A Susep vai estabelecer uma série
de requisitos de segurança cibernética que deverão ser observados
pelas seguradoras, entidades abertas de previdência complementar,
sociedades de capitalização e resseguradores locais. A autarquia
colocou em consulta pública a minuta de circular contendo essa
proposta e receberá sugestões e críticas até o dia 02 de junho.
De acordo com o texto, as empresas do mercado terão que possuir uma
política de segurança cibernética que contemple, no mínimo: os
objetivos de segurança cibernética; o compromisso dos órgãos de
administração com a segurança cibernética e com a melhoria contínua
dos processos, procedimentos e controles a ela relacionados; e as
diretrizes para a classificação dos dados quanto a sua
sensibilidade e a implementação de processos, procedimentos e
controles de segurança cibernética.
Além disso, a política de segurança cibernética deverá ser
compatível com o porte da supervisionada, a natureza e a
complexidade de suas operações e seu grau de exposição ao risco
cibernético; registrada formalmente por escrito; aprovada pelo
órgão de administração máximo da supervisionada; e divulgada aos
colaboradores da empresa, mediante linguagem clara, acessível e em
nível de detalhamento compatível com as funções que desempenham, e
aos seus clientes, pelo menos em versão resumida que contenha suas
linhas gerais; e, por fim, revisada, no mínimo, anualmente.
As empresas precisarão ainda possuir, e manter atualizados,
processos, procedimentos e controles efetivos para identificar e
reduzir vulnerabilidades de forma proativa; e detectar, responder e
recuperar-se de incidentes.
Esses processos terão que contemplar, no mínimo, o monitoramento
contínuo da rede de comunicação, por meio de técnicas que auxiliem
na detecção de incidentes; a avaliação da natureza, abrangência e
impacto dos incidentes detectados, considerando a relevância das
informações envolvidas e seu grau de comprometimento; a adoção
tempestiva de medidas para a contenção dos efeitos do incidente; o
restabelecimento dos sistemas ou serviços afetados e retorno a sua
condição normal de operação; o registro do incidente; o
compartilhamento de informações sobre o incidente com as demais
supervisionadas; a comunicação com clientes e outras partes
afetadas; e a identificação e redução das vulnerabilidades
exploradas.
Será necessário ainda elaborar um relatório anual sobre prevenção e
tratamento de incidentes.
TERCEIRIZAÇÃO.
A terceirização de serviços de processamento e armazenamento de
dados não eximirá a empresa de sua responsabilidade pelo
cumprimento da legislação e da regulamentação em vigor e pela
garantia da confidencialidade, integridade e disponibilidade dos
dados em poder do prestador de serviços.
A supervisionada deverá definir e documentar estratégias para
substituição de prestadores de serviços ou para execução própria
dos serviços terceirizados, a serem adotadas na hipótese de
descontinuidade da prestação de serviços relevantes de
processamento e armazenamento de dados. Isso valerá para qualquer
terceirização de serviços de processamento e armazenamento de
dados, inclusive de computação em nuvem, com exceção apenas do
serviço de registro das operações em sistema de registro
previamente homologado pela Susep e administrado por entidade
registradora devidamente credenciada.
FacebookTwitterWhatsAppLinkedIn
