Um Mundo Regulado e Normatizado

Um Mundo Regulado e Normatizado. Cada vez mais surgem novas regulamentações nos variados segmentos de indústria estabelecendo estruturas de gestão, obrigações, limites e, principalmente, consequências pelo não cumprimento dos requisitos regulatórios estabelecidos.

A maioria delas estão relacionadas à indústria financeira com o objetivo de reduzir o risco sistêmico mas, com o significativo aumento dos riscos de segurança da informação e do armazenamento e processamento de informações na “nuvem”, também começam a surgir regulamentações para estes novos contextos.

Dentre as principais regulamentações podemos destacar:

RESOLUÇÃO Nº 4.557

de 23/02/2017 do Banco Central do Brasil – BACEN que “dispõe sobre a estrutura de gerenciamento de riscos e a estrutura de gerenciamento de capital”. Nesta resolução o BACEN utiliza uma definição bastante abrangente para risco operacional que é “a possibilidade da ocorrência de perdas resultantes de eventos externos ou de falha, deficiência ou inadequação de processos internos, pessoas ou sistemas”, ou seja, qualquer tipo de ameaça, interna ou externa, em qualquer ativo ou processo, que possa vir a provocar uma perda é considerado um risco operacional devendo, portando, ser mitigado a priori por ações de prevenção e controle e a posteriori por planos de continuidade de negócios, contingência ou de recuperação de desastres.

RESOLUÇÃO Nº 4.658

de 26/04/2018 do Banco Central do Brasil – BACEN que “dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições financeiras e demais instituições autorizadas a funcionar pelo Banco Central do Brasil”.

Os riscos potenciais incluídos nesta resolução poderiam ser incluídos na visão abrangente de risco operacional da Resolução Nº 4.557, porém dada a gravidade das ameaças potenciais da segurança cibernética e do processamento e armazenamento de dados em “nuvem” o BACEN optou por uma resolução específica.

Esta resolução tem prazos de implantação bem apertados, sendo o primeiro deles para o dia 26/10/18, e estabelece claramente as responsabilidades da instituição financeira quanto a falhas na segurança cibernética ou do processamento e armazenamento de dados em “nuvem”.

Exige, ainda, a elaboração de cenários de incidentes a serem considerados na continuidade de negócios. Estas obrigações são estendidas aos prestadores de serviços que manuseiem dados ou informações sensíveis ou relevantes para a condução das atividades operacionais da instituição financeira.

Circular Nº 521

de 24/11/2015 da Superintendência de Seguros Privados – SUSEP, sua antecessora a circular nº 517 e seu complemento a circular nº 561 que “dispõe sobre provisões técnicas; teste de adequação de passivos; ativos redutores; capital de risco de subscrição, crédito, operacional e mercado; constituição de banco de dados de perdas operacionais; plano de regularização de solvência; registro, custódia e movimentação de ativos, títulos e valores mobiliários garantidores das provisões técnicas; Formulário de Informações Periódicas – FIP/SUSEP; Normas Contábeis e auditoria contábil independente das seguradoras, entidades abertas de previdência complementar, sociedades de capitalização e resseguradores; exame de certificação e educação profissional continuada do auditor contábil independente e sobre os Pronunciamentos Técnicos elaborados pelo Instituto Brasileiro de Atuária – IBA.

Além dos provisionamentos intrínsecos ao mercado segurador as seguradoras devem prever Planos de Continuidade de Negócios que considerem os seguintes cenários:

destruição completa de seu Centro de Processamento de Dados principal;
destruição completa da edificação onde fica seu principal local de trabalho;
de acesso ao seu principal local de trabalho e
falha absoluta em suas redes de comunicação de voz e dados.

DECRETO Nº 6.523, DE 31 DE JULHO DE 2008

Regulamenta a Lei n⁰ 8.078, de 11 de setembro de 1990, para fixar normas gerais sobre o Serviço de Atendimento ao Consumidor – SAC.

Também conhecida como “Lei do SAC” este decreto diz “Art. 5⁰ O SAC estará disponível, ininterruptamente, durante vinte e quatro horas por dia e sete dias por semana, ressalvado o disposto em normas específicas.” Até o momento não há nenhuma ressalva em normas específicas.

Diz ainda este decreto “Art. 19. A inobservância das condutas descritas neste Decreto ensejará aplicação das sanções previstas no art. 56 da Lei no 8.078, de 1990, sem prejuízo das constantes dos regulamentos específicos dos órgãos e entidades reguladoras”.

Diz o art. 56 da Lei no 8.078: “As infrações das normas de defesa do consumidor ficam sujeitas, conforme o caso, às seguintes sanções administrativas, sem prejuízo das de natureza civil, penal e das definidas em normas específicas: I – multa; II – apreensão do produto; III – inutilização do produto; IV – cassação do registro do produto junto ao órgão competente; V – proibição de fabricação do produto; VI – suspensão de fornecimento de produtos ou serviço; VII – suspensão temporária de atividade; VIII – revogação de concessão ou permissão de uso; IX – cassação de licença do estabelecimento ou de atividade; X – interdição, total ou parcial, de estabelecimento, de obra ou de atividade; XI – intervenção administrativa; XII – imposição de contrapropaganda.

Parágrafo único. As sanções previstas neste artigo serão aplicadas pela autoridade administrativa, no âmbito de sua atribuição, podendo ser aplicadas cumulativamente, inclusive por medida cautelar, antecedente ou incidente de procedimento administrativo.

Art. 57 – Parágrafo único. A multa será em montante não inferior a duzentas e não superior a três milhões de vezes o valor da Unidade Fiscal de Referência (Ufir), ou índice equivalente que venha a substituí-lo. (Parágrafo acrescentado pela Lei nº 8.703, de 6.9.1993)

GDPR – General Data Protection Regulation

Uma regulamentação da Comunidade Europeia, já em plena vigência, que estabelece regras bastante rígidas além de pesadas multas para proteção dos dados dos cidadãos da comunidade europeia. Todas as organizações sediadas na comunidade europeia estão obrigadas a atender a esta regulamentação, suas subsidiárias em qualquer lugar do mundo e qualquer outra empresa que armazene dados de cidadãos da comunidade europeia também estão sujeitas a esta regulamentação.

Da mesma forma que as regulamentações vão sendo desenvolvidas, normas também são desenvolvidas ou revistas, algumas certificáveis, facilitando o cumprimento às regulamentações.

Dentre elas podemos destacar as famílias de normas ISO integráveis:

223nn de Societal Security, em especial, a ISO 22301 – Segurança da sociedade — Sistema de gestão de continuidade de negócios — Requisitos. Esta é uma norma certificável;
27nnn de Information Technology, em especial a ISO 27001 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos. Esta também é uma norma certificável;
27032 de Information Technology – Security techniques — Guidelines for cybersecurity;
31000 de Risk Management;
Dentre outras.

Vivemos num mundo regulado e normatizado. As regulamentações estão aí e devem ser cumpridas de uma forma ou de outra. Com a utilização de normas internacionais esta tarefa fica muito mais fácil.

Você pode ver mais sobre os relacionamentos das normas ISO 22301/22313 do Sistema de Gestão da Continuidade de Negócios com outros Sistemas de Gestão e suas respectivas normas no blog da Strohl Brasil .