instituições de pagamento, instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

§ 1º Na definição dos objetivos de segurança cibernética referidos no inciso I do caput, deve ser contemplada a capacidade da instituição de pagamento para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

§ 2º Os procedimentos e os controles de que trata o inciso II do caput devem abranger a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.

§ 3º Os procedimentos e os controles citados no inciso II do caput devem ser aplicados, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da instituição de pagamento.

§ 4º O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes, citados no inciso IV do caput, devem abranger inclusive informações recebidas de empresas prestadoras de serviços a terceiros.

§ 5º As diretrizes de que trata o inciso V, alínea “b”, do caput devem contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela própria instituição de pagamento.

Seção II

Da Divulgação da Política de Segurança Cibernética

Art. 4º A política de segurança cibernética deve ser divulgada aos funcionários da instituição de pagamento e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

Art. 5º As instituições de pagamento devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

Seção III

Do Plano de Ação e de Resposta a Incidentes

Art. 6º As instituições de pagamento devem estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética.

Parágrafo único. O plano mencionado no caput deve abranger, no mínimo:

I – as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;

II – as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética; e

III – a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Art. 7º As instituições de pagamento devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na instituição, desde que não haja conflito de interesses.

Art. 8º As instituições de pagamento devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, mencionado no art. 6º, com data-base de 31 de dezembro.

§ 1º O relatório de que trata o caput deve abordar, no mínimo:

I – a efetividade da implementação das ações descritas no art. 6º, parágrafo único, inciso I;

II – o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes descritos no art. 6º, parágrafo único, inciso II;

III – os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e

IV – os resultados dos testes de continuidade dos serviços de pagamento prestados, considerando cenários de indisponibilidade ocasionada por incidentes.

§ 2º O relatório mencionado no caput deve ser apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base.

Art. 9º A política de segurança cibernética referida no art. 2º e o plano de ação e de resposta a incidentes mencionado no art. 6º devem ser aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição de pagamento.

Art. 10. A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser documentados e revisados, no mínimo, anualmente.

CAPÍTULO III

DA CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM

Art. 11. As instituições de pagamento devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.

Art. 12. As instituições de pagamento, previamente à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, devem adotar procedimentos que contemplem:

I – a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas; e

II – a verificação da capacidade do potencial prestador de serviço de assegurar:

a) o cumprimento da legislação e da regulamentação em vigor;

b) o acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;

c) a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;

d) a sua aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado;

e) o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;

f) o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

g) a identificação e a segregação dos dados dos usuários finais da instituição por meio de controles físicos ou lógicos; e

h) a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos usuários finais da instituição.

§ 1º Na avaliação da relevância do serviço a ser contratado, mencionada no inciso I do caput, a instituição contratante deve considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado, levando em conta, inclusive, a classificação realizada nos termos do art. 3º, inciso V, alínea “c”.

§ 2º Os procedimentos de que trata o caput, inclusive as informações relativas à verificação mencionada no inciso II, devem ser documentados.

§ 3º No caso da execução de aplicativos por meio da internet, referidos no art. 13, inciso III, a instituição deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

§ 4º A instituição deve possuir recursos e competências necessários para a adequada gestão dos serviços a serem contratados, inclusive para análise de informações e uso dos recursos providos nos termos da alínea “f” do inciso II do caput.

Art. 13. Para os fins do disposto nesta Circular, os serviços de computação em nuvem abrangem a disponibilidade à instituição de pagamento contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

I – processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;

II – implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou

III – execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.

Art. 14. A instituição de pagamento contratante dos serviços mencionados no art. 12 é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.

Art. 15. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser previamente comunicada pelas instituições de pagamento ao Banco Central do Brasil.

§ 1º A comunicação de que trata o caput deve conter as seguintes informações:

I – a denominação da empresa a ser contratada;

II – os serviços relevantes a serem contratados; e

III – a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados, definida nos termos do inciso III do art. 16, no caso de contratação no exterior.

§ 2º A comunicação de que trata o caput deve ser realizada, no mínimo, sessenta dias antes da contratação dos serviços.

§ 3º As alterações contratuais que impliquem modificação das informações de que trata o § 1º devem ser comunicadas ao Banco Central do Brasil, no mínimo, sessenta dias antes da alteração contratual.

§ 4º A comunicação de que trata o caput poderá ser realizada em prazo inferior ao disposto nos §§ 2º e 3º em casos excepcionais, para garantir o regular funcionamento da instituição de pagamento e desde que acompanhada de justificativa fundamentada.

