Resolução BCB N° 454

Conteúdo do Documento

Resolução Nº 454 RESOLUÇÃO BCB Nº 454, DE 30 DE JANEIRO DE 2025 Dispõe sobre a Estratégia de Uso de Software e de Serviços de Computação em Nuvem do Banco Central do Brasil. O Comitê de Governança, Riscos e Controles – GRC, com base no art. 11, caput, inciso XIII, alínea “a”, e no art. 139, caput, inciso III, alíneas “a” e “e”, do Regimento Interno do Banco Central do Brasil, ane...

<div class="ExternalClassA6B9522F25B74E33BA84B5B48B4CF3FB"><span style="color:#444444;"><span style="font-family:calibri;font-size:17.3333px;">

</span><title style="font-family:calibri;font-size:17.3333px;">Resolução Nº 454</title><span style="font-family:calibri;font-size:17.3333px;">
</span><style style="font-family:calibri;font-size:17.3333px;">
</style><span style="font-family:calibri;font-size:17.3333px;">

</span><div class="WordSection1"><span style="color:#444444;">

<p class="MsoNormal" align="center" style="margin-bottom:18pt;text-align:center;"><a name="_Hlk188523004"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">RESOLUÇÃO
BCB Nº 454, DE 30 DE JANEIRO DE 2025</span></a></p>

<p class="MsoBodyText2" style="margin:0cm 0cm 18pt 9cm;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Dispõe sobre a Estratégia de Uso de Software e de Serviços
de Computação em Nuvem do Banco Central do Brasil.</span></p>

<p class="Default" style="margin-bottom:18pt;text-align:justify;text-indent:70.9pt;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">O Comitê de Governança, Riscos e Controles – GRC, com base no
art. 11, <i>caput</i>, inciso XIII, alínea “a”, e no art. 139, <i>caput</i>, inciso
III, alíneas “a” e “e”, do Regimento Interno do Banco Central do Brasil, anexo
à Resolução BCB nº 340, de 21 de setembro de 2023, e tendo em vista o disposto
no Voto 132/2025–GRC, de 30 de janeiro de 2025, na Instrução Normativa nº 5, de
30 de agosto de 2021, do Gabinete de Segurança Institucional da Presidência da
República, e na Portaria SGD/MGI nº 5.950, de 26 de outubro de 2023, da Secretaria
de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos,</span></p>

<p class="Default" style="margin-bottom:18pt;text-align:justify;text-indent:70.9pt;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">R E S O
L V E :</span></p>

<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 1º  Fica
divulgada, na forma do anexo a esta Resolução, a Estratégia de Uso de Software e de Serviços
de Computação em Nuvem do Banco Central do Brasil.</span></p>

<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 2º  Fica
revogada a Resolução BCB nº 288, de 24 de janeiro de 2023.</span></p>

<p class="MsoNormal" style="margin-bottom:12pt;text-indent:70.9pt;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 3º  Esta Resolução
entra em vigor na data de sua publicação.</span></p>

<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">GABRIEL MURICCA
GALÍPOLO<br></span><span style="font-family:calibri;font-size:17.3333px;">Presidente do Banco
Central do Brasil</span></p><span style="font-family:calibri;font-size:17.3333px;">

</span><span style="font-family:calibri;font-size:17.3333px;"><br clear="all">
</span><span style="font-family:calibri;font-size:17.3333px;">

</span><p class="MsoNormal" align="left" style="text-align:left;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;"> </span></p>

<p class="MsoNormal" align="center" style="margin-bottom:18pt;text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">ESTRATÉGIA DE USO DE
SOFTWARE E DE SERVIÇOS DE COMPUTAÇÃO EM NUVEM DO BANCO CENTRAL DO BRASIL, ANEXO
À RESOLUÇÃO
BCB Nº 454, DE 30 DE JANEIRO DE 2025</span></p>

<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">CAPÍTULO I<br></span><span style="font-family:calibri;font-size:17.3333px;">OBJETIVOS E PRINCÍPIOS</span></p>

