<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1498912473470739&amp;ev=PageView&amp;noscript=1">
  • Empresas fiscalizadas.
  • Trabalhe Conosco.
  • Imprensa.
  • Fale Conosco.
    Português Português (BR)

Radar

Consulta
201620ª edição
Regulação Internacional

2016

20ª edição

Regulador do estado de Nova York propõe regras de segurança cibernética para setor financeiro

Mercados SecundáriosTecnologia e High-frequency Trading

Em 28/12/16, o DFS publicou atualizações à proposta estadual de regulamentação para ciber segurança (ver também Radar ANBIMA n°19 para regras emitidas pela CFTC, também nos EUA). Com vigência prevista a partir de 1/3/17, as novas regras exigirão que os bancos, companhias de seguros e outras instituições de serviços financeiros estabeleçam e mantenham um programa de segurança cibernética, elaborados de forma robusta e de acordo com o perfil de risco específico de cada instituição.

Entre outros requisitos regulatórios mínimos, as entidades também deverão desenvolver uma política formal de segurança cibernética; realizar testes periódicos – anuais para testes de penetração e semestrais para avaliação de vulnerabilidade; definir procedimentos e politicas de segurança junto à contratação de fornecedores; realizar atualizações e treinamentos de equipe e elaborar e manter atualizados planos de resposta a incidentes. Também, a partir de fevereiro de 2018, as instituições deverão submeter ao regulador, anualmente, uma certificação de conformidade com as normas propostas.

Adicionalmente, será também requerida a designação de um profissional sênior responsável pela supervisão e implementação do programa e da política de segurança cibernética, bem como pelo reporte anual formal à alta administração da instituição. O referido responsável poderá ser um funcionário da entidade ou de uma de suas afiliadas, sendo também admitido o exercício desta função por meio da contratação de serviço de terceiros. Todavia, se adotada esta última opção, a instituição deverá ainda manter internamente a responsabilidade de observância à norma, designar um membro sênior do seu quadro responsável pela direção e supervisão do prestador de serviço contratado e exigir que a instituição terceirizada mantenha um programa de segurança cibernética conforme os requisitos da norma em questão. 

São previstas também isenções a determinados requisitos às entidades com menos de dez funcionários, com receita bruta anual menor que US$5 milhões nos últimos três exercícios fiscais, ou com ativos totais ao final de um período anual inferior a US$ 10 milhões. Organizações que, direta ou indiretamente, não operem, mantenham, utilizem ou controlem qualquer sistema de informação também estão sujeitas a um conjunto de isenções. 

A presente proposta é resultado de consulta aberta que se encerrou ainda em 14/11/16,  mas que ainda será submetida a um período final de comentários adicionais nos próximos 30 dias que seguem à data de publicação.

No âmbito da ANBIMA, vale mencionar que o Guia de Cibersegurança ganhou versão em inglês já disponível no portal da Associação.