Art. 16. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior deve observar os seguintes requisitos:

I – a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados;

II – a instituição de pagamento contratante deve assegurar que a prestação dos serviços referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;

III – a instituição de pagamento contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e

IV – a instituição de pagamento contratante deve prever alternativas para a continuidade dos serviços de pagamento prestados, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.

§ 1º No caso de inexistência de convênio nos termos do inciso I do caput, a instituição de pagamento contratante deverá solicitar autorização do Banco Central do Brasil para a contratação, observando o prazo e as informações requeridas nos termos do art. 15 desta Circular.

§ 2º Para atendimento aos incisos II e III do caput, as instituições deverão assegurar que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso das instituições de pagamento contratantes e do Banco Central do Brasil aos dados e às informações.

§ 3º A comprovação do atendimento aos requisitos de que tratam os incisos I a IV do caput e o cumprimento da exigência de que trata o § 2º devem ser documentados.

Art. 17. Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:

I – a indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;

II – a adoção de medidas de segurança para a transmissão e armazenamento dos dados citados no inciso I;

III – a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos usuários finais;

IV – a obrigatoriedade, em caso de extinção do contrato, de:

a) transferência dos dados citados no inciso I ao novo prestador de serviços ou à instituição de pagamento contratante; e

b) exclusão dos dados citados no inciso I pela empresa contratada substituída, após a transferência dos dados prevista na alínea “a” e a confirmação da integridade e da disponibilidade dos dados recebidos;

V – o acesso da instituição de pagamento contratante a:

a) informações fornecidas pela empresa contratada, visando a verificar o cumprimento do disposto nos incisos I a III;

b) informações relativas às certificações e aos relatórios de auditoria especializada, citados no art. 12, inciso II, alíneas “d” e “e”; e

c) informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados, citados no art. 12, inciso II, alínea “f”;

VI – a obrigação de a empresa contratada notificar a instituição de pagamento contratante sobre a subcontratação de serviços relevantes para a instituição;

VII – a permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações;

VIII – a adoção de medidas pela instituição de pagamento contratante, em decorrência de determinação do Banco Central do Brasil; e

IX – a obrigação de a empresa contratada manter a instituição de pagamento contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

Parágrafo único. O contrato mencionado no caput deve prever, para o caso da decretação de regime de resolução da instituição de pagamento contratante pelo Banco Central do Brasil:

I – a obrigação de a empresa contratada conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso, citados no inciso VII do caput, que estejam em poder da empresa contratada; e

II – a obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção de a empresa contratada interromper a prestação de serviços, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:

a) a empresa contratada obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e

b) a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da instituição de pagamento contratante.

Art. 18. O disposto nos arts. 11 a 17 não se aplica à contratação de sistemas operados por câmaras, por prestadores de serviços de compensação e de liquidação ou por entidades que exerçam atividades de registro ou de depósito centralizado.

CAPÍTULO IV

DISPOSIÇÕES GERAIS

Art. 19. As instituições de pagamento devem assegurar que suas políticas previstas na estrutura de gerenciamento de riscos, nos termos da regulamentação em vigor, disponham, no tocante à continuidade dos serviços de pagamento prestados, sobre:

I – o tratamento dos incidentes relevantes relacionados com o ambiente cibernético de que trata o art. 3º, inciso IV;

II – os procedimentos a serem seguidos no caso da interrupção de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada e o reestabelecimento da operação normal da instituição; e

III – os cenários de incidentes considerados nos testes de continuidade de serviços de pagamento prestados de que trata o art. 3º, inciso V, alínea “a”.

Art. 20. Os procedimentos adotados pelas instituições de pagamento para gerenciamento de riscos previstos na regulamentação em vigor devem contemplar, no tocante à continuidade dos serviços de pagamento prestados:

I – o tratamento previsto para mitigar os efeitos dos incidentes relevantes de que trata o art. 3º, inciso IV, e da interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados;

II – o prazo estipulado para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos, citados no inciso I; e

III – a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem uma situação de crise pela instituição de pagamento, bem como das providências para o reinício das suas atividades.

Art. 21. As instituições de pagamento devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo:

I – a definição de processos, testes e trilhas de auditoria;

II – a definição de métricas e indicadores adequados; e

III – a identificação e a correção de eventuais deficiências.

§ 1º As notificações recebidas sobre a subcontratação de serviços relevantes descritas no art. 17, inciso VI, devem ser consideradas na definição dos mecanismos de que trata o caput.

§ 2º Os mecanismos de que trata o caput devem ser submetidos a testes periódicos pela auditoria interna compatíveis com os controles internos da instituição.

Art. 22. Sem prejuízo do dever de sigilo e da livre concorrência, as instituições de pagamento devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes de que trata o art. 3º, inciso IV.

§ 1º O compartilhamento de que trata o caput deve abranger informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a terceiros.

