Resolucao nº 4.474, de 31 de março de 2016
MINISTERIO DA FAZENDA
BANCO CENTRAL
RESOLUÇÃO Nº 4.474, DE 31 DE MARÇO DE 2016
Dispõe sobre a digitalização e a gestão de documentos digitalizados relativos às operações e às transações realizadas pelas instituições financeiras e pelas demais instituições autorizadas a funcionar pelo Banco Central do Brasil, bem como sobre o procedimento de descarte das matrizes físicas dos documentos digitalizados e armazenados eletronicamente.
O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 31 de março de 2016, com base nos arts. 4º, inciso VIII, da referida Lei, e 23 da Lei nº 12.865, de 9 de outubro de 2013,
R E S O L V E U :
Art. 1º Esta Resolução estabelece procedimentos para a produção e a gestão de documentos digitalizados relativos às operações e às transações realizadas pelas instituições financeiras e pelas demais instituições autorizadas a funcionar pelo Banco Central do Brasil, bem como para o descarte das matrizes físicas dos documentos digitalizados e armazenados eletronicamente.
Parágrafo único. Para os efeitos desta Resolução, considera-se:
I - documento origem: matriz física do documento, relativo à transação ou à operação realizada pela instituição, empregado para gerar, mediante processo de digitalização, o documento digitalizado;
II - digitalização: processo tecnológico que permite obter a fiel e íntegra imagem digital de um documento origem;
III - documento digitalizado: imagem digital do documento origem, resultante do processo de digitalização; e
IV - descarte: eliminação definitiva do documento origem, após sua digitalização.
Art. 2º As instituições referidas no art. 1º devem, na digitalização de documento origem, registrar se o documento submetido à digitalização é documento original, cópia autenticada em cartório, cópia autenticada administrativamente ou cópia simples.
Art. 3º Deve ser produzida cópia de segurança dos documentos digitalizados.
Art. 4º Os procedimentos e as tecnologias utilizados na digitalização de documentos e na manutenção de documentos digitalizados devem assegurar:
I - integridade, autenticidade, confidencialidade e possibilidade de rastreamento do documento digitalizado;
II - proteção do documento digitalizado contra o acesso, o uso, a alteração, a reprodução e a destruição não autorizados;
III - rastreamento e auditoria dos procedimentos empregados;
IV - padrão de qualidade da imagem do documento digitalizado que garanta a sua legibilidade e uso; e
V - indexação que possibilite a localização, o gerenciamento e a preservação do documento digitalizado, bem como posterior conferência da regularidade das etapas do processo adotado.
Art. 5º Os documentos digitalizados e as cópias de segurança dos documentos digitalizados devem ser armazenados em local seguro, que permita o rápido acesso para fins de consulta e restauração.
§ 1º Os documentos digitalizados devem ser devidamente ordenados, classificados e catalogados.
§ 2º Os mecanismos de controle de integridade das mídias e de evolução tecnológica de hardware e de software implementados devem assegurar a utilização do documento digitalizado.
§ 3º Os documentos digitalizados e as cópias de segurança dos documentos digitalizados devem ser armazenados no País.
Art. 6º A produção, o armazenamento, a manutenção e a restauração das cópias de segurança dos documentos digitalizados devem ser realizados com base em procedimentos e requisitos que assegurem a proteção e a retenção das informações, com a manutenção de registros completos e exatos dessas cópias.
§ 1º Os procedimentos e os requisitos adotados no armazenamento da cópia de segurança devem assegurar a manutenção da segurança física e lógica necessária à sua proteção e salvaguarda.
§ 2º A cópia de segurança deve ser armazenada em local físico distinto do local onde está armazenado o documento digitalizado, de modo a assegurar que eventual indisponibilidade do documento digitalizado não comprometa o pleno acesso à cópia de segurança e vice-versa.
§ 3º As mídias e os componentes eletrônicos onde estão gravados os dados referentes às cópias de segurança devem ser regularmente testados.
§ 4º As tecnologias, os recursos e os mecanismos de proteção aplicados na utilização, transporte e armazenamento das mídias que contêm as cópias de segurança devem atender aos princípios de confidencialidade, integridade e disponibilidade da informação, de acordo com seu nível de criticidade.
§ 5º Os procedimentos de restauração e de teste das cópias de segurança devem ser documentados.
§ 6º O processo operacional relacionado à produção, ao armazenamento e à manutenção das cópias de segurança deve possibilitar o monitoramento da execução das cópias e a detecção de falhas de cópias de segurança programadas.
Art. 7º As responsabilidades e os critérios para concessão, manutenção, revisão e revogação das autorizações de acesso aos sistemas, às informações relativas aos documentos digitalizados e às cópias de segurança devem ser definidos de modo a garantir que apenas pessoas autorizadas tenham acesso aos sistemas e às informações.
§ 1º Os acessos devem ser rastreáveis por meio dos registros de trilha de auditoria.
§ 2º A concessão de autorização de acesso deve seguir fluxo e alçada de controle da instituição e deve gerar registro para a trilha de auditoria.
§ 3º As autorizações de acesso devem ser revistas periodicamente.
Art. 8º Os ambientes onde são armazenadas as mídias ou a infraestrutura que contêm as cópias de segurança devem possuir controles de acesso físico e lógico que restrinjam o acesso não autorizado e que permitam o rastreamento, bem como a identificação dos motivos dos acessos.
Art. 9º Para assegurar a autenticidade e a integridade do documento digitalizado, deve ser utilizado padrão de assinaturas digitais legalmente aceito, que permita a conferência das assinaturas digitais durante todo o período de validade do documento.
Art. 10. As instituições referidas no art. 1º podem descartar o documento origem após a sua digitalização.
§ 1º O descarte de que trata o caput deve ser compatível com as disposições da legislação específica aplicável aos direitos e às obrigações consignados no documento origem.
§ 2º Previamente ao descarte de que trata o caput, as instituições mencionadas no art. 1º devem averiguar se a eliminação do documento origem poderá, direta ou indiretamente, impedir, prejudicar, dificultar ou mitigar, por qualquer forma, a tutela judicial ou extrajudicial dos direitos e dos interesses que decorram, direta ou indiretamente, do documento origem, inclusive no que diz respeito à produção de provas.
§ 3º O descarte de documentos origem protegidos por legislação ou regulamentação específica, tais como documentos oficiais ou públicos, documentos com valor de guarda permanente e documentos de valor histórico, deve observar as disposições dos respectivos atos normativos.
§ 4º É vedado o descarte de documentos origem que apresentem danos materiais que prejudiquem sua legibilidade.
§ 5º O cheque, após sua digitalização, somente pode ser descartado sessenta dias após liquidado.
Art. 11. Os procedimentos utilizados na digitalização, na guarda de documentos digitalizados e de cópias de segurança e no descarte de documentos devem ser submetidos a testes periódicos pela auditoria interna e serem consistentes com os controles internos da instituição.
Art. 12. Os procedimentos e as tecnologias utilizadas na digitalização de documentos, que envolvem a produção, o armazenamento, a manutenção e o acesso aos documentos digitalizados e às cópias de segurança dos documentos digitalizados, bem como o procedimento de descarte de documentos origem, devem ser descritos em manual específico da instituição.
Art. 13. As instituições mencionadas no art. 1º podem contratar terceiros para a prestação dos serviços de digitalização de documentos no País.
§ 1º A instituição contratante dos serviços de que trata o caput é responsável pela integridade, pela confiabilidade, pela segurança e pelo sigilo em relação à digitalização de documentos realizada por terceiros, bem como pelo cumprimento da legislação e da regulamentação relativa ao procedimento de digitalização e de descarte de documentos origem.
§ 2º Na hipótese de contratação de terceiros para prestação de serviços de digitalização de documentos, é vedado o armazenamento das cópias de segurança pelo contratado.
§ 3º Os contratos referentes à prestação dos serviços de digitalização de documentos de que trata o caput devem prever:
I - observância, pelo prestador de serviços contratado, aos procedimentos e às tecnologias utilizadas na digitalização de documentos descritos no manual específico da instituição contratante, de que trata o art. 12;
II - acesso irrestrito da instituição contratante aos processos, aos documentos e às informações relativas à digitalização visando ao cumprimento do disposto no art. 11; e
III - permissão de acesso do Banco Central do Brasil aos contratos firmados, à documentação e às informações referentes aos serviços prestados, bem como às dependências do contratado.
Art. 14. A documentação e os registros relativos aos mecanismos de controle, procedimentos, testes e trilhas de auditoria devem ser mantidos à disposição do Banco Central do Brasil pelo prazo mínimo de cinco anos.
Art. 15. O Banco Central do Brasil poderá estabelecer requisitos técnicos e procedimentos operacionais a serem observados no processo de digitalização e de descarte de documentos de que trata esta Resolução.
Art. 16. Esta Resolução entra em vigor na data de sua publicação.
Anthero de Moraes Meirelles
Presidente do Banco Central do Brasil, substituto