DIARIO OFICIAL DA UNIAO Publicado om 01/03/2021 | Ede: 39 [See 1 | Pagina: 62 Orgie:Minstélo da Eeonomia/Banco Central do Bait RESOLUCAO CMN N° 4.893, DE 26 DE FEVEREIRO DE 2021 Dispée sobre a politica de seguranga cibernética e sobre os requisitos para a contratacao de servicos de processamento e armazenamento de dados e de computacdo em nuvem a serem observados pelas instituigées autorizadas a funcionar pelo Banco Central do Brasil. © Banco Central do Brasil, na forma do art. 9° da Lei n® 4595, de 31 de dezembro de 1964, torna puiblico que o Consetho Monetario Nacional, em sessao realizada em 25 de fevereiro de 2021, com base nos arts, 4°, inciso VIll, da referida Lei, 9° da Lei n° 4.728, de 14 de julho de 1965, 7° e 23, alinea ‘a’ da Lei n® 6.089, de 12 de setembro de 1974, 1°, inciso Il, da Lei n° 10.194, de 14 de fevereiro de 2001, © 1°, 51°, da Lei Complementar n° 130, de 17 de abril de 2009, resolve: CAPITULO | DO OBJETO E DO AMBITO DE APLICACAO Art, 1° Esta Resolucao dispde sobre a politica de seguranga cibernética e sobre os requisitos para a contratagao de servigos de processamento @ armazenamento de dados e de computacdo em nuvem a serem observados pelas instituicdes autorizadas a funcionar pelo Banco Central do Brasil Paragrafo Unico. O disposto nesta Resolugao nao se aplica as instituicées de pagamento, que devem observar a regulamentacdo emanada do Banco Central do Brasil no exercicio de suas atribuigées legais. CAPITULO I DA POLITICA DE SEGURANCA CIBERNETICA Secao! Da Implementagao da Politica de Seguranca Cibernética ‘Art, 2° As instituigdes referidas no art. 1° devem implementar e manter politica de seguranca cibernética formulada com base em principios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados ¢ dos sistemas de informacao utilizados. 51° Apolitica mencionada no caput deve ser compativel com: - 0 porte, 0 perfilde risco e © modelo de negécio da instituicao: Il - anatureza das operagdes e a complexidade dos produtos, servigos, atividades e processos da instituicao; e Ill-a sensibilidade dos dados e das informacées sob responsabilidade da instituicdo. 52° Admite-se a adogio de politica de seguranga cibernética tnica por: 1 conglomerado prudencial: U1 sistema cooperative de crédito. 5 3° As instituicdes que nao constituirem politica de seguranca cibernética propria em decorréncia do disposto no § 2° devem formalizar a opcao por essa faculdade em reuniao do consetho de administracao ou, na sua inexisténcia, da diretoria da instituigao. Art. 3° A politica de seguranca cibernética deve contemplar, no minime: | - 0s objetivos de seguranca cibernética da instituicao:Il - 0 procedimentos e os controles adotados para reduzir a vulnerabilidade da instituigao a incidentes e atender aos demais objetivos de seguranca cibernética; lil - 0s controles especificos, incluindo os voltados para a rastreabilidade da informacao, que busquem garantir a seguranga das informacées sensiveis; IV - © registro, a analise da causa e do impacto, bem como 0 controle dos efeitos de incidentes relevantes para as atividades da instituigao: V- as diretrizes para a) a elaboracdo de cendrios de incidentes considerados nos testes de continuidade de negécios; b) a definigao de procedimentos e de controles voltados & prevencdo e ao tratamento dos incidentes a serem adotados por empresas prestadoras de servicos a terceiros que manuseiem dados ‘ou informagées sensiveis ou que sejam relevantes para a condugao das atividades operacionais da instituigao: ©)a classificagio dos dados e das informacées quanto a relevancia: d) a definicao dos parémetros a serem utilizados na avaliagao da relevancia dos incidentes VI = 0s mecanismes para disseminagio da cultura de seguranga cibernética na instituigao, incluindo: a) a implementacdo de programas de capacitagao e de avaliacao periddica de pessoal: b) a prestacdo de informagées a clientes e usuarios sobre precaugdes na utilzagdo de produtos e servigos financeiros; ¢ ©) © comprometimento da alta administragéo com a melhoria continua dos procedimentos relacionados com a seguranga cibernética: e Vil - as iniciativas para compartithamento de informagdes sobre os incidentes relevantes, mencionados no inciso