Regras sobre segurança cibernética na SUSEP e na CVM

SUSEP E CVM_Report_Report

A proposta de Circular submetida à consulta pública pela SUSEP em 03.05.21 (Edital de Consulta Pública nº 15/2021/SUSEP) prevê os requisitos de segurança cibernética a serem observados pelas sociedades seguradoras, entidades abertas de previdência complementar (EAPC), sociedades de capitalização e resseguradores locais (“supervisionadas”), contra ameaças e ataques cibernéticos. A norma impõe às supervisionadas o dever de gestão do risco cibernético, que deve estar em conformidade com seu Sistema de Controles Internos (SCI) e com a Estrutura de Gestão de Riscos (EGR).

O normativo objetiva alinhar o mercado securitário com as disposições da LGPD (Lei Geral de Proteção de Dados) e segue a abordagem adotada por outros supervisores do Sistema Financeiro Nacional que já possuem regulamentações similares, como a Resolução CMN nº 4.893/2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo BCB e a Resolução CVM nº 35, de 26 de maio de 2021, que aprimorou os controles internos e as práticas das instituições intermediárias quanto ao registro e arquivamento de ordens de forma a garantir a confidencialidade, autenticidade, integridade e disponibilidade das informações e revogou a Instrução CVM nº 612/2019.

Destacamos a seguir os principais pontos da Circular, ainda pendente de publicação pela SUSEP:

  • Conceituação de dados e incidentes relevantes:
    • Dados relevantes: dados pessoais, conforme definido na legislação em vigor, dados relativos a clientes, a processos críticos de negócio ou quaisquer outros dados considerados sensíveis de acordo com as diretrizes estabelecidas pela supervisionada; 
    • Incidentes relevantes: eventos adversos, decorrentes ou não de atividade maliciosa, que comprometam a confidencialidade, integridade ou disponibilidade de dados relevantes.

  • Previsão de uma Política de Segurança Cibernética, que poderá ser única em caso de as supervisionadas serem atendidas por SCI/EGR unificado, e deverá:
    • Contemplar os objetivos da segurança cibernética e o compromisso dos órgãos internos com a melhoria contínua dos processos;
    • Diretrizes para (i) a classificação dos dados conforme a sua sensibilidade; e (ii) a implementação de novos processos e procedimentos de segurança cibernética, os quais devem considerar o grau de sensibilidade dos dados envolvidos e ser desdobrados em normativos internos específicos;
    • Ser compatível com o porte da entidade supervisionada, incluindo a natureza e a complexidade das suas operações, bem como o seu grau de exposição ao risco cibernético;
    • Ser registrada formalmente por escrito; 
    • Ser aprovada pelo órgão de administração máximo;
    • Ser divulgada aos colaboradores com linguagem acessível e em nível compatível com suas funções, e aos seus clientes, pelo menos em versão resumida; e 
    • Ser revisada, no mínimo, anualmente.

  • A entidade supervisionada deverá possuir e manter atualizados processos, procedimentos e controles, para identificar e reduzir vulnerabilidades, e também para detectar, responder e se recuperar de incidentes, que deverão ser previstos no plano de continuidade de negócios.

  • Obrigação de comunicar à SUSEP, no prazo máximo de 5 dias úteis, a ocorrência de incidentes que tenham tido impactos concretos, detalhando a extensão do dano causado e, se for o caso, as ações em curso para regularização completa da situação e os respectivos responsáveis e prazos.

  • Necessidade de documentar em relatório anual a efetividade da prevenção e tratamento de incidentes, resultados dos testes e vulnerabilidades identificadas.

  • Obrigatoriedade de informar à SUSEP a contratação de serviços relevantes de processamento e armazenamento de dados, no prazo de 20 dias antes da formalização, em caso de contratos prestados do exterior e em 10 dias após a formalização de contratos prestados no Brasil.

  • Obrigatoriedade de informar à SUSEP previamente sobre a terceirização de serviços de processamento e armazenamento de dados, incluindo dados sobre a denominação do prestador, a atividade exercida, os países e regiões onde os serviços serão prestados e os dados serão gerenciados, além de qualquer alteração contratual sob essas condições.

