Assessment Resolução CMN #4.658

29/03/2021 Assessment Resolução CMN Nº 4.
658
 português (Brasil) 
Assessment Resolução CMN Nº

4.658
Esta regulamentação prevê a obrigatoriedade das instituições financeiras implementarem uma
política de segurança cibernética e estabelecer requisitos para a contratação de serviços de
processamento e armazenamento de dados e de computação em nuvem.

* Obrigatória
1. Nome da Empresa *
Insira sua resposta
2. Nome e Contato do Responsável pelas Respostas *
Insira sua resposta
3. Especifique os dados de Clientes ou Financeiros que serão processados ou

armazenados: *
Insira sua resposta
https://forms.oﬃce.com/Pages/ResponsePage.aspx?id=jEGaxa1CT0ykV1G0IeqrcjAIgSHMXJtFuUaiXMZLzMdUQTZLQ1QxWEFXMzRB… 1/20
29/03/2021 Assessment Resolução CMN Nº 4.658
4. A Infraestrutura de TI utilizada (servidores, banco de dados, equipamentos de

rede, etc.) pertence a própria empresa?
Sim
Não
Outra
5. As estações de trabalho (notebooks, desktops, telefones) pertencem à própria

empresa?
Sim
Não
Outra
6. As estações de trabalho (desktops e notebooks) são configuradas utilizando a

imagem do Banco BMG?
Sim
Não
Outra
7. A empresa terá acesso aos sistemas do Banco BMG?
Sim
Não
Outra
8. A empresa irá trocar, enviar ou receber dados ou informações do Banco?
Sim
Não
Outra
9. Se sim para o item anterior (8), onde serão armazenados?
Insira sua resposta
10. Em caso de fornecimento de serviços e/ou armazenamento de informações em

nuvem especifique a região e país.
Insira sua resposta
11. Contrata ou tem a intenção de subcontratar empresas para a realização do

serviço?
Sim
Não
12. Já fornece o mesmo serviço para outras empresas?
Sim
Não
13. A empresa possui Data Center interno?
Sim
Não
Outra
14. Se para o item anterior (13) a resposta for Não especifique a localidade.
Insira sua resposta
15. A empresa possui solução Anti-vírus?
Sim
Não
16. Se para o item anterior (15) a resposta foi Sim: Em quais perímetros (Ex:
workstation, servidores, e-mail, etc.)? Qual a periodicidade de atualização?
Insira sua resposta
17. A empresa realiza análise de vulnerabilidade de servidores, estações de trabalho,

serviços críticos?
Sim
Não
18. Se para o item anterior (17) a resposta foi Sim: Durante a análise de
vulnerabilidade são utilizadas técnicas de engenharia social?
Sim
Não
19. O(s) link(s) de conexão com o Banco BMG está(ão) em ambiente(s)

segregado(s)?
Sim
Não
20. Há um processo documentado para fortalecer a segurança dos dispositivos de

rede?
Sim
Não
21. O acesso administrativo à dispositivos de rede possui segundo fator de

segurança?
Sim
Não
22. A empresa utiliza filtro de conteúdo (proxy) para os acessos a internet?
Sim
Não
23. A empresa utiliza ferramenta DLP (Data Loss Prevention) para monitoramento
e/ou restrição, a fim de mitigar o vazamento de informação sensíveis?
Sim
Não
24. Se para o item anterior (23) a resposta foi Sim: DLP possui regras especificas
para o relacionamento com o BMG?
Sim
Não
25. Há procedimento para a atualização de patches de segurança?
Sim
Não
26. A empresa desenvolve softwares específicos para a operação?
Sim
Não
27. Se para o item anterior (26) a resposta foi Sim: Realiza a análise de segurança no
código-fonte periodicamente?
Sim
Não
28. Possui aplicações utilizadas na operação do BMG expostas na internet?
Sim
Não
29. Há controles de segurança para as aplicações que são integradas com a rede do
Banco BMG?
Sim
Não
30. Todas as atividades realizadas nos aplicativos/ sistemas que processam ou

armazenam dados são registradas (log) e armazenadas de uma maneira segura
e rastreável?
Sim
Não
31. O armazenamento dos logs é feito em local seguro e com acesso restrito?Os logs
são separados em log técnico e trilha de auditoria?
Sim
Não
32. O serviço prestado ao Banco BMG envolve a hospedagem de algum sistema ou

informação na nuvem (cloud)?
Sim
Não
33. Se para o item anterior (32) a resposta foi Sim: Exite um processo para avaliação
de segurança nos provedores?
Sim
Não
34. Dados de Homologação e Desenvolvimento são replicados do ambiente de

produção?
Sim
Não
35. Se para o item anterior (34) a resposta foi Sim: São aplicados técnicas de
embaralhamento de dados ou mascaramento?
Sim
Não
36. As Tabelas de SGBD criticas de dados de cartão (Senha, Número do cartão, CVV
e Data de validade) estão criptografadas?
Sim
Não
37. A empresa possui um centro de operações de segurança (SOC), que funcione