IV, com as demaisinstituigdes referidas no art. 1°. § 1° Na definicdo dos objetivos de seguranca cibernética referidos no inciso | do caput. deve ser contemplada a capacidade da instituigao para prevenir, detectar © reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético. § 2° Os procedimentos ¢ os controles de que trata 0 inciso II do caput devem abranger, no minimo, a autenticaco, a criptografia, a prevencao e a deteccao de intrusso, a prevengao de vazamento de informagées, a realizacao periddica de testes @ varreduras para detec¢ao de vulnerabilidades, a protecdo contra softwares maliciosos, 0 estabelecimento de mecanismos de rastreabilidade, os controles de acesso © de segmentagio da rede de computadores a manutencao de cépias de seguranca dos dados e das informagées. § 3° Os procedimentos ¢ os controles citados no inciso II do caput devem ser aplicados, inclusive, no desenvolvimento de sistemas de informacao seguros © na adocao de novas tecnologias ‘empregadas nas atividades da institui¢ao. § 4° 0 registro, a analise da causa e do impacto, bem como 0 controle dos efeitos de incidentes, citados no inciso IV do caput, devem abranger inclusive informacées recebidas de empresas prestadoras de servicos a terceiros. § 5° As diretrizes de que trata o inciso V, alinea “b, do caput devem contemplar procedimentos © controles em niveis de complexidade, abrangéncia © precisio compativeis com os utitizados pela prépria instituigdo. Segao Il Da Divulgagao da Politica de Seguranga Cibernética Art. 4° A politica de seguranca cibernética deve ser divulgada aos funcionarios da instituigdio e ‘as empresas prestadoras de servicos a terceiros, mediante linguagem clara, acessivel e em nivel de detathamento compativel com as fungdes desempenhadas e com a sensibilidade das informacoes.Art. 5° As instituicées devem divulgar ao puiblico resumo contendo as linhas gerais de seguranca cibernética. da politica Segao Il Do Plano de Acdo e de Resposta a Incidentes Art, 6° As instituigdes referidas no art, 1° devem estabelecer plano de acdo e de resposta a Incidentes visando a implementaco da politica de seguranga cibernética, Paragrafo Unico. © plano mencionado no caput deve abranger. no minimo: I= as agées a serem desenvolvidas pela instituicao para adequar suas estruturas organizacional e operacional aos principios e as diretrizes da politica de seguranga cibernética: I~ as rotinas, 05 procedimentos, os controles e as tecnologias a serem utiizados na prevengao © na resposta a incidentes. em conformidade com as diretrizes da politica de seguranga cibernética: e lil - a area responsavel pelo registro e controle dos efeitos de incidentes relevantes. Art. 7° As instituigdes referidas no art. 1° devem designar diretor responsavel pela politica de seguranea cibernética e pela execucao do plano de aco e de resposta a incidentes. Pardgrafo Unico. O diretor mencionado no caput pode desempenhar outras fungées na instituicdo, desde que nao haja conflito de interesses. Art, 8° As instituigdes referidas no art 1° devem elaborar relatorio anual sobre a implementacao do plano de acao e de resposta a incidentes, mencionado no art. 6°, com data-base de 31de dezembro. 51° Orelatério de que trata 0 caput deve abordar, no minimo: | - a efetividade da implementagao das agées descritas no art. 6°, paragrafo Unico, inciso | Il - 0 resumo dos resultados obtidos na implementacao das rotinas, dos procedimentos, dos controles € das tecnologias a serem utilizados na prevencao e na resposta a incidentes descritos no art, 6°, paragrafo unico. inciso Il lil - 9 incidentes relevantes relacionados com o ambiente cibernético acorrides no periodo; © IV = 05 resultados dos testes de continuidade de negécios, considerando cenérios de indisponibilidade ocasionada por incidentes. § 2° O relatério mencionado no caput deve ser: I - submetido ao comité de risco, quando existente: e Il - apresentado ao conselho de administraco ou, na sua inexisténcia, 8 diretoria da instituigao ‘até 31 de margo do ano seguinte ao da data-base. Art, 9° A politica de seguranga cibernética referida no art, 2° @ o plano de acdo e de resposta a incidentes mencionado no art, 6° devem ser aprovados pelo conselho