A Susep vai estabelecer uma série de requisitos de segurança cibernética que deverão ser observados pelas seguradoras, entidades abertas de previdência complementar, sociedades de capitalização e resseguradores locais. A autarquia colocou em consulta pública a minuta de circular contendo essa proposta e receberá sugestões e críticas até o dia 02 de junho.
De acordo com o texto, as empresas do mercado terão que possuir uma política de segurança cibernética que contemple, no mínimo: os objetivos de segurança cibernética; o compromisso dos órgãos de administração com a segurança cibernética e com a melhoria contínua dos processos, procedimentos e controles a ela relacionados; e as diretrizes para a classificação dos dados quanto a sua sensibilidade e a implementação de processos, procedimentos e controles de segurança cibernética.
Além disso, a política de segurança cibernética deverá ser compatível com o porte da supervisionada, a natureza e a complexidade de suas operações e seu grau de exposição ao risco cibernético; registrada formalmente por escrito; aprovada pelo órgão de administração máximo da supervisionada; e divulgada aos colaboradores da empresa, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções que desempenham, e aos seus clientes, pelo menos em versão resumida que contenha suas linhas gerais; e, por fim, revisada, no mínimo, anualmente.
As empresas precisarão ainda possuir, e manter atualizados, processos, procedimentos e controles efetivos para identificar e reduzir vulnerabilidades de forma proativa; e detectar, responder e recuperar-se de incidentes.
Esses processos terão que contemplar, no mínimo, o monitoramento contínuo da rede de comunicação, por meio de técnicas que auxiliem na detecção de incidentes; a avaliação da natureza, abrangência e impacto dos incidentes detectados, considerando a relevância das informações envolvidas e seu grau de comprometimento; a adoção tempestiva de medidas para a contenção dos efeitos do incidente; o restabelecimento dos sistemas ou serviços afetados e retorno a sua condição normal de operação; o registro do incidente; o compartilhamento de informações sobre o incidente com as demais supervisionadas; a comunicação com clientes e outras partes afetadas; e a identificação e redução das vulnerabilidades exploradas.
Será necessário ainda elaborar um relatório anual sobre prevenção e tratamento de incidentes.
TERCEIRIZAÇÃO.
A terceirização de serviços de processamento e armazenamento de dados não eximirá a empresa de sua responsabilidade pelo cumprimento da legislação e da regulamentação em vigor e pela garantia da confidencialidade, integridade e disponibilidade dos dados em poder do prestador de serviços.
A supervisionada deverá definir e documentar estratégias para substituição de prestadores de serviços ou para execução própria dos serviços terceirizados, a serem adotadas na hipótese de descontinuidade da prestação de serviços relevantes de processamento e armazenamento de dados. Isso valerá para qualquer terceirização de serviços de processamento e armazenamento de dados, inclusive de computação em nuvem, com exceção apenas do serviço de registro das operações em sistema de registro previamente homologado pela Susep e administrado por entidade registradora devidamente credenciada.
FacebookTwitterWhatsAppLinkedIn