A Instrução n° 612/2019 da Comissão de Valores Mobiliários (CVM) entrará em vigor em setembro deste ano trazendo novas obrigações relacionadas à segurança cibernética para intermediários do mercado de valores mobiliários.
Apesar de ganhar cada vez mais importância, o tema não é exatamente uma novidade em termos de regulação financeira. As instituições autorizadas a funcionar pelo Banco Central do Brasil (BCB), inclusive corretoras e distribuidoras, já estão sujeitas à Resolução n° 4.658/2018 do Conselho Monetário Nacional (CMN) desde abril de 2018.
O assunto também vem sendo bastante explorado há anos pela autorregulação, com a criação de parâmetros e boas práticas, em especial por meio dos guias e pesquisas da Anbima,[1] que serviram de base até mesmo para os reguladores estatais elaborarem suas normas. Além disso, a Lei n° 13.709/2018 (Lei Geral de Proteção de Dados), em vigor a partir de agosto deste ano, traz várias obrigações relacionadas à segurança do tratamento de dados de clientes para atividades de qualquer natureza.
Como mostram alguns incidentes recentes de vazamento de dados em grandes empresas no Brasil, no entanto, essa questão ainda é crítica. A divulgação de casos envolvendo instituições financeiras após a entrada em vigor da Resolução CMN 4.658 evidenciaram também que esse setor não está imune a ataques cibernéticos, apesar do arcabouço regulatório vigente.
Por isso, a nova regra editada pela CVM introduz uma série de obrigações adicionais para os intermediários em relação à Resolução CMN 4.658, sem romper com a sua lógica, nem criar incompatibilidades com as normas e práticas vigentes.
As principais mudanças envolvem uma postura mais detalhista do regulador. Enquanto a Resolução CMN 4.658 é menos minuciosa e dá ampla margem para que as instituições definam suas políticas e modelos de acordo com as próprias necessidades, a ICVM 612 optou por detalhar a regulação de alguns pontos, definindo o conteúdo mínimo para determinados itens das políticas previstas.
Por exemplo, enquanto a Resolução CMN 4.658 prevê que cabe à instituição definir o que são incidentes relevantes, sem impor conteúdo específico,[2] a ICVM 612 exige que os incidentes que afetem processos críticos ou informações sensíveis, bem como os que tenham impacto significativo sobre clientes, estejam necessariamente no rol de incidentes relevantes definidos pela instituição.[3]
Fato semelhante ocorre com a classificação de dados. A Resolução CMN 4.658 exige que ela seja feita, mas não especifica seu conteúdo.[4] Já a ICVM 612 determina que, no mínimo, dados cadastrais e informações que permitam identificar operações de clientes sejam considerados sensíveis[5].
As obrigações adicionais à Resolução CMN 4.658 criadas pela ICVM 612 podem ser consultadas na tabela comparativa abaixo:
|
Obrigação descrita na Resolução CMN 4.658 |
Obrigação adicional imposta pela ICVM 612* |
|
A classificação de dados quanto à relevância deve ser feita de acordo com diretrizes definidas na Política de Segurança Cibernética (Política) (art. 3°, V, “c”). Norma não define quais tipos de dados devem ser considerados relevantes. |
Deverão ser obrigatoriamente considerados relevantes/sensíveis, no mínimo, dados cadastrais e informações que permitam identificar clientes ou suas operações e posições (art. 35-E, parágrafo único). |
|
A Política deve trazer uma série de disposições sobre segurança cibernética, incluindo avaliação de vulnerabilidades, objetivos de segurança cibernética e procedimentos específicos para que sejam atingidos (art. 3°). |
A Política deverá prever também um mapeamento dos riscos cibernéticos aos quais o intermediário está exposto (art. 35-H, I). |
|
A classificação de incidentes quanto à relevância deve ser estabelecida de acordo com as diretrizes definidas na Política (art. 3°, V, “d”). Não há definição de tipos de incidentes que necessariamente devem ser tidos como relevantes. |
Deverão ser obrigatoriamente considerados relevantes, no mínimo, incidentes que afetem processos críticos ou informações sensíveis, bem como aqueles que tenham impactos significativos sobre clientes (art. 35-D, §4°). |
|
A Política deve prever os procedimentos a serem adotados no caso de incidentes relevantes, mas a norma não define procedimentos mínimos obrigatórios, somente requer previsões sobre mitigação de efeitos de incidentes e continuidade de negócios nas políticas de gerenciamento de riscos. As ações específicas seriam definidas na Política (art. 19 e 20). Também devem ser estabelecidas diretrizes para realização de testes de continuidade de negócios, mas não há periodicidade mínima obrigatória (art. 3°, V, “a” e art. 19, III). |
Nos procedimentos definidos na Política, deverão ser incluídas ações internas e externas de comunicação, incluindo as voltadas a clientes e administradores de mercado organizado. Também são especificados alguns serviços que devem necessariamente ser abarcados por planos de continuidade: recepção e execução de ordens de clientes, liquidação com clearings e clientes e conciliação de posições (art. 35-A). Além disso, foi estabelecida periodicidade mínima de um ano para os testes de continuidade (art. 35-A). |
|