de administracao ou, na sua inexisténcia, pela diretoria da instituigao. ‘Art. 10. A politica de seguranca cibernética e © plano de agio e de resposta a incidentes devem ser documentados e revisados, no minimo, anualmente, CAPITULO III DA CONTRATACAO DE SERVICOS DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE ‘COMPUTACAO EM NUVEM. ‘Art, 11. As institulgées referidas no art 1° devem assegurar que suas politicas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentagdo em vigor, especificamente no tocante aos critérios de decisdo quanto & terceitizacdo de servicos, contemplem a contratagao de servicos relevantes de processamento @ armazenamento de dados ¢ de computagao em nuvem, no Pais ou no exterior.‘Art. 12. As instituic6es mencionadas no art 1°, previamente a contratacéo de servigos relevantes de processamento e armazenamento de dados e de computagdo em nuvem. devem adotar procedimentos que contemplem: | a adocae de praticas de governanca corporativa e de gestao proporcionais a relevancia do servico a ser contratado e aos riscos a que estejam expostas: e Il- a verificagio da capacidade do potencial prestador de servico de assegurar: 1a) 0 cumprimento da legislagao e da regulamentagao em vigor; b) 0 acesso da instituigao aos dados as informacées a serem processados ou armazenados pelo prestador de servico; ©) a confidencialidade, a integridade, a disponibilidade e a recuperacio dos dados e das informacées processados ou armazenados pelo prestador de servigo; d) a sua aderéncia a certificagées exigidas pela instituigao para a prestacao do servico a ser contratado; €) © acesso da Instituicdo contratante aos relatérios elaborados por empresa de aucitoria ‘especializada independente contratada pelo prestador de servigo, relatives aos procedimentos e aos controles utilizados na prestagao dos servicos a serem contratados; 0 provimento de informagées e de recursos de gestdo adequados ao monitoramento dos servicos a serem prestados; 9) a identificagao © a segregacao dos dados dos clientes da institui¢ao por meio de controles fisicos ou lagicos; e h) a qualidade dos controles de acesso voltados a protegao dos dados e das informagées dos clientes da instituicao. § 1° Na avaliacao da relevancia do servico a ser contratado, mencionada no inciso | do caput, a instituigo contratante deve considerar a criticidade do servigo e a sensibilidade dos dados e das informacées a serem processados, armazenados e gerenciados pelo contratado, tevando em conta, inclusive, a classificacdo realizada nos termos do art. 3°, inciso V. alinea *c” § 2° Os procedimentos de que trata o caput, inclusive as informacées relativas a verificacao mencionada no inciso II, devem ser documentados, § 3° No caso da execugao de aplicatives por meio da internet, referidos no inciso Ill do art. 13, a instituigao deve assegurar que o potencial prestador dos servicos adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberacao de novas versées do aplicativo, § 4° A instituigdo deve possuir recursos e competéncias necessérios para a adequada gesto dos servicos a serem contratados, inclusive para analise de informacées e uso de recursos provides nos termos da alinea ‘f” do inciso II do caput. ‘Art, 13. Para os fins do disposto nesta Resoluco, os servicos de computacéo em nuvem abrangem a disponibilidade a instituigao contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes servicos: |= processamento de dados. armazenamento de dados. infraestrutura de redes e outros recursos computacionais que permitam a instituicéo contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvides pela instituicio ou por ela adquiridos; II - implantago ou execucao de aplicativos desenvotvidos pela instituicao contratante, ou por ela adquiridos, utiizando recursos computacionais do prestador de servigos: ou lll - execugao, por melo da internet, de aplicativos implantados ou desenvolvides pelo prestador de servico, com a utilizacaio de recursos computacionais do préprio prestador de servigos. Art. 14 A instituigao contratante dos servicos mencionados no art. 12 é responsavel pela confiabilidade, pela integridade, pela disponibilidade, pela seguranca e pelo siglo em relagdo aos servicos