<div class="ExternalClass5C1CEC46DB8C45D39ED2B51DF7E93D7B">
<span style="font-family:calibri;font-size:17.3333px;">
</span><span style="font-family:calibri;font-size:17.3333px;">
</span><style style="font-family:calibri;font-size:17.3333px;">
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass p.MsoNormal, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass li.MsoNormal, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass div.MsoNormal {
margin:0cm;
font-size:12.0pt;
font-family:"Times New Roman",serif;
}
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass p.MsoHeader, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass li.MsoHeader, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass div.MsoHeader {
margin:0cm;
font-size:12.0pt;
font-family:"Times New Roman",serif;
}
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass p.MsoListParagraph, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass li.MsoListParagraph, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass div.MsoListParagraph {
margin-top:0cm;
margin-right:0cm;
margin-bottom:0cm;
margin-left:36.0pt;
text-align:justify;
font-size:12.0pt;
font-family:"Times New Roman",serif;
}
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass p.MsoListParagraphCxSpFirst, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass li.MsoListParagraphCxSpFirst, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass div.MsoListParagraphCxSpFirst {
margin-top:0cm;
margin-right:0cm;
margin-bottom:0cm;
margin-left:36.0pt;
text-align:justify;
font-size:12.0pt;
font-family:"Times New Roman",serif;
}
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass p.MsoListParagraphCxSpMiddle, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass li.MsoListParagraphCxSpMiddle, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass div.MsoListParagraphCxSpMiddle {
margin-top:0cm;
margin-right:0cm;
margin-bottom:0cm;
margin-left:36.0pt;
text-align:justify;
font-size:12.0pt;
font-family:"Times New Roman",serif;
}
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass p.MsoListParagraphCxSpLast, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass li.MsoListParagraphCxSpLast, 5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass div.MsoListParagraphCxSpLast {
margin-top:0cm;
margin-right:0cm;
margin-bottom:0cm;
margin-left:36.0pt;
text-align:justify;
font-size:12.0pt;
font-family:"Times New Roman",serif;
}
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass span.CabealhoChar {
}
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass .MsoChpDefault {
font-size:12.0pt;
}
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass div.WordSection1 {
}
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass ol {
margin-bottom:0cm;
}
5C1CEC46DB8C45D39ED2B51DF7E93D7B .ExternalClass ul {
margin-bottom:0cm;
}
</style><span style="font-family:calibri;font-size:17.3333px;">
</span><div class="WordSection1">
<p class="MsoNormal" align="center" style="margin-bottom:18pt;text-align:center;"><a name="_Hlk125132518"><span style="font-family:calibri;font-size:17.3333px;">RESOLUÇÃO
BCB Nº 288, DE 24 DE JANEIRO DE 2023</span></a></p>
<p class="MsoNormal" style="margin:18pt 0cm 6pt 212.65pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Divulga
o Regulamento de Uso Seguro de Recursos de Computação em Nuvem.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">O <a name="_Hlk124947438">Comitê
de Governança, Riscos e Controles (GRC)</a> do Banco Central do Brasil, no uso
das suas atribuições, com base no art. 11, parágrafo único, e art. 132, inciso
VII, alínea “a”, do Regimento Interno, anexo à Portaria nº 84.287, de 27 de
fevereiro de 2015, e tendo
em vista o disposto no Voto GRC 71/2023, de 24 de janeiro de 2023,</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">R E S O L V E :</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 1º  Fica divulgado o
Regulamento de Uso Seguro de Recursos de Computação em Nuvem, anexo a esta
Resolução.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 2º  O Presidente do
Comitê de Segurança (Coseg) poderá editar os atos complementares necessários
para o cumprimento do Regulamento de que trata o art. 1º.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:36pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 3º  Esta Resolução
entra em vigor em 1º de fevereiro de 2023.</span></p>
<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-family:calibri;font-size:17.3333px;">Carolina de Assis Barros<br></span><span style="font-family:calibri;font-size:17.3333px;">Diretora de Administração</span></p><span style="font-family:calibri;font-size:17.3333px;">
</span><span style="font-family:calibri;font-size:17.3333px;"><br clear="all" style="">
</span><span style="font-family:calibri;font-size:17.3333px;">
</span><p class="MsoNormal"><span style="font-family:calibri;font-size:17.3333px;"> </span></p>
<p class="MsoNormal" align="center" style="margin-bottom:12pt;text-align:center;"><span style="font-family:calibri;font-size:17.3333px;">REGULAMENTO DE USO SEGURO DE RECURSOS
DE COMPUTAÇÃO EM NUVEM, ANEXO À RESOLUÇÃO BCB Nº 288, DE 24 DE JANEIRO DE 2023</span></p>
<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 1º  Este
Regulamento tem como objetivo estabelecer diretrizes para o uso seguro dos
recursos e serviços de computação em nuvem no âmbito do Banco Central do
Brasil.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 2º  Este
Regulamento é regido pelas seguintes normas:</span></p><div style="text-align:justify;">
</div><p class="MsoListParagraph" style="margin:0cm 0cm 6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">I
- Instrução Normativa nº 5, de 30 de agosto de 2021, do Gabinete de Segurança
Institucional da Presidência da República (GSI/PR);</span></p><div style="text-align:justify;">
</div><p class="MsoListParagraph" style="margin:0cm 0cm 6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">II
- Política de Segurança da Informação do Banco Central do Brasil (PSIBC), anexa
à Resolução BCB nº 287, de 24 de janeiro de 2023.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 3º  A PSIBC deve
ser observada, no que couber:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">I - na contratação e no
uso dos recursos e serviços de computação em nuvem; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">II - nos procedimentos
para término dos contratos de uso dos recursos e serviços de computação em nuvem.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 4º  O uso seguro
dos recursos e serviços de computação em nuvem visa a aprimorar a
disponibilidade, a qualidade e a oferta dos serviços prestados à sociedade e ao
Sistema Financeiro Nacional (SFN), bem como a resiliência cibernética do Banco
Central do Brasil.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 5º  Compete ao
Gestor de Segurança da Informação (GSI):</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">I - aprovar, conforme proposta pelo Departamento
de Tecnologia da Informação (Deinf), a lista de países nos quais dados e
informações custodiados pelo Banco Central do Brasil poderão ser armazenados em
soluções de computação em nuvem;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">II - aprovar, conforme proposto pelo Deinf,
os requisitos criptográficos mínimos para o armazenamento de dados e informações,
custodiados pelo Banco Central do Brasil, em soluções de computação em nuvem;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">III - encaminhar para aprovação da Diretoria
Colegiada as minutas de revisão deste Regulamento;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">IV - supervisionar a aplicação deste
Regulamento.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 6º  Compete ao Deinf:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">I - propor ao GSI a
lista de países nos quais dados e informações custodiados pelo Banco Central do
Brasil poderão ser armazenados em soluções de computação em nuvem, após
avaliação do risco cibernético;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">II - propor ao GSI os
requisitos criptográficos mínimos para o armazenamento de dados e informações,
custodiados pelo Banco
Central do Brasil, em soluções de computação em nuvem;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">III - submeter ao GSI,
para posterior encaminhamento à Diretoria Colegiada, as minutas de elaboração e
de revisões do Regulamento de Uso Seguro de Recursos de Computação em Nuvem;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">IV - definir os
critérios e a periodicidade das atualizações dos procedimentos e dos recursos
computacionais a serem observados pelo provedor de serviço de nuvem;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">V - elaborar a matriz de
responsabilidades com as obrigações e as responsabilidades relacionadas ao
gerenciamento e ao uso seguro dos recursos de computação em nuvem.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 7º  Antes de
transferir serviços ou informações para um provedor de serviço de nuvem, o gestor
do serviço ou da informação deverá:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">I - realizar a avaliação
de risco observando pelo menos:</span></p><div style="text-align:justify;">
</div><p class="MsoListParagraph" style="margin:0cm 0cm 6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">a)
os aspectos de proteção de dados e da privacidade, conforme a legislação;</span></p><div style="text-align:justify;">
</div><p class="MsoListParagraph" style="margin:0cm 0cm 6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">b)
a segurança das informações, especialmente as de acesso restrito;</span></p><div style="text-align:justify;">
</div><p class="MsoListParagraph" style="margin:0cm 0cm 6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">c)
a criticidade do sistema ou do serviço para o Banco Central do Brasil;</span></p><div style="text-align:justify;">
</div><p class="MsoListParagraph" style="margin:0cm 0cm 6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">d)
a rotulação da informação ou do dado;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">II - definir o modelo de
serviço e de implementação de computação em nuvem que será adotado;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">III - definir as medidas
de mitigação de riscos e de custos para a implementação de solução de
computação em nuvem e para possibilidade de crescimento dessa solução;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">IV - planejar custos de
migração das informações e dos serviços, nos casos de ingresso e de saída do serviço
de computação em nuvem.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 8º  Além dos
requisitos listados no art. 7º, devem ser observados os demais requisitos dispostos
na Instrução Normativa nº 5, de 2021, do GSI/PR, conforme a matriz de
responsabilidades.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 9º  Este Regulamento
deve ser revisto, no máximo, a cada dois anos ou a qualquer tempo, quando
houver mudança significativa nos requisitos de segurança cibernética ou nos
riscos cibernéticos.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;">Art. 10.  Os casos
omissos são resolvidos pelo Coseg, sem prejuízo do disposto no Regimento
Interno do Banco Central do Brasil.</span></p>
</div>
</div>