O BCB deve ser informado de incidentes relevantes que causem crise na instituição. Em tese, se um incidente não estiver previsto na Política como relevante, não precisa ser relatado. O conteúdo mínimo da comunicação é a informação da ocorrência e as providências tomadas para seu saneamento (art. 20, III). |
Além de incidentes relevantes (incluídos os que afetem sistemas críticos e que tenham impacto significativo sobre clientes), devem ser comunicados à Superintendência de Relações com o Mercado e Intermediários da CVM (SMI) os episódios que provoquem o acionamento de planos de continuidade, estejam eles definidos ou não como incidentes relevantes (art. 35-A, §4°, art. 35-C, §1° e art. 35-I, §1°). O conteúdo mínimo da comunicação à SMI é mais extenso. Além da descrição do incidente e das medidas de saneamento, devem ser incluídos: (i) os dados afetados, (ii) os clientes potencialmente afetados e (iii) o tempo consumido na solução do evento ou prazo para tanto, bem como qualquer outra informação relevante nesse sentido (art. 35-A, §4°, art. 35-C, §1° e art. 35-I, §1°). |
|
A Política deve prever programas de capacitação e avaliação pessoal como mecanismos de disseminação da cultura de segurança cibernética (art. 3°, VI, “a”), sem demais especificações a respeito. |
A periodicidade dos treinamentos passa a ser conteúdo obrigatório da Política (art. 35-D, §2°, III). |
|
A Política deve ser divulgada em sua integralidade aos funcionários e terceiros contratados. Um resumo deve ser publicado no site da instituição (arts. 4° e 5°). |
O conteúdo a ser publicado no site deve conter, no mínimo, orientações sobre as principais práticas adotadas, incluindo controles de acesso e de confidencialidade de informações pessoais, e cuidados de segurança cibernética a serem tomados pelos clientes no acesso aos seus sistemas (art. 35-G). |
|
Deve ser elaborado relatório anual sobre a efetividade da implementação da Política, os resultados obtidos na execução de procedimentos de prevenção e resposta, os incidentes relevantes ocorridos no período e os resultados dos testes de continuidade de negócios (art. 8°). |
O relatório anual também deverá conter manifestações do diretor responsável sobre as deficiências encontradas e seu saneamento; os resultados do saneamento de deficiências encontradas nos anos anteriores; avaliação fundamentada sobre o cumprimento da ICVM 505; e avaliação sobre a adequação do plano de continuidade de negócios e eventuais aperfeiçoamentos (art. 4°, §7°). |
|
Não traz nenhuma obrigação específica sobre sistemas críticos, embora esse tópico já esteja parcialmente abarcado em alguns pontos da Política, especialmente nos procedimentos e controles adotados para reduzir a vulnerabilidade da instituição (art.3°, §2°). |
Devem ser criadas políticas específicas para os sistemas críticos visando garantir a integridade, segurança e disponibilidade deles, incluindo diretrizes para avaliar a relevância de incidentes (art. 35-C). |
|
Sobre a contratação de serviços de terceiros em geral, a Política deve prever diretrizes para a definição de procedimentos e controles adotados pelos prestadores que manuseiem dados sensíveis ou relevantes da instituição (art. 3°, V. “b”). Há uma série de regras para contratar serviços em nuvem, incluindo diversas verificações antes da contratação, cláusulas contratuais obrigatórias, comunicações ao BCB e autorizações a serem obtidas, entre outras (art. 11 a 17). |
Os intermediários devem relacionar os prestadores mais relevantes e avaliar a capacidade de todos eles de armazenar as informações exigidas pela ICVM 505, mantendo-as à disposição da SMI. Também devem assegurar o acesso da instituição aos dados tratados e a confidencialidade, integridade, disponibilidade e recuperação dos dados (art. 35-J). A contratação de prestadores de serviços em nuvem também deve observar os requisitos previstos na Resolução 4.658/2018. |
|
Traz um rol das informações que devem ficar à disposição do BCB pelo prazo de cinco anos (art. 23). |
A regra é mais ampla: os intermediários devem armazenar e manter à disposição da SMI todos os documentos relacionados ao cumprimento da ICVM 505, além de todas as correspondências internas ou externas e todos os papéis de trabalho, relatórios e pareceres relacionados com o exercício de suas funções, sejam eles físicos ou eletrônicos, assim como a íntegra das gravações de diálogos com clientes (art. 36). |
* Os artigos indicados nesta coluna se referem à numeração da ICVM 505, conforme alterada pela ICVM 612.
[1] Nesse sentido, vide o Guia de Segurança Cibernética da ANBIMA, publicado pela primeira vez em 2016 e editado 2017, disponível em: https://www.anbima.com.br/data/files/F5/62/AB/91/FBC206101703E9F5A8A80AC2/Guia-de-Ciberseguranca-ANBIMA.pdf. Além disso, interessante verificar também as pesquisas realizadas pela associação sobre o assunto desde 2017: https://www.anbima.com.br/data/files/E4/93/9C/7E/156306101703E9F5A8A80AC2/GT%20Ciberseguran_a-Pesquisa%202017_ANBIMA.pdf.
[2] Conforme artigo 3°, inciso V, alínea “d”.
[3] Conforme o artigo 35-D, §4°, incluído na ICVM 505.
[4] Cf. art. 3°, V, “c”.
[5] Cf. art. 35-E, parágrafo único, incluído na ICVM 505.
