maio 30, 2018

[Segurança] A BSidesSP 0xF em números

A décima-quinta Security BSides São Paulo (BSidesSP), que aconteceu no final de semana de 19 e 20 de maio, foi épica e superou nossas expectativas: recebemos 1.245 participantes!


Vejam mais alguns números que representam essa edição:
  • 29 horas seguidas de evento
  • 1.245 pessoas presentes


  • 2.051 inscritos
    • 28 anos foi a idade média dos participantes
    • 35 speakers (só 1 speaker faltou, e foi substituído por uma excelente palestra do Nelson Brito)



    • 250 pessoas vieram em 9 caravanas
      • 8 horas foi o tempo de viagem do pessoal da caravana de Uberaba
    • 2 super-heróis, 3 dinossauros, 1 flamingo e 1 unicórnio estavam presentes



  • 33 voluntários ajudaram a realizar o evento
    • 13.915 foi a média de passos dados pelos organizadorese voluntários no domingo



  • 34 participantes do CTF divididos em 9 Times, que comeram 24 pizzas e beberam 120 latinhas de Red Bull;
  • 17 participantes no CTF da Village de Forense!


  • 11 participantes na competição de robótica
    • 18 robôs construídos na arena 4 kidz
    • 4 robôs funcionando


  • 1 Banda e 5 DJs:
  • 2.460 latinhas de cerveja foram consumidas
  • 450 kg de espetinhos foram servidos (quase o peso de 2 bois)
  • 700 cachorros quentes foram servidos em apenas 1h30


  • 8 caminhões e 2 motos de bombeiros foram mobilizados para descobrir que o incêndio na PUC era um churrasco!


  • 0 acidentes com nenhuma hospitalização necessária
  • 7 Empresas Patrocinadoras
  • 14 Apoiadores
  • 35 Doadores Jedi, que juntos contribuiram com um valor quase equivalente ao de uma cota de patrocínio!
Além disso, o evento aconteceu em um final de semana particularmente muvucado:
  • Choveu um pé d'água no sábado de manhã, e justamente neste que foi o mês de Maio mais seco nos últimos 18 anos!
  • Foi o final de semana da Virada Cultural, e várias ruas perto da PUC foram bloqueadas (inclusive a Consolação!);
  • Tivemos um casamento real, no sábado! ;)


A BSidesSP não aconteceria sem os patrocinadores, pois sem eles jamais teríamos feito um evento totalmente gratuito para a galera: a BASE4 Security, Conviso, El Pescador e Tempest, IBLISS, Logical IT e a Trend Micro. Várias empresas também apoiaram o evento em várias ações específicas: a Cipher, que ofereceu o café gourmet, a Daryus Educação, Grifa Filmes, a Imaginario Nerd com sua lojinha super legal, a Novatec, Pride Security, Roadsec, Robocore, e a RSA, que patrocinou o prêmio do CTF: 4 Pineapple Nano. Outras empresas também apoiaram as Villages.


E, principalmente, obrigado a todas e todos que vieram e prestigiaram o evento!


OBS: Post atualizado em 01/06 para reorganizar algumas fotos e adicionar outras. Outra pequena atualização em 07/06.

maio 29, 2018

[Segurança] Coletânea de artigos sobre crimes cibernéticos

Recentemente, o Ministério Público Federeal (MPF) disponibilizou online sua 3ª Coletânea de Artigos sobre Crimes Cibernéticos, composta por diversos artigos que misturam assuntos técnicos e com outros que tratam de questões legais e temas práticos no processo de investigação de ciber crimes.


São 13 artigos distribuídos em 278 páginas, que falam sobre vários aspectos da investigação e combate a crimes civernéticos. Destes artigos, 5 deles tratam de crimes relacionados a pornografia infantil, mas também há artigos sobre diversos assuntos interessantes, como investigação e obtenção de provas, um artigo sobre criptomoedas, outro sobre ransomwares, e um sobre educação digital nas escolas.

maio 28, 2018

[Segurança] Infográficos sobre a GPDR

O escritório Opice Blum publicou 5 Infográficos resumindo as principais informações sobre o GPDR, para ajudar a entender a legislação e seus impactos.

Eu gostei principalmente do infográficos sobre os "aspectos gerais", que lista os ptincipais artigos dessa norma, e também ficaram legais os infográficos sobre  "direitos dos titulares de dados""incidentes de segurança e notificações".




maio 25, 2018

[Segurança] Quem tem medo da GPDR?

É hoje!!!