§ 2º As informações compartilhadas devem estar disponíveis ao Banco Central do Brasil.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 23. Devem ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos:

I – o documento relativo à política de segurança cibernética, de que trata o art. 2º;

II – a ata de reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição, no caso de ser formalizada a opção de que trata o art. 2º, § 2º;

III – o documento relativo ao plano de ação e de resposta a incidentes, de que trata o art. 6º;

IV – o relatório anual, de que trata o art. 8º;

V – a documentação sobre os procedimentos de que trata o art. 12, § 2º;

VI – a documentação de que trata o art. 16, § 3º, no caso de serviços prestados no exterior;

VII – os contratos de que trata o art. 17, contado o prazo referido no caput a partir da extinção do contrato; e

VIII – os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle de que trata o art. 21, contado o prazo referido no caput a partir da implementação dos citados mecanismos.

Art. 24. As instituições de pagamento que, na data de entrada em vigor desta Circular, já tiverem contratado a prestação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem devem apresentar ao Banco Central do Brasil, no prazo máximo de noventa dias, contados a partir da data de entrada em vigor desta Circular, cronograma para adequação:

I – ao cumprimento do disposto no art. 16, incisos I, II, IV e § 2º, no caso de serviços prestados no exterior; e

II – ao disposto nos arts. 15, § 1º, e 17.

Parágrafo único. O prazo previsto no cronograma para adequação mencionado no caput não pode ultrapassar 31 de dezembro de 2021.

Art. 25. A aprovação da política de segurança cibernética e do plano de ação e de resposta a incidentes, referida no art. 9º, deve ser realizada até noventa dias contados da data de entrada em vigor desta Circular.

Art. 26. O Banco Central do Brasil poderá vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto nesta Circular, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços e dos contratos correspondentes.

Art. 27. A Circular nº 3.681, de 4 de novembro de 2013, passa a vigorar com as seguintes alterações:

“Art. 2º ………………………………………………………………………..

I – ………………………………………………………………………………

……………………………………………………………………………………..

j) falhas em sistemas, processos ou infraestrutura de tecnologia da informação; e

…………………………………………………………………………..” (NR)

“Art. 3º ……………………………………………………………..

§ 1º A estrutura de gerenciamento de riscos mencionada no caput deve:

I – ser compatível com a natureza das atividades da instituição e a complexidade dos produtos e serviços oferecidos e proporcional à dimensão das exposições aos mencionados riscos;

II – ser segregada da unidade executora da atividade de auditoria interna;

III – permitir a identificação, a mensuração, o monitoramento, o controle, a mitigação e o gerenciamento contínuo e integrado dos riscos operacional, de liquidez e de crédito;

IV – prever políticas e estratégias aprovadas e revisadas, no mínimo anualmente, pela diretoria e pelo conselho de administração, se houver, a fim de determinar sua compatibilidade com os objetivos da instituição e com as condições de mercado; e

V – manter documentação acerca de suas políticas, estratégias de gerenciamento de riscos e governança à disposição do Banco Central do Brasil.

§ 2º As políticas e as estratégias previstas no inciso IV do § 1º devem contemplar os seguintes assuntos:

I – critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores, incluindo as condições contratuais mínimas necessárias para mitigar o risco operacional; e

II – continuidade dos serviços de pagamento prestados.” (NR)

“Art. 4º ………………………………………………………………………..

………………………………………………………………………

XV – notificação ao usuário final acerca de eventual não execução de uma transação;

XVI – mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente;

XVII – critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores; e

XVIII – avaliação, gerenciamento e monitoramento do risco operacional decorrente de serviços terceirizados relevantes para o funcionamento regular da instituição de pagamento.

Parágrafo único. Caso as instituições de pagamento terceirizem funções relacionadas com a segurança dos serviços oferecidos, o respectivo contrato de prestação de serviços deve estipular que o contratado deverá:

I – atender ao disposto neste artigo; e

II – permitir o acesso da instituição de pagamento aos dados e às informações sobre os serviços prestados.” (NR)

Art. 28. Fica revogado o parágrafo único do art. 3º da Circular nº 3.681, de 2013.

Art. 29. Esta Circular entra em vigor em 1º de setembro de 2019.

OTÁVIO RIBEIRO DAMASO

Diretor de Regulação

Este conteúdo não substitui o publicado na versão certificada (pdf).

Segurança Cibernética

Marginália Federal – Segurança Cibernética – Circular BC 3909, de 16.08.18

CIRCULAR Nº 3.909, DE 16 DE AGOSTO DE 2018

Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.

