Instrução Normativa BCB Nº 99 – Segurança do Open Banking
Confira as estratégias de segurança do Open Banking, de acordo com a Instrução Normativa BCB Nº 99, DE 14 DE ABRIL DE 2021 (versão vigente). Destacamos alguns pontos relevantes!
Conforme destaca o BC através do documento referido (IN BCB Nº 99) para garantir a segurança do Open Banking no país, a regulamentação vigente estabelece a obrigatoriedade de se cumprir uma série de medidas.
As instituições participantes devem adotar processos para acompanhar a publicação e a entrada em vigor de atos normativos com impacto no tema, de forma a estar permanentemente atualizado com as determinações regulamentares.
Lei Geral de Proteção de Dados Pessoais (LGPD )
O BC informa que o plano de ação e resposta a incidentes das instituições participantes deve abranger os procedimentos e os controles a serem utilizados na prevenção e resposta a incidentes que afetem sistemas, APIs e outros recursos relacionados à implementação e à operação do sistema, de forma compatível com a política de segurança cibernética da instituição e com a regulamentação vigente.
As instituições participantes devem definir procedimentos e controles voltados à prevenção e ao tratamento de incidentes a serem adotados pelas empresas prestadoras de serviços a terceiros que manuseiem dados ou informações requeridos para a condução das atividades relativas ao Open Banking, em compatibilidade com a regulamentação vigente, LGPD.
Além disso, as instituições participantes, previamente à contratação de serviços requeridos para a condução das atividades relativas ao Open Banking, devem adotar procedimentos que contemplem a verificação da capacidade do potencial prestador de serviço de assegurar o cumprimento da legislação e da regulamentação vigente.
Os sistemas e APIs relacionados ao Open Banking devem ser mantidos em rede interna
O acesso aos dados no âmbito do Open Banking deve ser realizado exclusivamente por meio de APIs. Os sistemas e APIs relacionados ao Open Banking devem ser mantidos em rede interna segregada logicamente de redes ordinariamente utilizadas por estações de trabalho ou redes sem fio.
O BC destaca que as instituições transmissoras de dados devem implementar controles de tráfego de entrada e saída, de forma a permitir apenas o necessário para comunicação com as APIs.
As instituições devem aplicar controles de segurança na camada de aplicação que permitam a inspeção de ameaças e o bloqueio de ataques de injeção de código, entre outros, adequados às tecnologias utilizadas nas APIs. Bem como, as instituições não devem expor os repositórios de dados utilizados no Open Banking diretamente à internet. Essas são algumas das medidas do Banco Central para garantir a segurança do processo e funcionamento do Open Banking.