De repente, não se falava em outra coisa no mercado de segurança: "como as empresas devem se preparar para a GPDR". A sigla GDPR está em praticamente todas as conversas, palestras e eventos, além de ser item obrigatório no discurso de marketing de qualquer fornecedor!

E nesses últimos dias, tornou-se comum receber e-mail de vários serviços online que estão atualizando os seus termos de privacidade.

O General Data Protection Regulation (GDPR) é uma reguulamentação européia, criada pelo Parlamento Europeu, que trata sobre a coleta, manipulação e tratamento de dados pessoais dos cidadãos da Comunidade Européia. Essa norma foi promulgada em Abril de 2016, com um prazo de dois anos para as empresas estarem em acordo com os requisitos estabelecidos pelo GDPR. E o prazo acaba agora, 25 de maio deste ano.

Timeline:
  • Janeiro/2012: Início da iniciativa de Reforma de Proteção de Dados ("EU Data Protection Reform");
  • 15/dezembro/2015: divulgado o acordo com relação a iniciativa de reforma nas legidslações européias de proteção da dados;
  • 27/Abril/2016: Promulgada a regulamentação do GPDR (2016/679)
  • 25/Maio/2018: O GPDR entra em vigor.
E todo esse bafafá no mercado se deve por três motivos, na minha opinião: a proximidade do prazo para as empresas aderirem a norma (sob pena de uma multa severa), pela abrangência global da norma (sim, isso mesmo, ela é uma norma européia que pode valer para empresas em todo o mundo) e pelas altas multas que ela impõe.

Embora a GDPR seja uma norma Européia, que trata sobre dados de cidadãos europeus, ela se aplica a qualquer empresa que colete e armazene esses dados, independente de sua localização.

O GPDR diz respeito ao tratamento de informações pessoais de cidadãos da União Europeia. Ela foi criada com objetivo de exigir que os processos de negócios que lidam com dados pessoais devem ter a privacidade por design, ou seja, o tratamento dos dados pessoais deve respeitar a privacidade dos mesmos. Por exemplo os dados devem ser armazenados usando pseudonimização ou anonimato completo e usar as configurações de privacidade mais altas possíveis por padrão, para que não estejam disponíveis publicamente,. Nenhum dado pessoal pode ser processado a menos que haja o consentimento explícito do proprietário dos dados.

O GPDR trata assuntos como:
  • Responsabilidade das empresas
  • Proteção de dados por design e por default (Artigo 25)
  • Pseudonimização: os dados devem ser armazenados de forma a não permitir a identificação do indivíduo, usando técnicas como, por exemplo, criptografia e tokenização;
  • Direito de acesso (Artigo 15): os cidadãos tem o direito de acessar seus dados pessoais e exigir informações sobre como esses dados pessoais são processados;
  • Direito de remoção (Artigo 17), que no GPDR representa uma variação mais ampla ao "direito ao esquecimento". Os usuários tem o direito de exigir a remoção de seus dados
  • Registros das atividades de processamento 
  • Data protection officer (DPO), o "Oficial de proteção de dados", responsável dentro da empresa a tratar as questões relacionadas a gestão dos dados pessoais. Será responsável pela implementação de medidas técnicas e organizacionais para assegurar e comprovar que os dados pessoais mantidos pela empresa estão em conformidade com os requisitos da GDPR;
  • Violações de dados (Artigo 33): As empresas tem obrigação de notificar qualquer violação ou vazamento de dados em até 72 horas;
  • Sanções: As punições podem chegar a €20 milhões, ou 4% do faturamento da empresa (o que for maior).
O texto da norma é enorme! Sua versão em PDF tem 261 páginas, ou seja: a leitura é longa, bem massante, chata e difícil. Talvez a parte mais importante começa na página 116, no Capítulo II, que define os Princípios.


O pessoal do site TechPrivacy criou um infográfico (whiteboard) que resume em uma única página as principais informações sobre o GPDR:


Uma outra iniciativa interessante na Europa é a "Second Payment Services Directive (PSD2)", que exige que bancos europeus abram os mercados de pagamentos para empresas oferencendo serviços baseado no acesso a informações de pagamento dos clientes. Ou seja, os bancos devem deixar seus dados sobre clientes acessíveis para terceiros - um paraíso para as Fintechs (startups tecnológicas do setor financeiro).

Para saber mais:

maio 23, 2018

[Segurança] A BSides 0xF foi épica!

Obrigado a todas e todos que vieram na décima-quinta Security BSides São Paulo (BSidesSP), que aconteceu neste final de semana, dias 19 e 20 de maio.