contratados, bem como pelo cumprimento da legislagao e da regulamentacao em vigor.Att 15. A contratagao de servicos relevantes de processamento, armazenamento de dados © ‘de computagao em nuvem deve ser comunicada pelas instituicSes referidas no art. 1° ao Banco Central do Bras 81° A comunicacao mencionada no caput deve conter as seguintes informaces: | -a denominacao da empresa contratada II 05 servigos relevantes contratados: © Ill - a indicagao dos paises @ das regiées em cada pais onde os services poderao ser prestados @ os dados poderao ser armazenados, processados e gerenciados, definida nos termos do inciso Il do art. 16, no caso de contratacao no exterior. 8 2° A comunicacao de que trata o caput deve ser realizada até dez dias apés a contratagdo dos servigos. § 3° As alteragées contratuais que impliquem modificacao das informacées de que trata o § 1° devem ser comunicadas ao Banco Central do Brasil até dez dias apés a alteracao contratual. Art. 16. A contratacao de servigos relevantes de processamento, armazenamento de dados ¢ de computacao em nuvem prestados no exterior deve observar os sequintes requisitos: | - a existéncia de convénio para troca de informacées entro 0 Banco Central do Brasil © as autoridades supervisoras dos paises onde os servicos poderao ser prestados; II a instituicao contratante deve assegurar que a prestagao dos servicos referidos no caput no cause prejuizos ao seu regular funcionamento nem embaraco & atuago do Banco Central do Brasil: II - a instituigo contratante deve defini, previamente & contratacdo, os paises e as regides ‘em cada pais onde os servicos poderdo ser prestados e os dados poder ser armazenados, processados e gerenciados; e IV - a instituigao contratante deve prever alternativas para a continuldade dos negécios, no caso de impossibilidade de manutencao ou extingao do contrato de prestagao de servigos. § 1° No caso de inexisténcia de convénio nos termos do inciso | do caput. a insttuigdo contratante devera solicitar autorizacao do Banco Central do Brasil para: I~ a contratagdo do service, no prazo minimo de sessenta dias antes da contratacao, observado 0 disposto no art 15, §1°, desta Resolucao: € Il as alteragées contratuais que impliquem modiifcagao das informagées de que trata o art 15, §1°, observando o prazo minimo de sessenta dias antes da alteragao contratual. § 2° Para atendimento aos incisos 1! Ill do caput, as instituigées deverdo assegurar que a legislacao © a regulamentacao nos paises ¢ nas regides em cada pais onde os servicos poderao ser prestados no restringem nem impedem 0 acesso das instituigées contratantes e do Banco Central do Brasil aos dados e as informagoes. § 3° Acomprovagao do atendimento aos requisites de que tratam 0s incisos | a IV do caput eo ‘cumprimento da exigéncia de que trata o § 2° devem ser documentados. ‘Art. 17. Os contratos para prestagio de servicos relevantes de processamento, armazenamento de dados @ computagdo em nuvem devem prever: | + a indicagao dos paises da regio em cada pais onde os servicos poderao ser prestados (0s dados poderdo ser armazenados, processados e gerenciados Il - a adogao de medidas de seguranca para a transmissio armazenamento dos dados citados no inciso | do caput: Ill - a manutencao, enquanto 0 contrato estiver vigente, da segregagdo dos dados ¢ dos controles de acesso para protecao das informacées dos clientes; IV- a obrigatoriedade, em caso de extingao do contrato, de: a) transferéncia dos dados citados no inciso | do caput ao novo prestador de servicos ou a instituicdo contratante; eb) exclusio dos dados citados no inciso | do caput pela empresa contratada substituida, apés a transferéncia dos dados prevista na alinea ‘a’ e a confirmacao da integridade e da disponibilidade dos dados recebidos: \V- 0 acesso da instituicao contratante a: a) informagées fornecidas pela empresa contratada, visando a verificar 0 cumprimento do disposto nos incisos | a Ill do caput, b) informagées relativas as certificagées @ aos relatérios de auditoria especializada, citados no art. 12, inciso I alineas “de "ese ©) informagdes e recursos de gestao adequados a0 monitoramento dos servicos a serem prestados, citados no art. 12, inciso