O blog da AWS

Regulamentação do mercado financeiro brasileiro para retenção de dados históricos

Por Marcio Mincarelli e Roberto Fernandes da Silva 

 

No mercado financeiro brasileiro a retenção de dados históricos e a implementação de backups eficientes são práticas fundamentais para garantir a conformidade regulatória e a segurança dos dados. O setor financeiro está constantemente exposto a ameaças como ataques cibernéticos e violações de segurança. A perda ou o comprometimento de dados sensíveis pode resultar em prejuízos financeiros significativos e danos à reputação das instituições. Por isso é essencial implementar sistemas de backup eficientes e adotar práticas de segurança cibernética robustas.

Neste artigo, exploraremos em detalhes a importância da retenção de dados históricos e backup no mercado financeiro brasileiro, levando em consideração as diretrizes estabelecidas pelo Banco Central do Brasil (BCB), pela Comissão de Valores Mobiliários (CVM) e pelo Conselho Nacional de Arquivos (CONARQ) . Vamos analisar como essas práticas podem garantir a conformidade regulatória e proteção dos dados financeiros.

Referências:

*Esta lista de resoluções não é exaustiva, desta forma outras poderão existir se adicionando aos mencionados neste blogpost.

Acompanhando as diretrizes estabelecidas pelo BCB, pela CVM e pelo CONARQ, as instituições financeiras devem adotar medidas adequadas para a retenção e proteção dos registros financeiros. Entretanto estas medidas não são descritas de forma prescritivas de como realizar esta proteção elas apenas estipulam o período de retenção necessário variando entre 5 a 10 anos.

Podemos citar como um exemplo a Resolução BCB n° 150 de 6/10/2021 estabelece que os registros de pagamento devem ser armazenados por 5 anos: “Art. 36. As informações que comprovem a execução das atividades de que trata esta Seção devem ser mantidas à disposição do Banco Central do Brasil por pelo menos 5 (cinco) anos.”. Porém caso a transação de pagamento estiver sob análise de fraude, a Resolução Conjunta BCB n° 6 de 23/5/2023 estabelece que em caso de investigação deverá ter o registro por 10 anos: “II – por dez anos, os dados e as informações compartilhados, nos termos do art. 2º, § 6º, inciso II, e a documentação com os critérios e procedimentos a que se refere o art. 2º, § 8º; e”. Como determinar o que será alvo de fraude ou não, a regra do maior período de retenção se aplica sobre o menor.

A complexidade extrapola a retenção do dado, pois além da salvaguarda destes registros se faz necessário ter um ambiente que permita recuperar o dado para uso.

Um exemplo prático desta complexidade é a necessidade de recuperar um backup de longa duração em decorrência de um acionamento jurídico,  este backup pode ter sido originado de um banco que já se encontra depreciado e sem suporte pelo fabricante.

A AWS (Amazon Web Services) oferece um conjunto abrangente de serviços e soluções que podem ajudar clientes do mercado financeiro brasileiro a manter a conformidade regulatória e a aderência às diretrizes estabelecidas pelos órgãos reguladores. Vamos explorar algumas dessas soluções e como elas podem ser aplicadas.

Armazenamento de dados duráveis e escaláveis

A AWS disponibiliza serviços de armazenamento, como o Amazon S3 (Simple Storage Service), que fornecem um local seguro e altamente durável para a retenção de dados históricos. Esses serviços garantem a integridade e a disponibilidade dos dados, atendendo às exigências de longo prazo impostas pelas regulamentações.

Por exemplo, é possível utilizar o Amazon S3 Glacier para armazenar dados históricos com acessos esporádicos, garantindo a retenção de longo prazo com um custo reduzido. Uma das características do S3 é que ele foi projetado para fornecer 99,999999999% de durabilidade, isto significa na pratica que se  você armazenar 10.000 objetos no Amazon S3, poderá esperar, em média, a perda de um único objeto a cada 10.000.000 de anos. Outra característica importante deste serviço é o WORM (Write Once Read Many) do Object Lock do Amazon S3, que garante a segurança e imutabilidade do dado,  por fim as classe de armazenamento que são importantes sob uma perspectiva de custo dependendo da frequência de acesso conforme ilustrado abaixo:

Backup e recuperação de dados

Um dos serviços que merece destaque neste contexto é o AWS Backup, ele orquestra a proteção de diversos serviços gerenciados como o Amazon EBS (Elastic Block Store) e o AWS RDS. Esta solução permite criar cópias dos dados e aplicar políticas de retenção adequadas para atender às exigências regulatórias. Com o AWS Backup, é possível automatizar o processo de backup e simplificar a recuperação de dados em caso de perda ou violação. Isso garante a disponibilidade dos dados e a continuidade dos negócios. Usando o serviço em conjunto com o AWS Organizations, você consegue habilitar o produto em toda a Organização protegendo e monitorando todas as contas de maneira centralizada. Esta integração ainda permite estabelecer uma arquitetura  de armazenamento centralizada, com imutabilidade habilitada e com aplicação do conceito de menor privilegio de acesso como descrito nesse blogpost.

Segurança e conformidade

A AWS fornece uma ampla gama de serviços e recursos para ajudar os clientes a manter a segurança dos dados e a aderência às regulamentações. Por exemplo, o AWS Identity and Access Management (IAM) permite controlar o acesso aos recursos da AWS, garantindo que apenas as pessoas autorizadas possam acessar dados sensíveis. Além disso, a AWS disponibiliza serviços de criptografia, como o AWS Key Management Service (KMS), para proteger os dados em repouso e também o AWS Config, serviço para monitorar a conformidade de recursos, que pode ser amplamente usado em conjunto com o AWS Backup para garantir a conformidade.

Arquiteturas de referência

A AWS disponibiliza arquiteturas de referência específicas para o setor financeiro, utilizadas como modelos para a implementação de soluções em conformidade com as regulamentações. Essas arquiteturas fornecem orientações sobre como configurar e integrar os serviços da AWS para atender aos requisitos de retenção dos órgãos reguladores. Por exemplo, o blogpost FSI Services Spotlight: AWS Backup que aborda desde conceitos básicos até aderência a programas de conformidade, criptografia, proteção contra ransomware, eficiência operacional e acesso aos dados.

Conclusão

A retenção segura de dados históricos é crucial no mercado financeiro, para que seja estabelecida uma estratégia bem sucedida se faz necessário considerar as regulações estipuladas pelos órgãos reguladores.

Uma vez definida a estratégia a AWS possui um portifólio abrangente de serviços que podem apoiar a alcançar a conformidade necessária, entre esses serviços podemos citar o S3 e do AWS Backup que vimos ao longo deste blogpost.

Referências:

Resolução 4474
Resolução 4892
Resolução Câmbio
Resolução SPB
Resolução Fraude
AWS Backup e AWS Organizations
AWS Key Management Service (KMS) on AWS Backup
Serviços suportados no AWS Backup
AWS Backup com referências para a indústria de finanças

 

Sobre os autores

Marcio Mincarelli é Gerente de Arquitetos de soluções na AWS. Ele tem mais de 20 anos de experiência no mercado de tecnologia, apaixonado por inovação e transformação. Atualmente está responsável pelo atendimento aos clientes do mercado financeiro no Brasil.

 

 

 

 

Roberto Fernandes da Silva é arquiteto de soluções na AWS com mais de 16 anos no mercado de tecnologia. Atualmente seu foco esta no suporte a clientes do segmento enterprise em suas jornadas de nuvem bem como em ferramentas de gerenciamento.