<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 1º  A Estratégia de Uso de
Software e de Serviços de Computação em Nuvem do Banco Central do Brasil visa à
utilização racional, segura e eficiente dos recursos computacionais e à
evolução constante de seus serviços, utilizando tecnologias modernas e
inovadoras, e tem os seguintes objetivos:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - alinhar a
utilização do uso de <i>software</i> e de serviços de computação em nuvem aos objetivos
estratégicos do Banco Central do Brasil;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - orientar a
contratação e a utilização de <i>software</i> e de serviços de computação em
nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III - priorizar
soluções que otimizem o uso dos recursos operacionais de serviços de computação
em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV - proporcionar agilidade
para o desenvolvimento de novos projetos e protótipos;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V - ampliar a
capacidade de entrega de soluções de tecnologia da informação e comunicação – TIC;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VI - aprimorar a
disponibilidade, a qualidade e a oferta dos serviços prestados à sociedade e ao
Sistema Financeiro Nacional –
SFN, bem como a resiliência cibernética do Banco Central do Brasil;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VII - prover aos usuários
do Banco Central do Brasil a capacitação contínua em tecnologias de computação
em nuvem; e</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VIII - promover a observância,
pelo Banco Central do Brasil, da legislação relativa à segurança da informação e
da Lei nº 13.709, de 14 de agosto de 2018.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 2º  São
princípios da Estratégia de Uso de Software e de Serviços de Computação em
Nuvem:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - explorar novas
tecnologias disponibilizadas nos serviços de computação em nuvem, buscando
soluções alinhadas aos requisitos de negócio e que melhorem a eficiência de
processos;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - modernizar as
aplicações, adotando as melhores práticas de utilização de serviços de
computação em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III - avaliar a
possibilidade de migração para infraestruturas de nuvem pública, transferindo
as aplicações de sistemas locais para a nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV - adotar o modelo
de Integrador de Serviços em Nuvem (<i>Cloud Brokers</i>), de modo limitado a
dois provedores principais de serviços de computação em nuvem; e</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V - reduzir a
complexidade do gerenciamento de serviços de provedores de serviços de
computação em nuvem, evitando a pulverização de fornecedores e a migração entre
eles.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo único. A homologação
de provedores principais de serviços de computação em nuvem deve ser realizada
a partir de requisitos de confiabilidade, capacidade de inovação, de oferta de
serviços e de presença ou capilaridade nacional e global.</span></p>

<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">CAPÍTULO II<br></span><span style="font-family:calibri;font-size:17.3333px;">DEFINIÇÕES</span></p>

<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 3º  Para os
efeitos da Estratégia de Uso de Software e de Serviços de Computação em Nuvem,
adotam-se as seguintes definições:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - aplicação: programa
ou conjunto de programas que tem por objetivo realizar um grupo de funções,
tarefas ou atividades coordenadas para benefício do usuário;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - carga de
trabalho (<i>workload</i>): conjunto de recursos que compõem uma arquitetura
técnica destinada a suportar um ou mais serviços de TIC;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III - computação em
nuvem: modelo que possibilita o provisionamento e a utilização sob demanda de
recursos e serviços computacionais de qualquer lugar e a qualquer momento, com
acesso por meio de rede a recursos configuráveis (<i>e.g.</i> redes, segurança,
servidores, armazenamento, aplicações e serviços) que podem ser rapidamente
provisionados, utilizados e liberados com o mínimo de esforço em gerenciamento
ou interatividade com o provedor de serviços em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV - cópia de
segurança atualizada: versão recente de um <i>backup</i> dos dados gerada
segundo a periodicidade definida pela política de recuperação do sistema ou do
serviço que utiliza as informações;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V - <i>Financial
Operations</i> – Finops: práticas de gestão financeira concentradas na
otimização de custos e investimentos em serviços de computação em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VI - governança de
nuvem: conjunto de processos e políticas destinados a assegurar o uso efetivo e
seguro de serviços de computação em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VII - grau de sigilo:
informações e cargas de trabalho que, por sua natureza, são imprescindíveis à segurança
da sociedade ou do Estado, sendo classificadas como ultrassecreta, secreta ou
reservada, nos termos da Lei nº 12.527, de 18 de novembro de 2011;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VIII - Integrador de
Serviços em Nuvem (<i>Cloud brokers</i>): intermediários que facilitam a
integração e gestão de múltiplos provedores de serviços de computação em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IX - interoperabilidade:
capacidade de diferentes sistemas e aplicações trocarem e utilizarem
informações entre si de forma eficaz;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">X - modelos de
implantação de nuvem: modelos que representam como a computação em nuvem pode
ser organizada com base no controle e no compartilhamento de recursos físicos
ou virtuais, sendo classificada em:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">a) nuvem pública;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">b) nuvem privada;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">c)  nuvem comunitária;
e</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">d) nuvem híbrida;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XI - <i>multicloud</i>:
uso combinado de serviços de múltiplos provedores de serviços de computação em
nuvem para distribuir recursos e minimizar dependência de um único fornecedor;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XII - plataforma de
gerenciamento de serviços em nuvem (<i>Cloud Management Platform</i> – CMP):
sistema capaz de realizar o provisionamento e a orquestração, a requisição de
serviço, o inventário e a classificação, o monitoramento e a análise, o gerenciamento
de custos e a otimização de carga de trabalho, a migração em nuvem, o <i>backup</i>
e recuperação de desastres, o gerenciamento de segurança, a conformidade e a identidade,
o <i>deployment</i> e a implantação dos recursos nos provedores de serviços de
computação em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XIII - portabilidade:
movimentação transparente de aplicações ou de dados entre os diferentes
serviços de computação em nuvem ou para ambientes locais;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XIV - provedor de
serviços em nuvem: empresa que possui infraestrutura de TIC destinada ao
fornecimento de infraestrutura, de plataformas e de aplicativos baseados em
computação em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XV - solução de TIC: conjunto
de bens e serviços que apoiam processos de negócio mediante a conjugação de
recursos de TIC, conforme definições constantes no Anexo II da Instrução
Normativa SGD/ME nº 94, de 23 de dezembro de 2022; e</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XVI - unidade gestora
do serviço: componente organizacional do Banco Central do Brasil que gerencia o
processo organizacional e define o produto de <i>software</i> associado à sua
execução.</span></p>