24x7, para monitorar operações e funcionamento de sistemas?
Sim
Não
38. A empresa realiza periodicamente auditoria interna ou é auditada por uma

empresa independente, visando avaliar os controles de Segurança da Informação
em seu ambiente?
Sim
Não
39. Existe um processo periódico para acompanhamento de não conformidades

identificadas durante o processo de auditoria?
Sim
Não
40. Se para o item anterior (39) a resposta foi Sim: Os planos de ação são
acompanhados periodicamente?
Sim
Não
41. A empresa realiza a análise de capacidade de infraestrutura e tecnologia?
Sim
Não
42. O registro de logs dos sistemas de operação são gravados, armazenados e

analisados criticamente?
Sim
Não
43. Existe processos de gestão de mudanças?
Sim
Não
44. Se para o item anterior (43) a resposta foi Sim: As mudanças são previamente
homologadas e o impacto de sua atualização estudado previamente?
Sim
Não
45. A empresa dispõe de alguma certificação aceita internacionalmente que firme seu
compromisso com a Segurança da Informação? (Ex.: ISO 27001, SSAE16 (SOC
I, II, III), ISAE3402, PCI DSS, EU-US Safe Harbor Framework)?
Sim
Não
46. A empresa possui controles e políticas para combater hacktivismo, espionagem,

crimes cibernéticos, insiders e APT (Advanced Persistente Threats)?
Sim
Não
47. A empresa possui iniciativas para garantir o cumprimento com a resolução nº

4.658 do BACEN e Lei nº 13709/2018, que trata sobre a Política Cibernética?
Sim
Não
48. Se para o item anterior (47) a resposta foi Sim: Cite as iniciativas.
Insira sua resposta
https://forms.oﬃce.com/Pages/ResponsePage.aspx?id=jEGaxa1CT0ykV1G0IeqrcjAIgSHMXJtFuUaiXMZLzMdUQTZLQ1QxWEFXMzR… 10/20
49. Existe uma área ou responsável pela Segurança da Informação na empresa?
Sim
Não
50. A empresa possui Política de Segurança da Informação (PSI) devidamente

documentada, atualizada, divulgada e disponível para todos os colaboradores?
Sim
Não
51. A empresa possui uma Política bem como processo estabelecido para
classificação de informação?
Sim
Não
52. A empresa possui uma Política de Proteção de Dados em conformidade com a

LGPD (Lei Geral de Proteção de Dados Pessoais?
Sim
Não
53. Os processos seletivos incluem a verificação da idoneidade pessoal e profissional

dos candidatos?
Sim
Não
54. No momento de novas contratações é firmado contrato / acordo de

confidencialidade e aceite do termo de conduta ética?
Sim
Não
55. Existe um programa de treinamento e conscientização de Segurança da

Informação formal para tornar todos os colaboradores conscientes das políticas e
dos procedimentos da empresa?
Sim
Não
56. A empresa possui um inventário de ativos contendo no mínimo os atributos

abaixo:
- todos os sistemas e dispositivos conectados à rede e seus respectivos
endereços;
- nomes das máquinas;
- descrição de cada sistema;
- o nome do responsável por cada dispositivo e o departamento associado.
Sim
Não
57. A empresa possui uma Política para o gerenciamento de mídias removíveis?
Sim
Não
58. A empresa restringe a instalação de software?
Sim
Não
59. A empresa possui processos seguros para descarte de papéis e mídias de

armazenamento? (Ex: pen drive, HDs interno/ externo, smartphones, etc.).
Sim
Não
60. A empresa possui processos para transferência de informações sensíveis (mídias

de armazenamento, papéis, equipamento, etc.)?
Sim
Não
61. A empresa possui processos para destruição segura de dados?
Sim
Não
62. Empresa possui ambiente exclusivo para atender as demandas do BMG?
Sim
Não
63. Se para o item anterior (64) a resposta foi Não: Informe como é feito a
segregação dos ativos que atendem o grupo financeiro BMG.
Insira sua resposta
64. A empresa o possui política, norma e/ ou procedimento para gerenciar e controlar