A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 15 de agosto de 2018, com base nos arts. 9º, 10 e 15 da Lei nº 12.865, de 9 de outubro de 2013, e tendo em vista o art. 14 da Resolução nº 4.282, de 4 de novembro de 2013, resolve:

CAPÍTULO I

DO OBJETO E DO ÂMBITO DE APLICAÇÃO

Art. 1º Esta Circular dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.

CAPÍTULO II

DA POLÍTICA DE SEGURANÇA CIBERNÉTICA

Seção I

Da Implementação da Política de Segurança Cibernética

Art. 2º As instituições de pagamento devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

§ 1º A política mencionada no caput deve ser compatível com:

I – o porte, o perfil de risco e o modelo de negócio da instituição;

II – a natureza das atividades da instituição e a complexidade dos produtos e serviços oferecidos; e

III – a sensibilidade dos dados e das informações sob responsabilidade da instituição.

§ 2º Admite-se que as instituições de pagamento integrantes de conglomerado prudencial adotem política de segurança cibernética única do conglomerado prudencial, nos termos da regulamentação em vigor, desde que compatível com o disposto neste Capítulo.

§ 3º As instituições de pagamento que não constituírem política de segurança cibernética própria em decorrência do disposto no § 2º devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição.

Art. 3º A política de segurança cibernética deve contemplar, no mínimo:

I – os objetivos de segurança cibernética da instituição de pagamento;

II – os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição de pagamento a incidentes e atender aos demais objetivos de segurança cibernética;

III – os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;

IV – o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição de pagamento;

V – as diretrizes para:

a) a elaboração de cenários de incidentes considerados nos testes de continuidade dos serviços de pagamento prestados;

b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição de pagamento;

c) a classificação dos dados e das informações quanto à relevância; e

d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;

VI – os mecanismos para disseminação da cultura de segurança cibernética na instituição de pagamento, incluindo:

a) a implementação de programas de capacitação e de avaliação periódica de pessoal;

b) a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e

c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética; e

VII – as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com instituições de pagamento, instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

§ 1º Na definição dos objetivos de segurança cibernética referidos no inciso I do caput, deve ser contemplada a capacidade da instituição de pagamento para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

§ 2º Os procedimentos e os controles de que trata o inciso II do caput devem abranger a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.

§ 3º Os procedimentos e os controles citados no inciso II do caput devem ser aplicados, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da instituição de pagamento.

§ 4º O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes, citados no inciso IV do caput, devem abranger inclusive informações recebidas de empresas prestadoras de serviços a terceiros.

§ 5º As diretrizes de que trata o inciso V, alínea “b”, do caput devem contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela própria instituição de pagamento.

Seção II

Da Divulgação da Política de Segurança Cibernética

Art. 4º A política de segurança cibernética deve ser divulgada aos funcionários da instituição de pagamento e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

Art. 5º As instituições de pagamento devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

Seção III

Do Plano de Ação e de Resposta a Incidentes

Art. 6º As instituições de pagamento devem estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética.

Parágrafo único. O plano mencionado no caput deve abranger, no mínimo:

I – as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;

II – as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética; e

III – a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Art. 7º As instituições de pagamento devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na instituição, desde que não haja conflito de interesses.

Art. 8º As instituições de pagamento devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, mencionado no art. 6º, com data-base de 31 de dezembro.

§ 1º O relatório de que trata o caput deve abordar, no mínimo:

I – a efetividade da implementação das ações descritas no art. 6º, parágrafo único, inciso I;

II – o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes descritos no art. 6º, parágrafo único, inciso II;

III – os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e

IV – os resultados dos testes de continuidade dos serviços de pagamento prestados, considerando cenários de indisponibilidade ocasionada por incidentes.

§ 2º O relatório mencionado no caput deve ser apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base.

Art. 9º A política de segurança cibernética referida no art. 2º e o plano de ação e de resposta a incidentes mencionado no art. 6º devem ser aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição de pagamento.

Art. 10. A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser documentados e revisados, no mínimo, anualmente.

CAPÍTULO III

DA CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM

Art. 11. As instituições de pagamento devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.

Art. 12. As instituições de pagamento, previamente à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, devem adotar procedimentos que contemplem:

I – a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas; e

II – a verificação da capacidade do potencial prestador de serviço de assegurar:

a) o cumprimento da legislação e da regulamentação em vigor;

b) o acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;

c) a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;

d) a sua aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado;

e) o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;

f) o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

g) a identificação e a segregação dos dados dos usuários finais da instituição por meio de controles físicos ou lógicos; e

h) a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos usuários finais da instituição.

§ 1º Na avaliação da relevância do serviço a ser contratado, mencionada no inciso I do caput, a instituição contratante deve considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado, levando em conta, inclusive, a classificação realizada nos termos do art. 3º, inciso V, alínea “c”.