Il, alinea “ VI - a obrigagde de a empresa contratada notificar a instituig’o contratante sobre a subcontratacao de servicos relevantes para a instituicao: VI - a permissao de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestaciio de servicos, a documentagdo e as informacées referentes aos servicos prestados, aos dados armazenados e as informagées sobre seus processamentos, as cépias de seguranca dos dados e das informagées, bem como aos cédigos de acesso aos dados e as informacées; Vill - a adogao de medidas pela instituicdo contratante, em decorréncia de determinacao do Banco Central do Brasil; ¢ IX - a obrigagao de a empresa contratada manter a instituicéio contratante permanentemente informada sobre eventuais limitacdes que possam afetar a prestacao dos servigos ou © cumprimento da legislacdo e da regulamentacao em vigor. Pardgrafo Unico, Os contratos mencionados no caput devem prever, para o caso da decretagao de regime de resolucao da instituicao contratante pelo Banco Central do Brasil | - a obrigagao de a empresa contratada conceder pleno ¢ irrestrito acesso do responsavel pelo regime de resolucao aos contratos, aos acordos, a documentagao e as informagoes referentes aos servicos prestados, aos dados armazenados e as informagées sobre seus processamentos, as cépias de seguranga dos dados e das informagdes, bem como aos cédigos de acesso citados no inciso VII do caput, que estejam em poder da empresa contratada; e Il ~ a obrigagao de notificacéo prévia do responsavel pelo regime de resolucao sobre a intengdo de a empresa contratada interromper a prestacao de servigos. com pelo menos trinta dias de antecedéncia da data prevista para a interrupcao, observado que: a) a empresa contratada obriga-se a aceitar eventual pedido de prazo adicionat de trinta dias para a interrupeao do servico, feito pelo responsével pelo regime de resolucao: e b)a notificacso prévia devera ocorrer também na situacdo em que a interrupcao for motivada por inacimpléncia da contratante. Art, 18, © disposto nos arts, 11 a 17 no se aplica & contratagao de sistemas operados por camaras, por prestadores de servicos de compensacao € de liquidacao ou por entidades que exergam atividades de registro ou de depésito contralizado. capiTULO IV DIsPOSICOES GERAIS Art 19. As instituigdes referidas no art 1° devem assegurar que suas politicas para gerenciamento de riscos previstas na regulamentacao em vigor disponham, no tocante & continuidade de negécios, sobre: | - 0 tratamento dos incidentes relevantes relacionados com o ambiente cibernético de que trata o art. 3° inciso IV Il - 05 procedimentos a serem seguidos no caso da interrupgao de servicos relevantes de processamento e armazenamento de dados e de computacdo em nuvem contratados, abrangendo cenarios que considerem a substituicdo da empresa contratada e 0 reestabelecimento da operagionormalda instituigo: e IL - os cenarios de trata 0 art. 3°, inciso V, alinea "a identes considerados nos testes de continuidade de negécios de que Art, 20, Os procedimentos adotados pelas instituicbes para gerenciamento de riscos previstos na regulamentagao em vigor devem contemplar, no tocante a continuidade de negécios | - 0 tratamento previsto para mitigar os efeitos dos incidentes relevantes de que trata o inciso IV do art. 3° e da interrup¢ao dos servigos retevantes de processamento, armazenamento de dados e de ‘computacao em nuvem contratados; Il - © prazo estipulado para reinicio ou normalizagao das suas atividades ou dos servicos relevantes interrompidos. citados no inciso I do caput; ¢ Il - a comunicagiio tempestiva ao Banco Central do Brasil das ocorréncias de incidentes relevantes e das interrup¢des dos services relevantes citados no inciso | do caput que configurem uma situagao de crise pela instituigao financeira, bem como das providéncias para 0 reinicio das suas atividades. Paragrafo Unico. As instituigbes devem estabelecer e documentar os critérios que configurem uma situagao de crise de que trata o inciso Ill do caput. Art, 21, As instituigdes de que trata o art 1° devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a implementacio e a efetividade da politica de seguranga cibernética, do plano de