DECRETO Nº 9.936, DE 24 DE JULHO DE 2019

Regulamenta a Lei nº 12.414, de 9 de junho de 2011, que disciplina a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito


O PRESIDENTE DA REPÚBLICA, no uso das atribuições que lhe confere o art. 84, caput, incisos IV e VI, alínea a, da Constituição, e tendo em vista o disposto na Lei nº 12.414, de 9 de junho de 2011, DECRETA:

Art. 1º Este Decreto regulamenta a Lei nº 12.414, de 9 de junho de 2011, que disciplina a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito.

CAPÍTULO I

Art. 2º O funcionamento dos gestores de bancos de dados e o compartilhamento de informações autorizados pela Lei nº 12.414, de 2011, deverão atender aos seguintes requisitos mínimos:

I - aspectos econômico-financeiros: patrimônio líquido mínimo de R$ 100.000.000,00 (cem milhões de reais), detido pelo gestor de banco de dados, comprovado por meio de demonstração financeira relativa ao exercício mais recente auditada por auditor independente registrado na Comissão de Valores Mobiliários;

II - aspectos técnico-operacionais:

a) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada três anos, e revisada anualmente, que:

1. ateste a disponibilidade de plataforma tecnológica apta a preservar a integridade e o sigilo dos dados armazenados; e 2. indique que as estruturas tecnológicas envolvidas no fornecimento do serviço de cadastro seguem as melhores práticas de segurança da informação, inclusive quanto a plano de recuperação em caso de desastre, com infraestrutura de cópia de segurança para o armazenamento dos dados dos cadastrados, das autorizações e das solicitações de cancelamento e de reabertura de cadastro;

b) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada três anos, e revisada anualmente, que ateste a adequabilidade da política de segurança da informação sobre a criação, a guarda, a utilização e o descarte de informações no âmbito interno e externo, inclusive quanto à transferência ou à utilização de informações por outras empresas prestadoras de serviço contratadas;

c) certificação técnica emitida por empresa qualificada independente, renovada, no mínimo, a cada três anos, com revisão anual, que ateste a adequabilidade da política de estabelecimento da responsabilidade, principalmente quanto aos quesitos de sigilo e proteção das informações, de privacidade de dados dos clientes e de prevenção e tratamento de fraudes;

d) implementação e manutenção de programa de gestão de vulnerabilidades, programa de prevenção de vazamentos de dados e controles de acesso privilegiado;

e) asseguração de procedimentos de segurança e realização de testes periódicos de firewalls, de vulnerabilidade e penetração, por entidade independente; e

f) implementação e manutenção de programa de gestão de fornecedores que os classifique de acordo com a criticidade, com a adoção de regras de verificações de acordo com sua relevância, de modo a assegurar o cumprimento dos requisitos estabelecidos na política de segurança do gestor de banco de dados;