§ 2º Os procedimentos de que trata o caput, inclusive as informações relativas à verificação mencionada no inciso II, devem ser documentados.

§ 3º No caso da execução de aplicativos por meio da internet, referidos no art. 13, inciso III, a instituição deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

§ 4º A instituição deve possuir recursos e competências necessários para a adequada gestão dos serviços a serem contratados, inclusive para análise de informações e uso dos recursos providos nos termos da alínea “f” do inciso II do caput.

Art. 13. Para os fins do disposto nesta Circular, os serviços de computação em nuvem abrangem a disponibilidade à instituição de pagamento contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

I – processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;

II – implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou

III – execução, por meio da internet, dos aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.

Art. 14. A instituição de pagamento contratante dos serviços mencionados no art. 12 é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.

Art. 15. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser previamente comunicada pelas instituições de pagamento ao Banco Central do Brasil.

§ 1º A comunicação de que trata o caput deve conter as seguintes informações:

I – a denominação da empresa a ser contratada;

II – os serviços relevantes a serem contratados; e

III – a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados, definida nos termos do inciso III do art. 16, no caso de contratação no exterior.

§ 2º A comunicação de que trata o caput deve ser realizada, no mínimo, sessenta dias antes da contratação dos serviços.

§ 3º As alterações contratuais que impliquem modificação das informações de que trata o § 1º devem ser comunicadas ao Banco Central do Brasil, no mínimo, sessenta dias antes da alteração contratual.

§ 4º A comunicação de que trata o caput poderá ser realizada em prazo inferior ao disposto nos §§ 2º e 3º em casos excepcionais, para garantir o regular funcionamento da instituição de pagamento e desde que acompanhada de justificativa fundamentada.

Art. 16. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior deve observar os seguintes requisitos:

I – a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados;

II – a instituição de pagamento contratante deve assegurar que a prestação dos serviços referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;

III – a instituição de pagamento contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e

IV – a instituição de pagamento contratante deve prever alternativas para a continuidade dos serviços de pagamento prestados, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.

§ 1º No caso de inexistência de convênio nos termos do inciso I do caput, a instituição de pagamento contratante deverá solicitar autorização do Banco Central do Brasil para a contratação, observando o prazo e as informações requeridas nos termos do art. 15 desta Circular.

§ 2º Para atendimento aos incisos II e III do caput, as instituições deverão assegurar que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso das instituições de pagamento contratantes e do Banco Central do Brasil aos dados e às informações.

§ 3º A comprovação do atendimento aos requisitos de que tratam os incisos I a IV do caput e o cumprimento da exigência de que trata o § 2º devem ser documentados.

Art. 17. Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:

I – a indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;

II – a adoção de medidas de segurança para a transmissão e armazenamento dos dados citados no inciso I;

III – a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos usuários finais;

IV – a obrigatoriedade, em caso de extinção do contrato, de:

a) transferência dos dados citados no inciso I ao novo prestador de serviços ou à instituição de pagamento contratante; e

b) exclusão dos dados citados no inciso I pela empresa contratada substituída, após a transferência dos dados prevista na alínea “a” e a confirmação da integridade e da disponibilidade dos dados recebidos;

V – o acesso da instituição de pagamento contratante a:

a) informações fornecidas pela empresa contratada, visando a verificar o cumprimento do disposto nos incisos I a III;

b) informações relativas às certificações e aos relatórios de auditoria especializada, citados no art. 12, inciso II, alíneas “d” e “e”; e

c) informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados, citados no art. 12, inciso II, alínea “f”;

VI – a obrigação de a empresa contratada notificar a instituição de pagamento contratante sobre a subcontratação de serviços relevantes para a instituição;

VII – a permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações;

VIII – a adoção de medidas pela instituição de pagamento contratante, em decorrência de determinação do Banco Central do Brasil; e

IX – a obrigação de a empresa contratada manter a instituição de pagamento contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

Parágrafo único. O contrato mencionado no caput deve prever, para o caso da decretação de regime de resolução da instituição de pagamento contratante pelo Banco Central do Brasil:

I – a obrigação de a empresa contratada conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso, citados no inciso VII do caput, que estejam em poder da empresa contratada; e

II – a obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção de a empresa contratada interromper a prestação de serviços, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:

a) a empresa contratada obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e

b) a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da instituição de pagamento contratante.

Art. 18. O disposto nos arts. 11 a 17 não se aplica à contratação de sistemas operados por câmaras, por prestadores de serviços de compensação e de liquidação ou por entidades que exerçam atividades de registro ou de depósito centralizado.