<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">CAPÍTULO III<br></span><span style="font-family:calibri;font-size:17.3333px;">COMPETÊNCIAS E
ATRIBUIÇÕES</span></p>

<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 4º  No âmbito da
Estratégia de Uso de Software e de Serviços de Computação em Nuvem, são
atribuições do Gestor de Segurança da Informação – GSI de que trata o art. 37
do anexo à Resolução BCB nº 287, de 24 de janeiro de 2023:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - supervisionar a
aplicação da Estratégia de Uso de Software e de Serviços de Computação em
Nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - propor ao Comitê
de Governança, Riscos e Controles – GRC a lista de países em que os dados e as
informações custodiadas pelo Banco Central do Brasil poderão ser armazenados em
soluções de computação em nuvem; e</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III - propor ao GRC a
revisão da Estratégia de Uso de Software e de Serviços de Computação em Nuvem.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 5º  Compete ao
Departamento de Tecnologia da Informação – Deinf:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - coordenar a
implementação da Estratégia de Uso de Software e de Serviços de Computação em
Nuvem, assegurando o alinhamento ao Plano Diretor de Tecnologia da Informação e
Comunicação – PDTI vigente e a outras políticas relacionadas;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - definir e
implementar estratégias de gestão financeira para otimizar os custos e
investimentos em serviços de computação em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III - submeter ao GSI
de que trata o art. 37 do anexo à Resolução BCB nº 287, de  24 de janeiro de 2023,
proposta de revisão da Estratégia de Uso de Software e de Serviços de
Computação em Nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV - definir os
requisitos criptográficos mínimos para o armazenamento de dados e informações,
custodiados pelo Banco Central do Brasil, em soluções de computação em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V - estabelecer as condições
de portabilidade e interoperabilidade entre provedores de serviços de
computação em nuvem; </span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VI - verificar o
cumprimento dos controles e dos níveis mínimos de serviço definidos, devendo aplicar,
em casos de eventuais desvios, medidas de correção; e </span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VII - comunicar aos
órgãos competentes os incidentes cibernéticos, conforme sua relevância,
informados pelo provedor de serviços de computação em nuvem.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 6º  Compete à
unidade gestora do serviço ou da informação, em conjunto com o Deinf, como
prévia condição para <a name="_Hlk188354525">a transferência de serviços ou
informações para ou de um provedor de serviço em nuvem</a>:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - realizar a
avaliação de risco cibernético envolvido, observando pelo menos:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">a) os aspectos de
proteção de dados e de privacidade;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">b) a segurança das
informações, especialmente as de acesso restrito;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">c) a criticidade do
sistema ou do serviço para o Banco Central do Brasil; e</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">d) a rotulação da
informação ou do dado;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - definir as medidas
de mitigação de riscos e de custos para a implementação de solução de
computação em nuvem e para possibilidade de crescimento dessa solução; e</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III - elaborar a Estratégia
de Saída, considerando o disposto no inciso I, de serviços ou de informações do
ambiente de computação em nuvem para o ambiente computacional próprio do Banco
Central Brasil.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo único. O
Deinf deverá encaminhar ao Departamento de Riscos Corporativos e Referências
Operacionais – Deris o relatório com a avaliação do risco cibernético e a lista
das medidas de mitigação para a implementação de solução de computação em
nuvem.</span></p>