O evento foi épico, surreal!


Daqui a pouco soltamos os números exatos desta edição, mas lotamos a PUC-SP com mais de 1.200 pessoas, e mesmo assim a PUC nos recebeu novamente de braços abertos! Foram cerca de 2.500 latinhas de cerveja e 450 kg de espetinhos (quase o peso de 2 bois).

O CTF encheu no sábado e virou a noite adentro (apesar de alguns probleminhas... coff,, coff..). As palestras, oficinas e villages estavam lotadas, e o show nos intervalos bombou!





Obrigado aos patrocinadores, pois sem eles não conseguiríamos ter feito um evento totalmente free para a galera: da BASE4 SecurityConvisoEl Pescador e TempestIBLISSLogical IT e da Trend Micro. Obrigado também as empresas que nos apoiaram em várias ações específicas: a Cipher, que ofereceu o café gourmet para o pessoal, a Daryus EducaçãoGrifa Filmes, a Imaginario Nerd com sua lojinha super legal, a NovatecPride SecurityRoadsecRobocore, e a RSA, que patrocinou 4 Pineapple Nano como prêmio do CTF.

O evento não seria o mesmo sem o esforço dos palestrantes e organizadores das Villages, que trouxeram conteúdo de altíssima qualidade, e aos voluntários que mantiveram o evento bem organizado. Pela primeira vez tivemos um exército de "BSiders" que deram um show de eficiência e profissionalismo!

E, principalmente, obrigado a todas e todos que vieram e prestigiaram o evento! Tivemos caravanas que enfrentaram 8 horas de estrada para vir na BSidesSP (obrigado!!!), pais que trouxeram seus filhos, bombeiros acionados para apagar um "incêndio" (que era, na verdade, a fumaça da churrasqueira), e muitas outras histórias individuais e emocionantes. Vocês são a razão de continuarmos nessa vida loka!!!

maio 21, 2018

[Segurança] Testando a qualidade da cifra SSL usada em seu site

Existem dezenas de combinações possíveis para as cifras de criptografia e troca de chave que podem ser utilizadas em uma comunicação SSL/TLS. Estão disponíveis desde as mais seguras até algumas com algoritmos de criptografia e assinatura digital mais fracos.

A nomenclatura adotada por padrão, para esses conjuntos de cifra, indicam o algoritmo de troca de chaves (ex: RSA, ECDHE), o algoritmo de assinatura, o de criptografia simétrica (utilizado para a comunicação de dados) e de autenticação de mensagem.


Isso acontece porque o protocolo SSL/TLS permite que o servidor e o cliente negociem que cifras vão utilizar para troca de chaves, assinatura, criptografia e autenticação da mensagem, dentro das várias suportadas por padrão. Sempre é escolhido o conjunto de cifras mais seguro entre as cifras suportadas por ambas as partes (cliente e servidor). Isso faz parte do "SSL Handshake" que acontece no início de uma conexão SSL.


Um navegador web, por exemplo, pode se conectar a um servidor usando qualquer uma das opções de cifras que o servidor fornece e que também sejam suportadas pelo navegador. Assim, se o site oferecer algumas opções seguras (por exemplo, troca de chave com ECDH), mas também algumas opções fracas (como a velha criptografia DES), os usuários podem se conectar com qualquer uma das opções disponíveis. Normalmente o browser e o servidor web negociam a cifra mais forte que seja comum entre os dois, mas um atacante, nesse caso, pode tentar forçar o uso de algoritmos fracos para explorar a conexão da vítima.

O tipo de cifra usada no SSL é algo que pode (e deve!) ser configurado nos servidores, seja ele um servidor Web Apache, a comunicação com um host com VMware, uma API, o pacote Schannel da Microsoft, etc.



A melhor forma que eu conheço para avaliar se a configuração SSL do seu site fornece opções seguras é através do site SSL Test, mantido pela Qualys (https://www.ssllabs.com/ssltest/). Ele avalia as cifras aceitas por padrão em seu site Web, simula os handshake desde vários browsers diferentes, verifica se estão sendo usadas cifras frágeis ou combinações associadas a vulnerabilidades conhecidas, e no final, gera uma pontuação para indicar se a configuração está boa ou ruim. O ideal, claro, é obter nota máxima, "A".