os acessos de funcionários e terceiros aos ativos de TI (sistemas, banco de
dados, entre outros)?
Sim
Não
65. A política de acesso prevê que os acessos de administrador de sistemas sejam

limitados somente ao mínimo necessário para execução das atividades para o
negócio do Banco BMG e que este acesso seja monitorado e rastreável?
Sim
Não
66. A empresa permite o acesso remoto ao ambiente de operação?
Sim
Não
67. Se para o item anterior (68) a resposta foi Sim: Esses acessos são gerenciados e
monitorados?
Sim
Não
68. Para os sistemas que armazenam ou processam informações/ dados fora do

Banco BMG, existe um sistema de gerenciamento de autenticação?
Sim
Não
69. Os perfis de acesso dos sistemas do Banco BMG, concedidos aos prestadores
são revisados?
Sim
Não
70. Existe uma Política definida, aprovada e divulgada para uso de internet, e-mails,
aplicativos de mensagem instantânea?
Sim
Não
71. A empresa possui uma lista de softwares autorizados que são exigidos para cada
tipo de ativo, incluindo servidores, de trabalho, e laptops, etc.?
Sim
Não
72. Há uma Política de Segurança Física elaborada e aprovada pela direção da

empresa?
Sim
Não
73. Há procedimentos para diferenciar facilmente os colaboradores, terceiros e

visitantes, contemplando os seguintes controles?
• Identificação de funcionários e visitantes no local (por exemplo, crachás de
identificação);
• Modificações nos requisitos de acesso;
• Anular ou excluir identificações de funcionários que se desligaram da empresa e
de visitantes que encerraram sua atividade (como crachás de identificação).
Sim
Não
74. Há registros dos logs de acesso físico de entrada e saída das áreas exclusivas da
empresa?
Sim
Não
75. A empresa possui um ambiente físico apartado somente para os serviços

prestados para o Banco BMG (Este acesso físico é restrito a esse local)?
Sim
Não
76. A empresa possui armários em ambiente monitorado, fora da área restrita, para
guardar pertences pessoais dos colaboradores que trabalham em áreas restritas?
Sim
Não
77. A empresa possui geradores de energia e "no- breaks" instalados para garantir a
continuidade de energia elétrica dos ambientes críticos da operação?
Sim
Não
78. Se para o item anterior (80) a resposta foi Sim: São realizados testes periódicos?
Sim
Não
79. A empresa possui o Auto de Vistoria do Corpo de Bombeiros (AVCB)?
Sim
Não
80. As imagens captadas por circuito interno de TV são gravadas e monitoradas?
Sim
Não
81. As imagens são armazenadas em local seguro, ou seja, de acesso restrito, pelo
período mínimo de 30 dias?
Sim
Não
Outra
82. A empresa possui um rack no "Data Center" dedicado com controle de acesso
físico para os serviços prestados ao BMG?
Sim
Não
Outra
83. É implementado lista de pessoas autorizadas a acessar o ambiente do "Data

Center"?
Sim
Não
84. Os servidores relacionados ao serviço do Banco BMG possuem dupla fonte de

alimentação ligadas em fontes de energia distintas?
Sim
Não
85. Há um processo formalizado de gestão para a continuidade do negócio (GCN)?
Sim
Não
86. A empresa possui uma equipe de contingência responsável pelo processo,

disponível e regularmente treinada?
Sim
Não
87. Os planos de continuidade do negócio são revisados e testados regularmente?
Sim
Não
88. Os planos de continuidade do negócio (PCN) foram determinados por uma

análise de riscos e impacto?
Sim
Não
89. Os backups dos equipamentos críticos são realizados e testados periodicamente

para garantir a integridade e capacidade de restauração sendo armazenados fora
das dependências da empresa?
Sim
Não
90. Há um processo para tratamento de incidentes de Segurança da Informação?
Sim
Não
91. Os planos de resposta a incidentes são revisados e testados periodicamente?
Sim
Não
92. Incidentes de segurança que envolvem o Banco BMG são classificados e

reportados ao BMG?
Sim
Não
93. Se para o item anterior (92) a resposta foi Sim: Quais tipos de relatórios serão
disponibilizados?
Insira sua resposta
94. A empresa possui processo/ procedimento para investigação forense digital?
Sim
Não
Enviar
Nunca forneça sua senha. Relatar abuso
Este conteúdo foi criado pelo proprietário do formulário. Os dados que você enviar serão enviados ao proprietário do
formulário. A Microsoft não é responsável pela privacidade ou práticas de segurança de seus clientes, incluindo aqueles
do proprietário deste formulário. Nunca forneça sua senha.
Da plataforma Microsoft Forms |

O proprietário deste formulário não forneceu uma política de privacidade sobre como usará seus dados de resposta.
Não forneça informações pessoais ou confidenciais.
| Condições de uso

Assessment Resolução CMN #4.658

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Assessment Resolução CMN #4.658

Enviado por

Direitos autorais:

Formatos disponíveis

29/03/2021 Assessment Resolução CMN Nº 4.