CAPÍTULO IV

DISPOSIÇÕES GERAIS

Art. 19. As instituições de pagamento devem assegurar que suas políticas previstas na estrutura de gerenciamento de riscos, nos termos da regulamentação em vigor, disponham, no tocante à continuidade dos serviços de pagamento prestados, sobre:

I – o tratamento dos incidentes relevantes relacionados com o ambiente cibernético de que trata o art. 3º, inciso IV;

II – os procedimentos a serem seguidos no caso da interrupção de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada e o reestabelecimento da operação normal da instituição; e

III – os cenários de incidentes considerados nos testes de continuidade de serviços de pagamento prestados de que trata o art. 3º, inciso V, alínea “a”.

Art. 20. Os procedimentos adotados pelas instituições de pagamento para gerenciamento de riscos previstos na regulamentação em vigor devem contemplar, no tocante à continuidade dos serviços de pagamento prestados:

I – o tratamento previsto para mitigar os efeitos dos incidentes relevantes de que trata o art. 3º, inciso IV, e da interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados;

II – o prazo estipulado para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos, citados no inciso I; e

III – a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem uma situação de crise pela instituição de pagamento, bem como das providências para o reinício das suas atividades.

Art. 21. As instituições de pagamento devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo:

I – a definição de processos, testes e trilhas de auditoria;

II – a definição de métricas e indicadores adequados; e

III – a identificação e a correção de eventuais deficiências.

§ 1º As notificações recebidas sobre a subcontratação de serviços relevantes descritas no art. 17, inciso VI, devem ser consideradas na definição dos mecanismos de que trata o caput.

§ 2º Os mecanismos de que trata o caput devem ser submetidos a testes periódicos pela auditoria interna compatíveis com os controles internos da instituição.

Art. 22. Sem prejuízo do dever de sigilo e da livre concorrência, as instituições de pagamento devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes de que trata o art. 3º, inciso IV.

§ 1º O compartilhamento de que trata o caput deve abranger informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a terceiros.

§ 2º As informações compartilhadas devem estar disponíveis ao Banco Central do Brasil.

CAPÍTULO V

DISPOSIÇÕES FINAIS

Art. 23. Devem ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos:

I – o documento relativo à política de segurança cibernética, de que trata o art. 2º;

II – a ata de reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição, no caso de ser formalizada a opção de que trata o art. 2º, § 2º;

III – o documento relativo ao plano de ação e de resposta a incidentes, de que trata o art. 6º;

IV – o relatório anual, de que trata o art. 8º;

V – a documentação sobre os procedimentos de que trata o art. 12, § 2º;

VI – a documentação de que trata o art. 16, § 3º, no caso de serviços prestados no exterior;

VII – os contratos de que trata o art. 17, contado o prazo referido no caput a partir da extinção do contrato; e

VIII – os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle de que trata o art. 21, contado o prazo referido no caput a partir da implementação dos citados mecanismos.

Art. 24. As instituições de pagamento que, na data de entrada em vigor desta Circular, já tiverem contratado a prestação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem devem apresentar ao Banco Central do Brasil, no prazo máximo de noventa dias, contados a partir da data de entrada em vigor desta Circular, cronograma para adequação:

I – ao cumprimento do disposto no art. 16, incisos I, II, IV e § 2º, no caso de serviços prestados no exterior; e

II – ao disposto nos arts. 15, § 1º, e 17.

Parágrafo único. O prazo previsto no cronograma para adequação mencionado no caput não pode ultrapassar 31 de dezembro de 2021.

Art. 25. A aprovação da política de segurança cibernética e do plano de ação e de resposta a incidentes, referida no art. 9º, deve ser realizada até noventa dias contados da data de entrada em vigor desta Circular.

Art. 26. O Banco Central do Brasil poderá vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto nesta Circular, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços e dos contratos correspondentes.

Art. 27. A Circular nº 3.681, de 4 de novembro de 2013, passa a vigorar com as seguintes alterações:

“Art. 2º ………………………………………………………………………..

I – ………………………………………………………………………………

……………………………………………………………………………………..

j) falhas em sistemas, processos ou infraestrutura de tecnologia da informação; e

…………………………………………………………………………..” (NR)

“Art. 3º ……………………………………………………………..

§ 1º A estrutura de gerenciamento de riscos mencionada no caput deve:

I – ser compatível com a natureza das atividades da instituição e a complexidade dos produtos e serviços oferecidos e proporcional à dimensão das exposições aos mencionados riscos;

II – ser segregada da unidade executora da atividade de auditoria interna;

III – permitir a identificação, a mensuração, o monitoramento, o controle, a mitigação e o gerenciamento contínuo e integrado dos riscos operacional, de liquidez e de crédito;

IV – prever políticas e estratégias aprovadas e revisadas, no mínimo anualmente, pela diretoria e pelo conselho de administração, se houver, a fim de determinar sua compatibilidade com os objetivos da instituição e com as condições de mercado; e

V – manter documentação acerca de suas políticas, estratégias de gerenciamento de riscos e governança à disposição do Banco Central do Brasil.