Entre outras informações interessantes, o SSL Test identifica quais são os conjuntos de cifras suportadas pelo servidor web e simula o handshake com diferentes versões de browser, para identificar que cifra cada browser irá adotar como padrão.



maio 17, 2018

[Segurança] Os números da RSA Conference

Os números da última RSA Conference, que aconteceu em Abril em São Francisco (EUA), mostram que este é o maior evento do nosso mercado:
  • Cerca de 42.000 participantes;
  • 600 empresas expositoras;
  • 550 atividades;
  • 17 keynotes;
  • 154 palestrantes do sexo feminino, mostrando a diversidade do evento.
Anote na sua agenda: no próximo ano, a RSA Conference acontecerá nos dias 4 a 8 de Março de 2019.

maio 16, 2018

[Segurança] A BSides São Paulo está chegando!

Daqui a pouco teremos a décima quinta edição da conferência Security BSides São Paulo (BSidesSP), uma confêrencia gratuita sobre segurança da informação e cultura hacker.


Para esta edição, preparamos várias atividades acontecendo em paralelo no Domingo (20/05), para receber um público estimado em 1.200 pessoas na PUC-SP:
  • 3 trilhas de palestras, 2 de oficinas e uma trilha no mini-auditório com a Hacker Carreer Fair, Lightning Talks e mais palestras;
  • Teremos vários palestrantes excelentes, incluindo o Diego Aranha, Fernando Mercês, o Kretcheu. Vamos começar o evento com uma palestra bem interessante do Marcio Seixas, o dublador que faz a voz do Batman, Spock, James Bond e vários outros personagens bem conhecidos;
  • A BSides 4 Kidz, com atividades para crianças e jovens;
  • Teremos 5 Villages: de AppSec, Biohacking, Hacking, Hardware Hacking e de Perícia Forense Computacional;
  • Uma atividade de "Interaja Com os Especialistas", para os participantes tirar dúvidas e trocar ideias com especialistas de Segurança
  • Várias competições durante todo o evento:


Também teremos lojinhas do Garoa Hacker Clube, Imaginario Nerd e da Novatec.

No sábado (19/5) teremos os mini-workshops gratuitos e o início da competição de CTF, que vara a noite adentro até Domingo.

Também teremos as campanhas Bloody Hacker e Good Hacker! As 20 primeiras pessoas que chegarem com atestado de doação de sangue e as 10 primeiras que levarem calçados, roupas e agasalhos em bom estado, ganham uma camiseta exclusiva!

A Security BSides São Paulo faz parte do circuito global de conferências Security BSides, presentes em mais de 25 países. O evento acontecerá nos dias 19 e 20 de Maio de 2018 (Sábado e Domingo), na PUC Consolação (ao lado da nova estação Higienópolis-Mackenzie da Linha Amarela).

Esta edição da BSidesSP conta com o patrocínio da BASE4 Security, Conviso, El Pescador e Tempest, IBLISS, Logical IT e da Trend Micro. Além disso, conta com o apoio da Cipher (que estará fornecendo café gourmet para os presentes), a Daryus Educação, Grifa FilmesImaginario NerdNovatec, Pride Security, Roadsec, Robocore, e da RSA (que está patrocinando alguns dos prêmios do CTF).

Para mais informações e inscrições, visite o site do evento.

maio 14, 2018

[Segurança] Fundamentos de Engenharia Reversa

O portal Mente Binária acabou de disponibilizar online, e gratuitamente, o livro "Fundamentos de Engenharia Reversa", com um conteúdo que cobre os conhecimentos fundamentais sobre o assunto. A leitura é fácil, pois o texto é bem escrito, objetivo e didático.

Este livro é o resultado do trabalho do Fernando Mercês, ministrando centenas de horas de aulas sobre engenharia reversa de software. Algumas seções ainda estão em construção.

É possível apoiar o livro, colaborando com o portal Mente Binária e enviando sugestões, perguntas e avisando se encontrar algum erro.

Se você gosta do assunto, não deixe de acompanhar o Curso de Engenharia Reversa Online (CERO) no canal do Papo Binário.


maio 11, 2018

[Segurança] Demonstração Máquina Enigma - Museu da UFRGS

O Museu da UFRGS publicou um vídeo no YouTube com uma Demonstração Máquina Enigma que está lá no museu deles. Há poucos anos atrás, o Instituto de Informática da UFRGS adquiriu uma Enigma modelo A2200, em parceria com o Ministério da Educação. Essa máquina, em particular, era usada pela Luftwaffe, a força aérea Alemã, mais ou menos em 1942, durante a 2a Guerra.