Assessment Resolução CMN Nº

Insira sua resposta

2. Nome e Contato do Responsável pelas Respostas *

Insira sua resposta

3. Especifique os dados de Clientes ou Financeiros que serão processados ou

Insira sua resposta

4. A Infraestrutura de TI utilizada (servidores, banco de dados, equipamentos de

5. As estações de trabalho (notebooks, desktops, telefones) pertencem à própria

6. As estações de trabalho (desktops e notebooks) são configuradas utilizando a

7. A empresa terá acesso aos sistemas do Banco BMG?

8. A empresa irá trocar, enviar ou receber dados ou informações do Banco?

9. Se sim para o item anterior (8), onde serão armazenados?

Insira sua resposta

10. Em caso de fornecimento de serviços e/ou armazenamento de informações em

Insira sua resposta

11. Contrata ou tem a intenção de subcontratar empresas para a realização do

12. Já fornece o mesmo serviço para outras empresas?

13. A empresa possui Data Center interno?

Insira sua resposta

15. A empresa possui solução Anti-vírus?

Insira sua resposta

17. A empresa realiza análise de vulnerabilidade de servidores, estações de trabalho,

19. O(s) link(s) de conexão com o Banco BMG está(ão) em ambiente(s)

20. Há um processo documentado para fortalecer a segurança dos dispositivos de

21. O acesso administrativo à dispositivos de rede possui segundo fator de

22. A empresa utiliza filtro de conteúdo (proxy) para os acessos a internet?

25. Há procedimento para a atualização de patches de segurança?

26. A empresa desenvolve softwares específicos para a operação?

28. Possui aplicações utilizadas na operação do BMG expostas na internet?

30. Todas as atividades realizadas nos aplicativos/ sistemas que processam ou

32. O serviço prestado ao Banco BMG envolve a hospedagem de algum sistema ou

34. Dados de Homologação e Desenvolvimento são replicados do ambiente de

37. A empresa possui um centro de operações de segurança (SOC), que funcione

38. A empresa realiza periodicamente auditoria interna ou é auditada por uma

39. Existe um processo periódico para acompanhamento de não conformidades

41. A empresa realiza a análise de capacidade de infraestrutura e tecnologia?

42. O registro de logs dos sistemas de operação são gravados, armazenados e

43. Existe processos de gestão de mudanças?

46. A empresa possui controles e políticas para combater hacktivismo, espionagem,

47. A empresa possui iniciativas para garantir o cumprimento com a resolução nº

Insira sua resposta

49. Existe uma área ou responsável pela Segurança da Informação na empresa?

50. A empresa possui Política de Segurança da Informação (PSI) devidamente

52. A empresa possui uma Política de Proteção de Dados em conformidade com a

53. Os processos seletivos incluem a verificação da idoneidade pessoal e profissional

54. No momento de novas contratações é firmado contrato / acordo de

55. Existe um programa de treinamento e conscientização de Segurança da

56. A empresa possui um inventário de ativos contendo no mínimo os atributos

57. A empresa possui uma Política para o gerenciamento de mídias removíveis?

58. A empresa restringe a instalação de software?

59. A empresa possui processos seguros para descarte de papéis e mídias de

60. A empresa possui processos para transferência de informações sensíveis (mídias

61. A empresa possui processos para destruição segura de dados?

62. Empresa possui ambiente exclusivo para atender as demandas do BMG?

Insira sua resposta

64. A empresa o possui política, norma e/ ou procedimento para gerenciar e controlar

65. A política de acesso prevê que os acessos de administrador de sistemas sejam

66. A empresa permite o acesso remoto ao ambiente de operação?

68. Para os sistemas que armazenam ou processam informações/ dados fora do

72. Há uma Política de Segurança Física elaborada e aprovada pela direção da

73. Há procedimentos para diferenciar facilmente os colaboradores, terceiros e

75. A empresa possui um ambiente físico apartado somente para os serviços