§ 2º As políticas e as estratégias previstas no inciso IV do § 1º devem contemplar os seguintes assuntos:

I – critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores, incluindo as condições contratuais mínimas necessárias para mitigar o risco operacional; e

II – continuidade dos serviços de pagamento prestados.” (NR)

“Art. 4º ………………………………………………………………………..

………………………………………………………………………

XV – notificação ao usuário final acerca de eventual não execução de uma transação;

XVI – mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente;

XVII – critérios de decisão quanto à terceirização de serviços e de seleção de seus prestadores; e

XVIII – avaliação, gerenciamento e monitoramento do risco operacional decorrente de serviços terceirizados relevantes para o funcionamento regular da instituição de pagamento.

Parágrafo único. Caso as instituições de pagamento terceirizem funções relacionadas com a segurança dos serviços oferecidos, o respectivo contrato de prestação de serviços deve estipular que o contratado deverá:

I – atender ao disposto neste artigo; e

II – permitir o acesso da instituição de pagamento aos dados e às informações sobre os serviços prestados.” (NR)

Art. 28. Fica revogado o parágrafo único do art. 3º da Circular nº 3.681, de 2013.

Art. 29. Esta Circular entra em vigor em 1º de setembro de 2019.

OTÁVIO RIBEIRO DAMASO

Diretor de Regulação

Este conteúdo não substitui o publicado na versão certificada (pdf).

Recinto Alfandegado

Marginália Federal – Recinto Alfandegado – INRFB 1826, de 15.08.18
Instrução Normativa RFB nº 1826, de 15 de agosto de 2018

(Publicado(a) no DOU de 17/08/2018, seção 1, página 22)  

Dispõe sobre a adesão de pessoa jurídica responsável pela administração de local ou recinto alfandegado ao Compromisso de Ajustamento de Conduta Técnica e Operacional.

O SECRETÁRIO DA RECEITA FEDERAL DO BRASIL, no uso da atribuição que lhe confere o inciso III do art. 327 do Regimento Interno da Secretaria da Receita Federal do Brasil, aprovado pela Portaria MF nº 430, de 9 de outubro de 2017, e tendo em vista o disposto nos arts. 34 a 39 da Lei nº 12.350, de 20 de dezembro de 2010, resolve:

Art. 1º Esta Instrução Normativa dispõe sobre a adesão da pessoa jurídica responsável pela administração de local ou recinto alfandegado ao Compromisso de Ajustamento de Conduta Técnica e Operacional a que se referem os §§ 1º e 2º, o inciso I do § 4º e o inciso III do § 5º do art. 37 da Lei nº 12.350, de 20 de dezembro de 2010.

Art. 2º O Compromisso de Ajustamento de Conduta Técnica e Operacional terá como objeto o compromisso por parte da pessoa jurídica responsável pela administração de local ou recinto alfandegado de sanar as irregularidades que ensejaram aplicação de sanção administrativa.

Parágrafo único. Na hipótese de não ser possível a correção imediata de qualquer irregularidade que ensejou a aplicação da sanção administrativa e durante o tempo que perdurar, o compromisso de que trata o caput poderá abranger ainda ações de saneamento que objetivem reduzir ou mitigar seus efeitos.

Art. 3º O Compromisso de Ajustamento de Conduta Técnica e Operacional será firmado em termo próprio, denominado Termo de Compromisso de Ajustamento de Conduta Técnica e Operacional de Alfandegamento (TCAC), que deverá ser solicitado pela pessoa jurídica responsável pela administração de local ou recinto alfandegado ao chefe da unidade da Secretaria da Receita Federal do Brasil (RFB) com jurisdição sobre o local ou recinto onde a irregularidade foi constatada.

§ 1º A pessoa jurídica responsável pela administração de local ou recinto alfandegado pode solicitar a adesão ao TCAC:

I – a partir da data em que teve ciência da lavratura do auto de infração para aplicação da sanção de advertência até o dia em que se complete 1 (um) mês da aplicação da sanção; ou

II – depois da ciência da aplicação definitiva da sanção de suspensão até o início de sua efetiva execução, desde que não tenha firmado TCAC anteriormente.

§ 2º A assinatura do TCAC implica:

I – o reconhecimento, por parte da pessoa jurídica, do descumprimento de requisito técnico ou operacional para o alfandegamento;

II – a desistência, por parte da pessoa jurídica, de interposição de impugnação ou recurso contra o auto de infração lavrado em razão do descumprimento de requisito técnico ou operacional para o alfandegamento; e

III – a definitividade da sanção de advertência aplicada.