  • Nos contratos já vigentes de terceirização de serviços de processamento e armazenamento de dados, a supervisionada terá o prazo de 2 (dois) anos para adequação e informação à SUSEP, se for o caso.

  • Exigir que os prestadores dos serviços de processamento e armazenamento de dados observem as disposições legais e normativas em vigor e que possuam processos, medidas e procedimentos sobre segurança cibernética não inferiores aos da entidade supervisionada.

  • As supervisionadas deverão nomear um diretor responsável pela implantação das medidas da Circular, que não poderá ser o mesmo nomeado como responsável pelos controles internos.

  • Obrigação de guarda de documentos envolvendo a segurança cibernética pelas supervisionadas, que devem ser armazenados por 5 anos, nos termos da Circular SUSEP nº 605/2020.

  • A Circular entra em vigor em 3 de janeiro de 2022, no entanto, prevê prazos diferenciados de adequação para supervisionadas enquadradas nos segmentos S3 e S4 (definidos pela Resolução CNSP 388/2020), nos termos seguintes:
    • Para as supervisionadas enquadradas no segmento S3 no momento de entrada em vigor da Circular: até 1° de julho de 2022;
    • Para as supervisionadas enquadradas no segmento S4 no momento de entrada em vigor da Circular: até 3 de outubro de 2022. 

Resolução CVM 35 de 25/05/2021

Estabelece normas e procedimentos a serem observados na intermediação de operações realizadas com valores mobiliários em mercados regulamentados, trazendo disposições específicas sobre controles internos e segurança da informação e cibernética e revogando a Deliberação CVM nº 105/1991, bem como as Instruções CVM nº 51/1986, nº 333/2000, CVM nº 505/2011, nº 526/2012, nº 581/2016, nº 612/2019 e nº 618/2020.

A Resolução CVM 35/2021 entrou em vigor no dia 1º de julho de 2021. Destacamos a seguir os principais pontos, no que tange aos tópicos de segurança cibernética:

  • Conceituação detalhada de incidente e serviços relevantes:
    • Incidente relevante de segurança cibernética: incidente que afete processos críticos de negócios, ou dados ou informações sensíveis, e tenha impacto significativo sobre os clientes; 
    • Processos críticos de negócio: processos e atividades operacionais cuja interrupção ou indisponibilidade não programada pode provocar impacto negativo significativo nos negócios do intermediário;
    • Serviços relevantes: serviços relacionados aos processos críticos de negócio.

  • As regras, os procedimentos e os controles internos para o cumprimento do disposto na Resolução a serem implementados pelos intermediários devem ser escritos e passíveis de verificação, sendo consideradas descumprimento a inexistência ou insuficiência dessas regras, desses procedimentos e desses controles, e a sua não implementação ou a implementação inadequada.

  • São evidências de implementação inadequada:
    • A reiterada ocorrência de falhas;
    • A ausência de registro da aplicação da metodologia, de forma consistente e passível de verificação.

  • O intermediário deve indicar (i) um diretor estatutário responsável pelo cumprimento das normas estabelecidas por esta Resolução; e (ii) um diretor estatutário responsável pela supervisão dos procedimentos e controles internos. A nomeação ou a substituição dos diretores estatutários deve ser informada à CVM e às entidades administradoras dos mercados organizados em que o intermediário seja autorizado a operar, se for o caso, no prazo de 7 (sete) dias úteis, observadas as exigências de governança corporativa e a não existência de conflito de interesses.

  • O intermediário deve implementar e manter plano de continuidade de negócios, que estabeleça procedimentos e prazos estimados para reinício e recuperação das atividades em caso de interrupção dos processos críticos de negócio, bem como ações de comunicação internas e externas necessárias e os casos em que a comunicação deve se estender aos clientes e às entidades administradoras de mercado organizado em que sejam autorizados a operar.

  • O intermediário deve revisar e realizar testes para monitorar a eficiência e eficácia de seus planos de continuidade de negócios em periodicidade adequada, não superior a 1 ano, devendo revisá-los sempre que necessário.

  • Qualquer evento que tenha provocado o acionamento de plano de continuidade de negócios deve ser reportado tempestivamente aos órgãos de administração e à Superintendência de Relações com o Mercado e Intermediários (SMI) pelo intermediário. A comunicação deve incluir:
    • Causas do acionamento do plano de continuidade de negócios, indicando os processos críticos afetados;
    • Medidas já adotadas pelo intermediário ou as que pretende adotar;
    • Tempo consumido na solução do evento ou prazo esperado para que isso ocorra;
    • Qualquer outra informação considerada importante.