<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">CAPÍTULO IV<br></span><span style="font-family:calibri;font-size:17.3333px;">DIRETRIZES</span></p>

<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;"><strong>Seção I</strong><br></span><span style="font-family:calibri;font-size:17.3333px;"><strong>Da identificação das
necessidades de negócio</strong></span></p>

<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 7º  O Deinf identificará
as necessidades de negócio para a contratação de <i>software</i> e de serviços
de computação em nuvem, definindo os dados e os serviços que utilizarão preferencialmente
uma ou outra solução.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 1º  As iniciativas
que irão utilizar computação em nuvem deverão estabelecer as metas, os
benefícios e os resultados esperados com a adoção da solução, levando em
consideração a linha de base estabelecida. </span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 2º  Enquanto não
estabelecidas as metas para os <i>softwares</i> e os serviços migrados para
ambiente de computação em nuvem, devem ser consideradas aquelas anteriores à mudança.</span></p>

<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;"><strong>Seção II</strong><br></span><span style="font-family:calibri;font-size:17.3333px;"><strong>Da seleção dos
modelos adequados</strong></span></p>

<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 8º  Os serviços
de computação em nuvem pública, de governo ou híbrida, poderão ser empregados: </span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - nos casos em que
a nuvem privada não consiga promover a escalabilidade, a flexibilidade, a agilidade,
a segurança cibernética ou a inovação tecnológica necessárias para atender aos
requisitos técnicos e de negócio; ou </span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - para promover a
eficiência de custos e facilidade de gestão e sustentação.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo único.  Nas
hipóteses em que os serviços de computação em nuvem sejam necessários apenas
como parte de uma solução, poderá ser adotada a abordagem de nuvem híbrida, mantendo
parte dos recursos em nuvem privada.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 9º  O Banco
Central do Brasil priorizará o modelo mais abrangente de serviços de nuvem que
atenda a suas demandas, tendo em conta os princípios da eficiência operacional,
a melhor relação custo-benefício, a segurança cibernética, a flexibilidade e a
escalabilidade.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 1º  A adoção de
serviços do modelo Software como Serviço – SaaS terá prioridade sobre o da
Plataforma como Serviço – PaaS, e ambos sobre o da Infraestrutura como Serviço –
IaaS.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 2º  As contratações
do modelo devem preferencialmente adotar prazos longevos, de forma a promover
economia de escala e diminuição de custos administrativos associados.</span></p>

<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;"><strong>Seção III</strong><br></span><span style="font-family:calibri;font-size:17.3333px;"><strong>Da avaliação dos
possíveis fornecedores</strong></span></p>

<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 10.  Os estudos
técnicos preliminares à contratação dos serviços de computação em nuvem devem
abranger o levantamento dos possíveis fornecedores aptos ao atendimento dos
requisitos de negócio.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo único.  A
avaliação incluirá critérios de segurança cibernética, de conformidade, de disponibilidade,
de suporte técnico, custo de migração, custo de capacitação e de risco do
fornecedor.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 11.  A fim de
assegurar que o uso das plataformas de nuvem ou <i>software</i> contratados
esteja alinhado às melhores práticas de arquitetura e segurança cibernética, na
forma recomendada pelos próprios fornecedores e fabricantes, será avaliada a
necessidade de contratação de suporte técnico especializado. </span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo único.  No
caso de contratação de <i>software</i>, o suporte técnico especializado do
fabricante deve fazer parte da solução.</span></p>