§ 3º O reconhecimento, por parte da pessoa jurídica, do descumprimento de requisito técnico ou operacional para o alfandegamento e a desistência de interposição de impugnação ou recurso deverão constar de cláusula expressa e irrevogável do TCAC.

§ 4º Deve ser firmado um TCAC para cada local ou recinto alfandegado onde o descumprimento de requisitos técnicos ou operacionais se verificar.

§ 5º Ato da Coordenação-Geral de Administração Aduaneira (Coana) definirá o modelo do TCAC.

Art. 4º Recebida a solicitação de adesão ao TCAC apresentada no prazo previsto no inciso I ou no inciso II do § 1º do art. 3º, o chefe da unidade da RFB com jurisdição sobre o local ou recinto alfandegado ao qual se refere o compromisso de ajustamento deve entregar ao solicitante a minuta do correspondente TCAC, no prazo de 5 (cinco) dias úteis, contado da data da solicitação.

§ 1º Devem constar da minuta do TCAC a que se refere o caput os termos e condições estabelecidos nesta Instrução Normativa.

§ 2º O TCAC deve mencionar expressamente as irregularidades que ensejaram a lavratura do auto de infração para propositura da sanção de advertência, constatadas no local ou recinto alfandegado.

§ 3º O prazo máximo e improrrogável a ser concedido para o cumprimento do compromisso assumido no TCAC é de 9 (nove) meses.

§ 4º Podem ser estabelecidos prazos diferentes para solução de cada tipo de irregularidade apontada no TCAC, de acordo com a complexidade das providências necessárias à regularização, observado o disposto no § 3º.

§ 5º O descumprimento de prazo previsto no § 4º configura a reincidência a que se refere o § 1º do art. 37 da Lei 12.350, de 2010.

§ 6º A contagem dos prazos para o cumprimento do compromisso assumido inicia-se no 1º (primeiro) dia útil subsequente à assinatura do TCAC.

§ 7º A pessoa jurídica responsável pela administração de local ou recinto alfandegado deve confirmar a sua adesão ao TCAC nos termos da minuta apresentada ou propor as modificações que julgar necessárias, que serão avaliadas pelo chefe da unidade, observados os prazos estabelecidos pelos incisos I e II do § 1º do art. 3º.

§ 8º O TCAC será firmado entre a pessoa jurídica responsável pela administração de local ou recinto alfandegado e a RFB, representada pelo chefe da unidade com jurisdição aduaneira sobre o local ou recinto alfandegado ao qual se refere o compromisso de ajustamento.

§ 9º O TCAC será publicado na íntegra no sítio da RFB na Internet, no endereço eletrônico http://rfb.gov.br, dispensada sua publicação no Diário Oficial da União.

§ 10. Se houver desistência da adesão ao TCAC firmado de acordo com o disposto no art. 3º, não será aceito novo pedido de adesão para o mesmo objeto.

§ 11. A decisão que deferir ou indeferir a solicitação de adesão ao TCAC formalizado de acordo com o disposto no art. 3º, que será proferida pelo chefe da unidade da RFB com jurisdição sobre o local ou recinto alfandegado, deverá ser fundamentada na legislação tributária ou aduaneira.

Art. 5º O chefe da unidade da RFB com jurisdição sobre o local ou recinto alfandegado não aceitará a solicitação de adesão ao TCAC:

I – depois de iniciada a execução da suspensão do alfandegamento; ou

II – se o pedido tiver por objeto irregularidades que já tenham sido objeto de TCAC anteriormente firmado e não cumprido.

Art. 6º A multa prevista no art. 38 da Lei nº 12.350, de 2010, será reduzida em 75% (setenta e cinco por cento) no ato da assinatura do TCAC.

Parágrafo único. A redução prevista no caput vigorará sob condição resolutória do efetivo cumprimento do TCAC, vedadas outras reduções ou suspensões de penalidades.

Art. 7º O auto de cobrança a que se refere o inciso I do § 5º do art. 37 da Lei nº 12.350, de 2010, será lavrado:

I – depois de transcorrido 1 (um) mês da aplicação da sanção de advertência; ou

II – depois de constatado, pelo chefe da unidade da RFB com jurisdição sobre o local ou recinto alfandegado, o cumprimento do TCAC celebrado com a finalidade de sanar as irregularidades que ensejaram a despesa cujo ressarcimento é exigido.

Art. 8º Esta Instrução Normativa entra em vigor na data de sua publicação no Diário Oficial da União.

JORGE ANTONIO DEHER RACHID

*Este texto não substitui o publicado oficialmente.