  • Sistemas críticos: definidos como todos os computadores, as redes e os sistemas eletrônicos e tecnológicos que se vinculam aos processos críticos de negócios e que diretamente executam ou indiretamente fornecem suporte a funcionalidades cujo mau funcionamento ou indisponibilidade pode provocar impacto significativo nos negócios do intermediário.

  • O intermediário deve desenvolver e implementar políticas visando garantir a integridade, a segurança e a disponibilidade de seus sistemas críticos e estabelecer diretrizes para a avaliação da relevância dos incidentes.

  • O intermediário deve também comunicar tempestivamente à SMI e aos órgãos de administração a ocorrência de incidentes relevantes que afetem seus sistemas críticos e tenham impacto significativo sobre os clientes. A comunicação deve incluir:
    • A descrição do incidente, indicando de que forma os clientes foram afetados;
    • Avaliação sobre o número de clientes potencialmente afetados;
    • Medidas já adotadas pelo intermediário ou as que pretende adotar;
    • Tempo consumido na solução do evento ou prazo esperado para que isso ocorra; 
    • Qualquer outra informação considerada importante.

  • O intermediário deve desenvolver política de segurança da informação (a qual pode ser única no caso de conglomerado financeiro), abrangendo (i) o tratamento e controle de dados de clientes; (ii) a segurança cibernética; (iii) as diretrizes para a avaliação da relevância dos incidentes de segurança, incluindo segurança cibernética, situações em que clientes afetados devem ser comunicados; e (iv) a contratação de serviços relevantes prestados por terceiros.

  • O incidente de segurança cibernética que afete processos críticos de negócios, ou dados ou informações sensíveis, e tenha impacto significativo sobre os clientes deve ser considerado relevante.

  • O intermediário deve considerar como sensíveis, no mínimo, os dados cadastrais e demais informações que permitem a identificação de clientes, suas operações e posições de custódia, bem como manter em sua página na internet orientações para seus clientes sobre suas principais práticas de segurança das informações de forma resumida, em linguagem clara e acessível, e com nível de detalhamento compatível com a sensibilidade das informações, abordando as práticas adotadas pelo intermediário quanto: (i) aos controles de acesso lógico aplicados aos clientes; (ii) à proteção da confidencialidade dos dados cadastrais, operações e posição de custódia de seus clientes; e (iii) cuidados a serem tomados pelos clientes com a segurança cibernética no acesso aos sistemas providos pelo intermediário.

  • Da mesma forma, intermediário deve comunicar, tempestivamente, aos seus órgãos de administração e à SMI a ocorrência de incidentes de segurança cibernética relevantes, devendo incluir:
    • A descrição do incidente, incluindo indicação do dado ou informação sensível afetada;
    • Avaliação sobre o número de clientes potencialmente afetados;
    • Medidas já adotadas pelo intermediário ou as que pretende adotar;
    • Tempo consumido na solução do evento ou prazo esperado para que isso ocorra; 
    • Qualquer outra informação considerada importante.

  • Elaborar e enviar à SMI relatório final contendo no mínimo: (a) descrição do incidente e das medidas tomadas, informando o impacto gerado pelo incidente sobre a operação da instituição e seus reflexos sobre os dados dos clientes; (b) os aperfeiçoamentos de controles identificados com o objetivo de prevenir, monitorar e detectar a ocorrência de incidentes de segurança cibernética, se for o caso, bem como manter à disposição da SMI cópia das comunicações realizadas com seus clientes, se houver; e dos relatórios internos de investigação produzidos pelo intermediário ou por terceiros sobre a análise do incidente e as conclusões dos exames efetuados.

  • Os intermediários devem manter, pelo prazo mínimo de 5 anos, ou por prazo superior por determinação expressa da CVM, todos os documentos e informações exigidos pela Resolução.

  • Considera-se infração grave, dentre outras, a infração às normas contidas nos arts. 38 a 46 e 48, que tratam especificamente da segurança das informações e cibernética.

Para mais informações, nossas equipes permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp