Regras sobre segurança cibernética na SUSEP e na CVM

Regras sobre segurança cibernética na SUSEP e na CVM

SUSEP E CVM_Report_Report

A proposta de Circular submetida à consulta pública pela SUSEP em 03.05.21 (Edital de Consulta Pública nº 15/2021/SUSEP) prevê os requisitos de segurança cibernética a serem observados pelas sociedades seguradoras, entidades abertas de previdência complementar (EAPC), sociedades de capitalização e resseguradores locais (“supervisionadas”), contra ameaças e ataques cibernéticos. A norma impõe às supervisionadas o dever de gestão do risco cibernético, que deve estar em conformidade com seu Sistema de Controles Internos (SCI) e com a Estrutura de Gestão de Riscos (EGR).

O normativo objetiva alinhar o mercado securitário com as disposições da LGPD (Lei Geral de Proteção de Dados) e segue a abordagem adotada por outros supervisores do Sistema Financeiro Nacional que já possuem regulamentações similares, como a Resolução CMN nº 4.893/2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo BCB e a Resolução CVM nº 35, de 26 de maio de 2021, que aprimorou os controles internos e as práticas das instituições intermediárias quanto ao registro e arquivamento de ordens de forma a garantir a confidencialidade, autenticidade, integridade e disponibilidade das informações e revogou a Instrução CVM nº 612/2019.

Destacamos a seguir os principais pontos da Circular, ainda pendente de publicação pela SUSEP:

  • Conceituação de dados e incidentes relevantes:
    • Dados relevantes: dados pessoais, conforme definido na legislação em vigor, dados relativos a clientes, a processos críticos de negócio ou quaisquer outros dados considerados sensíveis de acordo com as diretrizes estabelecidas pela supervisionada; 
    • Incidentes relevantes: eventos adversos, decorrentes ou não de atividade maliciosa, que comprometam a confidencialidade, integridade ou disponibilidade de dados relevantes.

  • Previsão de uma Política de Segurança Cibernética, que poderá ser única em caso de as supervisionadas serem atendidas por SCI/EGR unificado, e deverá:
    • Contemplar os objetivos da segurança cibernética e o compromisso dos órgãos internos com a melhoria contínua dos processos;
    • Diretrizes para (i) a classificação dos dados conforme a sua sensibilidade; e (ii) a implementação de novos processos e procedimentos de segurança cibernética, os quais devem considerar o grau de sensibilidade dos dados envolvidos e ser desdobrados em normativos internos específicos;
    • Ser compatível com o porte da entidade supervisionada, incluindo a natureza e a complexidade das suas operações, bem como o seu grau de exposição ao risco cibernético;
    • Ser registrada formalmente por escrito; 
    • Ser aprovada pelo órgão de administração máximo;
    • Ser divulgada aos colaboradores com linguagem acessível e em nível compatível com suas funções, e aos seus clientes, pelo menos em versão resumida; e 
    • Ser revisada, no mínimo, anualmente.

  • A entidade supervisionada deverá possuir e manter atualizados processos, procedimentos e controles, para identificar e reduzir vulnerabilidades, e também para detectar, responder e se recuperar de incidentes, que deverão ser previstos no plano de continuidade de negócios.

  • Obrigação de comunicar à SUSEP, no prazo máximo de 5 dias úteis, a ocorrência de incidentes que tenham tido impactos concretos, detalhando a extensão do dano causado e, se for o caso, as ações em curso para regularização completa da situação e os respectivos responsáveis e prazos.

  • Necessidade de documentar em relatório anual a efetividade da prevenção e tratamento de incidentes, resultados dos testes e vulnerabilidades identificadas.

  • Obrigatoriedade de informar à SUSEP a contratação de serviços relevantes de processamento e armazenamento de dados, no prazo de 20 dias antes da formalização, em caso de contratos prestados do exterior e em 10 dias após a formalização de contratos prestados no Brasil.

  • Obrigatoriedade de informar à SUSEP previamente sobre a terceirização de serviços de processamento e armazenamento de dados, incluindo dados sobre a denominação do prestador, a atividade exercida, os países e regiões onde os serviços serão prestados e os dados serão gerenciados, além de qualquer alteração contratual sob essas condições.

  • Nos contratos já vigentes de terceirização de serviços de processamento e armazenamento de dados, a supervisionada terá o prazo de 2 (dois) anos para adequação e informação à SUSEP, se for o caso.

  • Exigir que os prestadores dos serviços de processamento e armazenamento de dados observem as disposições legais e normativas em vigor e que possuam processos, medidas e procedimentos sobre segurança cibernética não inferiores aos da entidade supervisionada.

  • As supervisionadas deverão nomear um diretor responsável pela implantação das medidas da Circular, que não poderá ser o mesmo nomeado como responsável pelos controles internos.

  • Obrigação de guarda de documentos envolvendo a segurança cibernética pelas supervisionadas, que devem ser armazenados por 5 anos, nos termos da Circular SUSEP nº 605/2020.

  • A Circular entra em vigor em 3 de janeiro de 2022, no entanto, prevê prazos diferenciados de adequação para supervisionadas enquadradas nos segmentos S3 e S4 (definidos pela Resolução CNSP 388/2020), nos termos seguintes:
    • Para as supervisionadas enquadradas no segmento S3 no momento de entrada em vigor da Circular: até 1° de julho de 2022;
    • Para as supervisionadas enquadradas no segmento S4 no momento de entrada em vigor da Circular: até 3 de outubro de 2022. 

Resolução CVM 35 de 25/05/2021

Estabelece normas e procedimentos a serem observados na intermediação de operações realizadas com valores mobiliários em mercados regulamentados, trazendo disposições específicas sobre controles internos e segurança da informação e cibernética e revogando a Deliberação CVM nº 105/1991, bem como as Instruções CVM nº 51/1986, nº 333/2000, CVM nº 505/2011, nº 526/2012, nº 581/2016, nº 612/2019 e nº 618/2020.

A Resolução CVM 35/2021 entrou em vigor no dia 1º de julho de 2021. Destacamos a seguir os principais pontos, no que tange aos tópicos de segurança cibernética:

  • Conceituação detalhada de incidente e serviços relevantes:
    • Incidente relevante de segurança cibernética: incidente que afete processos críticos de negócios, ou dados ou informações sensíveis, e tenha impacto significativo sobre os clientes; 
    • Processos críticos de negócio: processos e atividades operacionais cuja interrupção ou indisponibilidade não programada pode provocar impacto negativo significativo nos negócios do intermediário;
    • Serviços relevantes: serviços relacionados aos processos críticos de negócio.

  • As regras, os procedimentos e os controles internos para o cumprimento do disposto na Resolução a serem implementados pelos intermediários devem ser escritos e passíveis de verificação, sendo consideradas descumprimento a inexistência ou insuficiência dessas regras, desses procedimentos e desses controles, e a sua não implementação ou a implementação inadequada.

  • São evidências de implementação inadequada:
    • A reiterada ocorrência de falhas;
    • A ausência de registro da aplicação da metodologia, de forma consistente e passível de verificação.

  • O intermediário deve indicar (i) um diretor estatutário responsável pelo cumprimento das normas estabelecidas por esta Resolução; e (ii) um diretor estatutário responsável pela supervisão dos procedimentos e controles internos. A nomeação ou a substituição dos diretores estatutários deve ser informada à CVM e às entidades administradoras dos mercados organizados em que o intermediário seja autorizado a operar, se for o caso, no prazo de 7 (sete) dias úteis, observadas as exigências de governança corporativa e a não existência de conflito de interesses.

  • O intermediário deve implementar e manter plano de continuidade de negócios, que estabeleça procedimentos e prazos estimados para reinício e recuperação das atividades em caso de interrupção dos processos críticos de negócio, bem como ações de comunicação internas e externas necessárias e os casos em que a comunicação deve se estender aos clientes e às entidades administradoras de mercado organizado em que sejam autorizados a operar.

  • O intermediário deve revisar e realizar testes para monitorar a eficiência e eficácia de seus planos de continuidade de negócios em periodicidade adequada, não superior a 1 ano, devendo revisá-los sempre que necessário.

  • Qualquer evento que tenha provocado o acionamento de plano de continuidade de negócios deve ser reportado tempestivamente aos órgãos de administração e à Superintendência de Relações com o Mercado e Intermediários (SMI) pelo intermediário. A comunicação deve incluir:
    • Causas do acionamento do plano de continuidade de negócios, indicando os processos críticos afetados;
    • Medidas já adotadas pelo intermediário ou as que pretende adotar;
    • Tempo consumido na solução do evento ou prazo esperado para que isso ocorra;
    • Qualquer outra informação considerada importante.

  • Sistemas críticos: definidos como todos os computadores, as redes e os sistemas eletrônicos e tecnológicos que se vinculam aos processos críticos de negócios e que diretamente executam ou indiretamente fornecem suporte a funcionalidades cujo mau funcionamento ou indisponibilidade pode provocar impacto significativo nos negócios do intermediário.

  • O intermediário deve desenvolver e implementar políticas visando garantir a integridade, a segurança e a disponibilidade de seus sistemas críticos e estabelecer diretrizes para a avaliação da relevância dos incidentes.

  • O intermediário deve também comunicar tempestivamente à SMI e aos órgãos de administração a ocorrência de incidentes relevantes que afetem seus sistemas críticos e tenham impacto significativo sobre os clientes. A comunicação deve incluir:
    • A descrição do incidente, indicando de que forma os clientes foram afetados;
    • Avaliação sobre o número de clientes potencialmente afetados;
    • Medidas já adotadas pelo intermediário ou as que pretende adotar;
    • Tempo consumido na solução do evento ou prazo esperado para que isso ocorra; 
    • Qualquer outra informação considerada importante.

