O Banco Central abriu uma consulta pública para atualizar as regras que disciplinam o funcionamento da infraestrutura do mercado financeiro no país. Entre as mudanças, o BC quer ajustes em tecnologia da informação, computação em nuvem e segurança cibernética das Instituições Operadoras de Sistemas do Mercado Financeiro.
Uma das novidades mais relevantes é a exigência de que cada instituição elabore e mantenha um Plano Diretor de Tecnologia da Informação, o PDTI. O documento deverá orientar a implementação das estratégias e objetivos institucionais na área de TI e precisará ser revisado anualmente. Além disso, as instituições terão de manter um processo formal de monitoramento da execução do plano e elaborar relatórios anuais sobre sua implementação, que ficarão à disposição do Banco Central por cinco anos.
A justificativa do regulador é que a tecnologia da informação evolui continuamente no ambiente das infraestruturas do mercado financeiro e que o PDTI é um instrumento essencial para o diagnóstico, planejamento e gestão de recursos e processos nessa área. A proposta equipara formalmente o PDTI ao já existente Plano Diretor de Segurança da Informação, reconhecendo que ambos são igualmente críticos para o funcionamento seguro dessas instituições.
A proposta também endurece as exigências para contratação de serviços de computação em nuvem prestados fora do Brasil. As instituições passarão a ser obrigadas a garantir que os mecanismos de continuidade de negócios sejam periodicamente testados e que assegurem a adequada operação da contratante mesmo na hipótese de o serviço no exterior ser interrompido. A norma atual não previa essa exigência de testes periódicos de forma explícita. Além disso, o Banco Central poderá exigir que o prestador de serviço forneça informações e evidências diretamente ao regulador, inclusive em português, se solicitado.
Outra mudança relevante é a definição de uma periodicidade mínima para a avaliação das estruturas de segurança da informação e cibernética. Pela proposta, essa avaliação deverá ocorrer pelo menos a cada dois anos, com duas frentes obrigatórias: uma conduzida pela auditoria interna da própria instituição e outra submetida a um processo de asseguração razoável por auditores independentes externos. O mesmo modelo se aplica à gestão de continuidade de negócios. A norma vigente não especificava o tipo de trabalho a ser contratado, o que, segundo o BCB, abria espaço para contratações de qualidade inadequada.
As mudanças propostas fazem parte de um conjunto mais amplo de ajustes à Resolução BCB nº 304, de 2023, que regula o funcionamento dos sistemas de liquidação e das atividades de registro e depósito centralizado de ativos financeiros no âmbito do Sistema de Pagamentos Brasileiro. A proposta completa está disponível no Portal Participa + Brasil e no site do Banco Central. O prazo para envio de contribuições é de 90 dias e apenas serão consideradas as manifestações feitas pelo formulário oficial disponibilizado pelo BCB.
