Selecione seu Estado São Paulo
Sexta-Feira, 01 de Novembro de 2024


E-mail:
Senha:
Cadastre-se Login
Acessando.... Erro ao acessar. Esqueceu sua senha?

Susep definirá requisitos para segurança no mercado

Fonte: CQCS Data: 14 maio 2021 Nenhum comentário

A Susep vai estabelecer uma série de requisitos de segurança cibernética que deverão ser observados pelas seguradoras, entidades abertas de previdência complementar, sociedades de capitalização e resseguradores locais. A autarquia colocou em consulta pública a minuta de circular contendo essa proposta e receberá sugestões e críticas até o dia 02 de junho.

De acordo com o texto, as empresas do mercado terão que possuir uma política de segurança cibernética que contemple, no mínimo: os objetivos de segurança cibernética; o compromisso dos órgãos de administração com a segurança cibernética e com a melhoria contínua dos processos, procedimentos e controles a ela relacionados; e as diretrizes para a classificação dos dados quanto a sua sensibilidade e a implementação de processos, procedimentos e controles de segurança cibernética.

Além disso, a política de segurança cibernética deverá ser compatível com o porte da supervisionada, a natureza e a complexidade de suas operações e seu grau de exposição ao risco cibernético; registrada formalmente por escrito; aprovada pelo órgão de administração máximo da supervisionada; e divulgada aos colaboradores da empresa, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções que desempenham, e aos seus clientes, pelo menos em versão resumida que contenha suas linhas gerais; e, por fim, revisada, no mínimo, anualmente.

As empresas precisarão ainda possuir, e manter atualizados, processos, procedimentos e controles efetivos para identificar e reduzir vulnerabilidades de forma proativa; e detectar, responder e recuperar-se de incidentes.

Esses processos terão que contemplar, no mínimo, o monitoramento contínuo da rede de comunicação, por meio de técnicas que auxiliem na detecção de incidentes; a avaliação da natureza, abrangência e impacto dos incidentes detectados, considerando a relevância das informações envolvidas e seu grau de comprometimento; a adoção tempestiva de medidas para a contenção dos efeitos do incidente; o restabelecimento dos sistemas ou serviços afetados e retorno a sua condição normal de operação; o registro do incidente; o compartilhamento de informações sobre o incidente com as demais supervisionadas; a comunicação com clientes e outras partes afetadas; e a identificação e redução das vulnerabilidades exploradas.

Será necessário ainda elaborar um relatório anual sobre prevenção e tratamento de incidentes.

TERCEIRIZAÇÃO.

A terceirização de serviços de processamento e armazenamento de dados não eximirá a empresa de sua responsabilidade pelo cumprimento da legislação e da regulamentação em vigor e pela garantia da confidencialidade, integridade e disponibilidade dos dados em poder do prestador de serviços.

A supervisionada deverá definir e documentar estratégias para substituição de prestadores de serviços ou para execução própria dos serviços terceirizados, a serem adotadas na hipótese de descontinuidade da prestação de serviços relevantes de processamento e armazenamento de dados. Isso valerá para qualquer terceirização de serviços de processamento e armazenamento de dados, inclusive de computação em nuvem, com exceção apenas do serviço de registro das operações em sistema de registro previamente homologado pela Susep e administrado por entidade registradora devidamente credenciada.

FacebookTwitterWhatsAppLinkedIn

 

Para participar e deixar sua opinião, clique aqui e faça login.

 

Últimas

 

agencialink.com é o nome fantasia da Raz&aatilde;o Social:
ART Tecnologia de Sistemas S/S Ltda.
CNPJ: 10.199.185/0001-69
Av. Jabaquara, 2860 - Sobre Loja - S&aatilde;o Paulo, SP - 04046-500 - Brasil