  • O intermediário deve desenvolver política de segurança da informação (a qual pode ser única no caso de conglomerado financeiro), abrangendo (i) o tratamento e controle de dados de clientes; (ii) a segurança cibernética; (iii) as diretrizes para a avaliação da relevância dos incidentes de segurança, incluindo segurança cibernética, situações em que clientes afetados devem ser comunicados; e (iv) a contratação de serviços relevantes prestados por terceiros.

  • O incidente de segurança cibernética que afete processos críticos de negócios, ou dados ou informações sensíveis, e tenha impacto significativo sobre os clientes deve ser considerado relevante.

  • O intermediário deve considerar como sensíveis, no mínimo, os dados cadastrais e demais informações que permitem a identificação de clientes, suas operações e posições de custódia, bem como manter em sua página na internet orientações para seus clientes sobre suas principais práticas de segurança das informações de forma resumida, em linguagem clara e acessível, e com nível de detalhamento compatível com a sensibilidade das informações, abordando as práticas adotadas pelo intermediário quanto: (i) aos controles de acesso lógico aplicados aos clientes; (ii) à proteção da confidencialidade dos dados cadastrais, operações e posição de custódia de seus clientes; e (iii) cuidados a serem tomados pelos clientes com a segurança cibernética no acesso aos sistemas providos pelo intermediário.

  • Da mesma forma, intermediário deve comunicar, tempestivamente, aos seus órgãos de administração e à SMI a ocorrência de incidentes de segurança cibernética relevantes, devendo incluir:
    • A descrição do incidente, incluindo indicação do dado ou informação sensível afetada;
    • Avaliação sobre o número de clientes potencialmente afetados;
    • Medidas já adotadas pelo intermediário ou as que pretende adotar;
    • Tempo consumido na solução do evento ou prazo esperado para que isso ocorra; 
    • Qualquer outra informação considerada importante.

  • Elaborar e enviar à SMI relatório final contendo no mínimo: (a) descrição do incidente e das medidas tomadas, informando o impacto gerado pelo incidente sobre a operação da instituição e seus reflexos sobre os dados dos clientes; (b) os aperfeiçoamentos de controles identificados com o objetivo de prevenir, monitorar e detectar a ocorrência de incidentes de segurança cibernética, se for o caso, bem como manter à disposição da SMI cópia das comunicações realizadas com seus clientes, se houver; e dos relatórios internos de investigação produzidos pelo intermediário ou por terceiros sobre a análise do incidente e as conclusões dos exames efetuados.

  • Os intermediários devem manter, pelo prazo mínimo de 5 anos, ou por prazo superior por determinação expressa da CVM, todos os documentos e informações exigidos pela Resolução.

  • Considera-se infração grave, dentre outras, a infração às normas contidas nos arts. 38 a 46 e 48, que tratam especificamente da segurança das informações e cibernética.

Para mais informações, nossas equipes permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Últimas

Tags

#direitodigital #empresas #LGPD2ANOS #opiceblum advocacia advogado ANPD bancocentral CEO cibersegurança CLO compliance dadospessoais Dados Pessoais dinheiro direito direitodigital direitotributário DPO economia empresas Fake news finanças GDPR IA incidentedesegurança Inovação Inteligência Artificial InteligênciaArtificial internet LGPD metaverso negócios opiceblum pequenasempresas Privacidade proteçãodedados proteção de dados Proteção de Dados segurançacibernética segurançadainformação startups STF tecnologia VisualLaw
Cadastre-se em nossa newsletter

Quer receber nossa newsletter com notícias especializadas, cursos e eventos?
Registre seu e-mail.

*Para saber como tratamos seus dados pessoais, consulte nosso Aviso de Privacidade.

Al. Joaquim Eugênio de Lima, 680,
1º andar, Jardim Paulista – São Paulo / SP

© 2023 Todos os direitos reservados. | Site designed by FutureBrand
© 2023 Todos os direitos reservados. | Build by Mamutt

+55 11 2189-0061
contato@opiceblum.com.br

Aviso de privacidade | Política de Cookies
Fale Conosco

Linkedin Instagram Facebook-f Youtube
Cadastre-se em nossa newsletter

Quer receber nossa newsletter com notícias especializadas, cursos e eventos?
Registre seu e-mail.

*Para saber como tratamos seus dados pessoais, consulte nosso Aviso de Privacidade.

Al. Joaquim Eugênio de Lima, 680,
1º andar, Jardim Paulista – São Paulo / SP

© 2023 Todos os direitos reservados. | Site designed by FutureBrand

Al. Joaquim Eugênio de Lima, 680,

1º andar, Jardim Paulista – São Paulo / SP

+55 11 2189-0061
contato@opiceblum.com.br

Linkedin Instagram Facebook-f Youtube

Aviso de privacidade
Política de Cookies
Fale Conosco

© 2023 Todos os direitos reservados.
| Site designed by FutureBrand
| Build by Mamutt