No vídeo, de 2013, o pesquisador Ivan Boesing explica alguns conceitos básicos e, em seguida, demonstra o seu funcionamento. Original da Segunda Guerra Mundial, a máquina era usada pela Alemanha nazista para proteger suas informações.


A máquina de criptografia Enigma era utilizada pela Alemanha nazista para criptografar suas comunicações e utilizava um sistema de rotores mecânicos para criptografar a mensagem que era digitada em seu teclado. As informações que fossem escritas por uma máquina Enigma somente podiam ser lidas por uma máquina semelhante, ambas configuradas com os mesmos parâmetros iniciais.

maio 09, 2018

[Cyber Cultura] Principais características dos hackerspaces

Lendo o material da Beatriz Cintra Martins sobre a sua pesquisa de pós-doutorado  “Um estudo dos hackerspaces brasileiros como espaços comunitários de produção de conhecimento”, eu me interessei em particular pelo material em que ela identifica as características e estruturas dos hackerspaces.

Assim, eu fiz uma coletânea dessas características que achei mais relevantes e interessantes:
  • Funcionam como centros comunitários de encontros e trocas;
  • São autofinanciados e auto-organizados;
  • Não são voltados ao lucro;
  • Instalados em espaços físicos, alugados;
  • Abertos ao público em geral;
  • Mais ligados à ideologia liberal, mas em geral não estão comprometidos com projetos políticos;
  • Equipamentos, ferramentas, ideias e informações são compartilhados sem discriminação;
  • Foco maior em compartilhar o conhecimento do que em simplesmente ensinar (ou seja, um modelo educacional pela experimentação e aprendizagem coletiva);
  • Democratização da tecnologia (acesso e experimentação) e práticas Faça Você Mesmo (Do It Yourself);
  • Enfase maior em brincar com a tecnologia.
Em 2011 eu publiquei aqui um artigo aonde descrevi quais são as principais características de um hackerspace, na minha opinião. E todas elas estão identificadas na lista acima :)

maio 04, 2018

[Segurança] Vídeo da BSidesSP

Para relembrar a BSidesSP, nada melhor do que esse pequeno vídeo:


O vídeo foi garvado durante a BSidesLatam, que realizamos em 2016 aqui em São Paulo. Na ocasião, fizemos esta que foi a primeira edição da versão Latam da BSides, que pretende acontecr anualmente, cada vez em um país diferente. A BSidesLatam seguiu o mesmo modelo e dinâmica que damos nas edições da BSidesSP.

A próxima edição da BSides São Paulo será daqui a pouquinho, nos dias 19 e 20/Maio. A BSides Latam deste ano acontecerá no Chile.

maio 02, 2018

[Segurança] Nova regulamentação do Banco Central sobre Política de Segurança e Computação em Nuvem

No dia 26 de Abril, o Banco Central do Brasil (BCB) divulgou uma nova regulamentação para as instituições financeiras que aborda exigências sobre a política de segurança cibernética, com grande destaque ao tratamento de incidentes, e também os requisitos de segurança para a contratação de serviços de computação em nuvem.

Essa norma define o conteúdo mínimo da política de segurança cibernética das instituições financeiras, a necessidade de treinamento e conscientização, e que ela deve ser compartilhada com o Banco Central e revisada periodicamente. A norma dá muita importância para as exigências contratuais mínimas para serviços de computação em nuvem e sua adequação as políticas de riscos e segurança da instituição, além de que essa contratação deve ser previamente  aprovada pelo BCB. Além disso, há uma seção específica para diversas exigências relativas ao tratamento dos incidentes de segurança, incluindo ações para o compartilhamento de informações sobre esses incidentes.

Resolução nº 4.658, de 26/4/2018 foi fruto de uma consulta pública realizada em Setembro de 2017. A norma merece ser lida e consultada, e acredito que a regulamentação sobre contratação de serviços em nuvem foi o aspecto mais importante e esperado da norma.

Em geral, os principais pontos são os seguintes:
  • Seção I - "Da Implementação da Política de Segurança Cibernética" (Artigos 2º ao 3º): Define que as instituições financeiras devem implementar e manter uma Política de Segurança Cibernética que dite os princípios, diretrizes, procedimentos e contoles para assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas, de informação utilizados. Aqui ela não traz nenhuma novidade, pois essas exigências já são práticas de mercado. Mesmo assim, destaco os seguintes pontos:
    • Art. 3º, inciso VI (caput), item a) - a implementação de programas de capacitação e de avaliação periódica de pessoal;
    • Art. 3º, inciso VII (caput) - as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com as demais instituições referidas no art. 1º.
    • Art. 3º, § 2º - Os procedimentos e os controles de que trata o inciso II do caput devem abranger, no mínimo, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.
  • Seção II - "Da Divulgação da Política de Segurança Cibernética" (Art. 4º e 5º) - Dita que a política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, além de ter um resumo divulgado ao público;
  • Seção III - "Do Plano de Ação e de Resposta a Incidentes" (Art. 6º ao 10º) - Seção relativamente longa, em minha opinião, para detalhar essa que deveria ser apenas uma das diversas práticas dentro da área de segurança, mostrando a importância que as instituições financeiras devem dar ao tratamento de incidente. Aqui, o BCB define que devem existir rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, sob responsabilidade de um diretor:
    • Art. 7º - As instituições (...) devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.
  • Capítulo III - "Da Contratação de Serviços de Processamento e Armazenamento de Dados de Computação em Nuvem" (Art. 11 ao 18) - Este é o capítulo que define as exigências de segurança e riscos para serviços em nuvem, no Brasil ou no exterior. Em linhas gerais, diz que as políticas, estratégias, procedimentos e ferramentas que se aplicam a terceirização de serviços também se aplicam a Nuvem. Os pontos mais importantes desse capítulo, na minha opinião, são:
    • Art. 11. - As instituições referidas no art. 1º devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.
    • Art. 12, § 3º - No caso da execução de aplicativos por meio da internet, referidos no inciso III do art. 13, a instituição deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.
    • Art. 14. - A instituição contratante dos serviços mencionados no art. 12 é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.
    • Art. 15. - A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser previamente comunicada pelas instituições referidas no art. 1º ao Banco Central do Brasil.
    • Art. 16. - A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior deve observar os seguintes requisitos:
      I - a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados;
      II - a instituição contratante deve assegurar que a prestação dos serviços referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;
      III - a instituição contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;
    • Art. 16, § 2º - Para atendimento aos incisos II e III do caput, as instituições deverão assegurar que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso das instituições contratantes e do Banco Central do Brasil aos dados e às informações.
    • Art. 17. - Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:
      (...)
      VII - a permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações;
      VIII - a adoção de medidas pela instituição contratante, em decorrência de determinação do Banco Central do Brasil;
  • Capítulo IV - Disposições Gerais
    • Art. 20. Os procedimentos adotados pelas instituições para gerenciamento de riscos previstos na regulamentação em vigor devem contemplar, no tocante à continuidade de negócios:
      (...)
      III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem uma situação de crise pela instituição financeira, bem como das providências para o reinício das suas atividades.
    • Art. 22. Sem prejuízo do dever de sigilo e da livre concorrência, as instituições mencionadas no art. 1º devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes de que trata o art. 3º, inciso IV.
      § 1º O compartilhamento de que trata o caput deve abranger informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a terceiros.
  • Capítulo V - Disposições Finais
    • Art. 23. - Ele determina que todas as informações sobre a política de segurança e sobre as exigências desta regulamentação devem ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos.
    • Art. 25. - O prazo máximo para as instituições financeiras adequarem seus serviços existentes de processamento, armazenamento de dados e de computação em nuvem é 31 de dezembro 2021.
    • Art. 26. - A aprovação da política de segurança cibernética, referida no art. 2º, e do plano de ação e de resposta a incidentes, referido no art. 6º, deve ser realizada, na forma do art. 9º, até 6 de maio de 2019.

Uma grande diferença entre a regulamentação e a versão da consulta pública é a retirada da limitação de que os serviços em Nuvem só poderiam ser baseados no Brasil. Em vez de restringir, o Banco Central optou por exigir que a contratação de serviços em nuvem no exterior seja previamente comunicada pela instituição financeira (Art. 16) e que o BCB tenha os devidos acessos as informações armazenadas na nuvem, quando necessário (Art. 16 e 17).

Um ponto preocupante para o mercado de segurança, e que pode passar desapercebido, é o § 1º do Artigo 22, pois diz que as instituições financeiras devem compartilhar entre si informações sobre incidentes relevantes que tenham sido recebidas de empresas prestadoras de serviços a terceiros. Ou seja, se um banco contratar uma empresa de inteligência e esta lhe fornecer alguma informação relevante sobre um novo ataque, por exemplo, ese banco deve compartilhar a informação com os demais. Ou seja, um banco mais "preguiçoso" não precisa investir em capacidade própria de inteligência: basta ele ficar sentado esperando que os demais bancos lhes envie as informacões que obtiver.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.