agao e de resposta a incidentes e dos requisitos para contratagao de servigos de processamento e armazenamento de dados e de computacao em nuvem, Incluindo: | - a definigao de processos. testes e trilhas de auditoria: Il - a definicao de métricas ¢ indicadores adequados; Ill - a identificagao e a correcao de eventuais deficiéncias, § 1° As notificagdes recebidas sobre a subcontratacao de servicos relevantes descritas no art. 17, inciso VI, devem ser consideradas na definicéo dos mecanismos de que trata 0 caput. § 2° Os mecanismos de que trata o caput devem ser submetidos a testes periddicos pela auditoria interna, quando aplicdvel. compativeis com os controles internos da instituicao, Art, 22. Sem prejuizo do dever de sigilo e da livre concorréncia, as instituicées mencionadas no art. 1° devem desenvolver iniciativas para 0 compartithamento de informacdes sobre os incidentes relevantes de que trata o art. 3°, inciso IV. § 1° 0 compartithamento de que trata o caput deve abranger informagées sobre incidentes relevantes recebidas de empresas prestadoras de servicos a terceiros. § 2° As informagées compartilhadas devem estar disponiveis ao Banco Central do Brasil CAPITULOV DISPOSICOES FINAIS. Art, 23, Devem ficar a disposictio do Banco Central do Brasil pelo prazo de cinco anos: | - 0 documento relativo a politica de seguranga cibernética, de que trata o art. 2°; Il - a ata de reuniée do consetho de administragao ou, na sua inexisténcia, da diretoria da instituigdo, no caso de ser formalizada a opcao de que trata o art 2°, § 2°; III- © documento relative ao plano de ago e de resposta a incidentes, de que trata o art. 6° IV- 0 relatério anual, de que trata o art. 8 \V- a documentagio sobre os procedimentos de que trata o art, 12, § 2°; VI- a documentacdo de que trata 0 art. 16, § 3°, no caso de servicos prestados no exterior: Vl - 0s contratos de que trata o art, 17, contado 0 prazo referido no caput a partir da extincao do contrato;VIII - os dados, os registros e as informagées relativas aos mecanismos de acompanhamento fe de controle de que trata o art. 21. contado © prazo referido no caput a partir da implementagao dos citados mecanismos: e IX a documentagao com os critérios que configurem uma situacdo de crise de que trata 0 art. 20. Paragrafo unico. Art. 24. 0 Banco Central do Brasil poder adotar as medic disposto nesta Resolucdo, bem como estabelecer: las necessarias para cumprimento do | - 05 requisitos e os procedimentos para o compartithamento de informagées, nos termos do art 22; Il - a exigéncia de certificagées e outros requisites técnicos a serem requeridos das empresas contratadas, pela instituigao financeira contratante, na prestagao dos servicos de que trata o art. 12; lil - 05 prazos maximos de que trata o art. 20, inciso Il para reinicio ou normalizagao das atividades ou dos servicos relevantes interrompidos: e IV = 0s requisites técnicos e procedimentos operacionais a serem observados pelas instituigdes para o cumprimento desta Resolucao, Art, 25, As instituigdes referidas no art. 1° que, em 26 de abril de 2018, ja tinham contratado a prestagao de servicos relevantes de processamento, armazenamento de dados e de computacdo em nuvem devem adequar o contrato para a prestagao de tais servicos: | a0 cumprimento do disposto no art, 16, incisos |, II, IVe § 2°, no caso de servigos prestados no exterior; € I= 20 disposto nos arts. 15, § 1°, € 17. Pardgrafo Unico. O prazo previste para adequaco ao disposto no caput nao pode ultrapassar 31de dezembro 2021 Art. 26. 0 Banco Central do Brasil podera vetar ou impor restricbes para a contratacao de servicos de processamento e armazenamento de dados e de computagao em nuvem quando constatar, ‘a qualquer tempo, a inobservancia do disposto nesta Resolugao, bem como a limitagao a atuacae do Banco Central do Brasil, estabelecendo prazo para a adequacao dos referidos servicos. Art, 27, Ficam revogadas | a Resolucao n° 4.658, de 26 de abrilde 2018: e Il - a Resolugao n° 4752, de 26 de setembro de 2019, ‘Art, 28. Esta Resolugao entra em vigor em 1° de julho de 2021. ROBERTO DE OLIVEIRACAMPOS NETO Presidente do Banco Central do Brasil Este contoide nfo subsituia publi na versio cetifeads