<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;"><strong>Seção IV</strong><br></span><span style="font-family:calibri;font-size:17.3333px;"><strong>Das diretrizes de uso
seguro de </strong></span><i style="font-family:calibri;font-size:17.3333px;text-decoration-style:solid;text-decoration-color:#444444;"><strong>software</strong></i><span style="font-family:calibri;font-size:17.3333px;"><strong> e de serviços de computação em nuvem</strong></span></p>

<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 12.  Os
provedores de serviços de computação em nuvem deverão possuir:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - criptografia de
dados em seus ambientes;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - controles de
segurança cibernética alinhados às melhores práticas de mercado;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III - processo
implementado de atualizações do serviço que mitigue vulnerabilidades conhecidas
dentro de um período compatível com a criticidade de cada vulnerabilidade; </span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV - plataforma de
gerenciamento de serviços em nuvem; e</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V - capacidade de
resiliência na manutenção do serviço e na recuperação de informações em casos
de desastre.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 13.  Os
fornecedores de Serviços Técnicos de Intermediação para Nuvens Públicas deverão
observar as disposições da Lei nº 13.709, de 14 de agosto de 2018, no
tratamento dos dados pessoais ou sensíveis, em especial quanto à finalidade e à
boa-fé.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 14.  Não poderão
ser tratadas em ambiente de nuvem pública informações e cargas de trabalho
classificadas, conforme a Lei nº 12.527, de 18 de novembro de 2011, em grau de
sigilo, nem documentos preparatórios que possam originar informações que possam
ser classificadas em grau de sigilo.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 15.  As cargas
de trabalho que tratam de informações submetidas à restrição de acesso público em
virtude de seu caráter pessoal ou por estarem abrangidas por outras hipóteses
de sigilo legal poderão ser mantidas em ambiente de nuvem pública.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 16.  O
tratamento de dados e informações do Banco Central do Brasil em serviços de
computação em nuvem deve ocorrer preferencialmente em <i>data centers</i>
localizados em território brasileiro. </span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo único.  O armazenamento
de dados e de informações fora do território brasileiro é possível somente nos
casos em que haja cópia de segurança atualizada armazenada em <i>data centers</i>
localizados em território brasileiro.</span></p>

<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">CAPÍTULO V<br></span><span style="font-family:calibri;font-size:17.3333px;">DISPOSIÇÕES GERAIS</span></p>

<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 17.  A
Estratégia de Uso de Software e de Serviços de Computação em Nuvem deve estar
alinhada aos seguintes planos e políticas do Banco Central do Brasil,
respeitados seus aspectos específicos:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - Plano Estratégico
Institucional – PEI;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - PDTI;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III - Plano de
Contratações Anual – PCA; </span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV - Política de
Governança da Informação – PGI; e</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V - Política de Segurança
da Informação – PSIBC.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 18.  Os contratos
de <i>software</i> e serviços de computação em nuvem observarão o disposto na Estratégia
de Uso de Software e de Serviços de Computação em Nuvem, abrangendo-se as
seguintes categorias:</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - SaaS;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II - IaaS;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III - PaaS;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV - licenciamento de
<i>software</i> perpétuo;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V - licenciamento de <i>software</i>
por subscrição ou assinatura;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VI - manutenção de <i>softwares</i>
ou computação em nuvem;</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VII - consultoria
especializada em <i>software</i> ou computação em nuvem; e</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VIII - serviços de
migração, integração, operação e gestão de recursos de computação em nuvem.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 19.  O Banco
Central do Brasil estabelecerá programa de capacitação contínua de usuários nas
melhores metodologias de trabalho e em novas tecnologias. </span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo único.  A
equipe competente para gerenciar, operar e utilizar os recursos de <i>software</i>
e de serviços em nuvem deve ser capacitada adequadamente.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 20.  A
Estratégia de Uso de Software e de Serviços de Computação em Nuvem deve ser
revista pelo menos a cada dois anos.</span></p><div style="text-align:justify;">

</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 21.  Os casos
omissos e exceções serão resolvidos pelo GSI de que trata o art. 37 do anexo à
Resolução BCB nº 287, de 24 de janeiro de 2023.</span></p>

</span></div>

</span></div>

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Acesso Exclusivo para Assinantes

Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.

Entrar na Conta Conhecer Planos

Resolução BCB N° 454

Sumário Regulatório

Conteúdo do Documento

Acesso Exclusivo para Assinantes

Tags Relacionadas