Sign In

   

CVM submete à audiência pública instrução sobre plano de continuidade de negócios e segurança da informação

18Out2018Oct18,2018
Capital Markets; Data Protection and Cybersecurity

​A Comissão de Valores Mobiliários (CVM) publicou, no dia 8 de outubro de 2018, o Edital de Audiência Pública SDM n.º 05/2018, com propostas de alteração da Instrução CVM n.º 505/2011, relacionadas a normas e procedimentos a serem observados pelas instituições intermediárias nas operações realizadas com valores mobiliários em mercados regulamentados (Minuta).

O objetivo da Minuta é sofisticar os mecanismos de controles internos dos intermediários em relação a (i) eventos que possam provocar a parada de suas atividades, e (ii) riscos de falhas relacionadas à segurança da informação no âmbito de seus processos, sistemas e infraestrutura.

Dentre as propostas trazidas na Minuta, destacamos as que nos parecem mais relevantes:

  1. Plano de continuidade de negócios: a CVM estabelece exigência de elaboração, pelos intermediários, de plano de continuidade de negócios que verse sobre os procedimentos e sistemas que serão utilizados para garantir a continuidade e retorno das atividades nos casos de interrupção dos processos críticos do negócio. A prática está em linha com a Resolução do Conselho Monetário Nacional n.º 4.557/2017 e com o Programa de Qualificação Operacional da B3, que estabelecem exigência similar.

    A Minuta elenca um rol mínimo de processos que deverão ser classificados como críticos, sendo aqueles relativos a (a) recepção e execução de ordens, (b) liquidação junto às entidades administradoras de mercados organizados, (c) liquidação junto aos clientes, (d) conciliação e (e) atualização das posições de clientes. Os demais processos podem ser considerados críticos ou não, a critério do intermediário, que deverá identificá-los e classificá-los.

    O intermediário deverá estabelecer também uma estrutura que viabilize o atendimento aos investidores por outros canais em casos de suspensão do atendimento por meio da rede mundial de computadores, decorrente de períodos de indisponibilidade ou picos de demanda.

  2. Segurança da informação: a CVM determina o aprimoramento das regras sobre segurança da informação, com a inclusão de dispositivos referentes a (a) tratamento e controle de dados de clientes, (b) segurança cibernética, e (c) contratação de serviços prestados por terceiros.

    Em relação ao tratamento e controle de dados de clientes, a Minuta visa garantir a confidencialidade, autenticidade e integridade e a disponibilidade dos dados e informações sensíveis, considerando-os como, no mínimo, aqueles que permitam a identificação de seus clientes e operações.

    A Minuta determina que os intermediários desenvolvam e implementem programa de segurança cibernética que contemple, no mínimo (a) identificação dos riscos cibernéticos a que o intermediário está exposto; (b) procedimentos e controles para a verificação da eficácia das medidas de segurança cibernética e para a realização do monitoramento contínuo e detecção de ataques cibernéticos em tempo hábil; e (c) definição de um plano de resposta para tratamento de incidentes e recuperação de dados e sistemas.

    A Minuta prevê também a obrigação de comunicação à Superintendência de Relações com o Mercado e Intermediários da CVM (SMI), pelo intermediário, dos incidentes de segurança cibernética relevantes, em até 24 horas a partir da sua identificação. Após 45 dias do incidente, o intermediário deverá encaminhar à SMI um relatório contendo a descrição do incidente, as medidas tomadas, as comunicações realizadas com clientes e eventuais aperfeiçoamentos identificados, com o respectivo cronograma de implementação, se for o caso.

    Os intermediários deverão, ainda, identificar e avaliar os controles adotados por seus prestadores de serviços críticos e garantir no contrato de prestação de serviço (a) o cumprimento das exigências de arquivamento previstas na Minuta, (b) o acesso a dados e informações, (c) a confidencialidade, integridade, disponibilidade e a recuperação dos dados e informações processados ou armazenados pelo prestador de serviços, e (d) a permissão de acesso pela CVM e por entidade autorreguladora ao conteúdo dos contratos, documentos, dados e informações processadas ou armazenadas pelos prestadores de serviço, e às dependências do contratado.

    Conforme reforçado pela própria autarquia no edital, outros reguladores também têm manifestado preocupações sobre segurança da informação, incluindo o Conselho Monetário Nacional, que editou recentemente a Resolução n.º 4.658/2018, estabelecendo regras sobre segurança cibernética e requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem.

  3. Transmissão de ordens: a CVM propõe, ainda, a atualização dos meios pelos quais os clientes podem transmitir ordens aos intermediários, de modo a refletir as práticas do mercado, e sugere o desenvolvimento, pelos intermediários, de procedimentos específicos para o arquivamento de dados e voz relativos às ordens que não são realizadas em sistemas cujo controle e registro estão sob domínio da corretora.

Além das disposições acima mencionadas, salientamos também a proposta de alteração da periodicidade da apresentação do relatório de controles internos, que deixará de ser semestral e passará a ser anual, de forma a reduzir o custo de observância dos intermediários. Ainda nesse sentido, a CVM publicou, no dia 10 de outubro, o edital de Audiência Pública SDM n.º 06/2018, propondo modificações em outras normas, também com o objetivo de reduzir o custo de observância pelos participantes do mercado.

Os comentários e sugestões podem ser encaminhadas à Superintendência de Desenvolvimento de Mercado preferencialmente pelo endereço eletrônico [email protected] até o dia 30 de novembro de 2018. Para acessar o conteúdo integral do edital, clique aqui.

Nossos advogados estão à disposição para prestar mais informações e esclarecimentos sobre o assunto.


See our recent publications