Novas regras de segurança cibernética para o mercado segurador

Novas regras de segurança cibernética para o mercado segurador

Felipe Palhares*

25 de agosto de 2021 | 09h30

Felipe Palhares. FOTO: DIVULGAÇÃO

Os recentes ataques cibernéticos, cada vez mais frequentes e sofisticados, vêm ampliando a preocupação de diversos setores com a segurança da informação e com medidas de prevenção para evitar ou mitigar danos que podem ser causados pela materialização de incidentes digitais.

Recentemente, a Superintendência de Seguros Privados (SUSEP) editou a Circular nº 638/2021, que dispõe sobre requisitos de segurança cibernética para as suas entidades supervisionadas, quais sejam sociedades seguradoras, entidades abertas de previdência complementar, sociedades de capitalização e resseguradores locais.

Essa movimentação está em linha com normas editadas em outros setores regulados para criar diretrizes relacionados à segurança cibernética, como ocorre no setor de telecomunicações, por meio da Resolução nº 740/2020 da ANATEL, e no setor financeiro, por meio das Resoluções nº 85/2021 e 4.893/2021, do Banco Central do Brasil.

A Circular da SUSEP estabelece diversas novas obrigações direcionadas ao mercado segurador, que precisará adaptar as suas práticas para cumprir com os termos da normativa. Dentre elas, passa a ser obrigatória a elaboração de uma política de segurança cibernética, considerada como complementar à política de gestão de riscos, que traga os objetivos da segurança cibernética, o compromisso da administração com o tema e com a melhoria contínua dos processos internos, assim como parâmetros e diretrizes para a classificação de informações e incidentes, e para a terceirização de serviços de processamento e armazenamento de dados.

No mesmo rumo, a Circular dispõe que devem ser adotadas as boas práticas nacionais e internacionais de segurança cibernética, incluindo aspectos como a segurança física e lógica de equipamentos e instalações, a realização de cópias de segurança (backups), o controle de acesso a sistemas e informações, bem como o uso de criptografia.

Outro ponto central previsto na norma é a necessidade de as empresas do mercado segurador promoverem ações voltadas para a disseminação da cultura de segurança cibernética, realizando treinamentos e capacitações contínuas para seus colaboradores. Esse aspecto efetivamente não pode ser negligenciado, considerando que os ataques cibernéticos recentes normalmente acontecem por falhas de pessoas, não por falhas de sistemas. Parece banal, mas clicar num link malicioso ou baixar um arquivo enviado por e-mail de um remetente desconhecido é muitas vezes a porta de entrada para que criminosos tenham acesso aos sistemas de uma organização, pondo por terra todas as proteções que tenham sido instituídas para evitar ataques externos.

A Circular também determina que as entidades supervisionadas devem possuir controles para identificar e reduzir vulnerabilidades, e para detectar, responder e se recuperar de incidentes, o que precisa incluir o monitoramento sistemático das suas redes e o registro de eventuais incidentes de segurança. Inclusive, nos casos de incidentes relevantes, as entidades supervisionadas passam a ser obrigadas a reportar respectivo incidente para a SUSEP em até 5 dias úteis, indicando a extensão do dano causado e as ações para regularização completa da situação.

Vale lembrar que quando o incidente envolver dados pessoais e tiver potencial de causar risco ou dano relevante aos titulares de dados, o evento também precisará ser notificado à Autoridade Nacional de Proteção de Dados, nos termos do artigo 48 da Lei Geral de Proteção de Dados Pessoais.

Por fim, a Circular também traz um foco especial no relacionamento das entidades supervisionadas com prestadores de serviços de processamento e armazenamento de dados, estipulando a necessidade de formalização de cláusulas contratuais específicas em determinados cenários.

As empresas do mercado segurador agora devem exigir dos seus prestadores de serviços o cumprimento de uma série de aspectos voltados à segurança cibernética, inclusive de adoção de processos, procedimentos e controles que não sejam inferiores ao implementados pela própria supervisionada.

Quando a terceirização do processamento e armazenamento for de serviços relevantes, definidos pela Circular como aqueles que envolvam acesso ou manipulação de dados pessoais, de dados relativos a clientes ou a processos críticos de negócio, ou quando suportarem atividades que sejam consideradas pela supervisionada como essenciais para a continuidade de sua operação, a barra de exigências passa a ser mais alta.

Nesses casos, a entidade supervisionada é responsável por garantir que o prestador de serviços tenha capacidade de cumprir com a obrigação de possuir processos e controles não inferiores aos seus, seja por meio da solicitação de certificação concedida por instituição dependente, ou pela realização de diligências prévias para confirmação dessa condição. Além disso, a supervisionada também está obrigada a informar à SUSEP, dentro de 30 dias da contratação, os serviços relevantes contratados, a denominação da empresa contratada e de eventuais subcontratadas, e, sempre que possível, os países e regiões onde os dados poderão ser armazenados.

Observa-se, portanto, que as novas regras instituídas pela Circular demandarão diversas adaptações por parte das empresas do mercado segurador, especialmente diante das dificuldades inerentes à negociação de aditivos contratuais com seus fornecedores, que nem sempre são resolvidas rapidamente.

Embora a Circular estabeleça um prazo razoável para os ajustes que precisam ser feitos (30 de junho de 2022 para supervisionadas dos segmentos S1 e S2, e 1º de setembro de 2022 para supervisionadas dos segmentos S3 e S4), é importante que esse trabalho não seja deixado para a última hora, uma vez que pode levar mais tempo do que a expectativa inicial.

*Felipe Palhares é sócio da área de Proteção de Dados, Tecnologia e Negócios Digitais do Barbosa Müssnich Aragão – BMA Advogados e professor convidado do Insper e da FGV/Rio

Tudo o que sabemos sobre:

Artigo

Comentários

Os comentários são exclusivos para assinantes do Estadão.