A Circular Susep 638 e a segurança cibernética

A transformação digital já é uma realidade de muitas empresas atuantes no mercado segurador. A procura por softwares que sejam compatíveis com a atuação das entidades supervisionadas e que atendam aos regulamentos da Superintendência de Seguros Privados (Susep) faz parte da nova cultura do setor.

Em 3 de agosto de 2021, a Susep publicou a Circular 638, que dispõe sobre as regras de segurança cibernética aplicáveis às supervisionadas. A regulamentação define os requisitos a serem exigidos dos prestadores de serviços classificados como relevantes de processamento e armazenamento de dados. A análise desta regulamentação deve ser feita em conjunto com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018, a LGPD), podendo também ser afetada por normas a serem editadas pela Autoridade Nacional de Proteção de Dados (ANPD).

De acordo com o referido normativo, a política de segurança cibernética a ser implementada deve estabelecer parâmetros e diretrizes para a terceirização de serviços de processamento e armazenamentos de dados, em especial os serviços considerados relevantes para as entidades. O critério para a classificação desses serviços como relevantes é o processamento ou armazenamento de dados, incluindo de computação em nuvem, que envolva acesso ou manipulação de dados ou ainda que suportem atividades essenciais para a continuidade dos negócios da supervisionada.

Em ato contínuo, deverão as supervisionadas validar, junto aos prestadores de serviços, o atendimento das exigências do artigo 11 da Circular e, por fim, documentar essa atuação. 

O rol de exigências do artigo 11 da Circular contém requisitos expressos, alguns específicos às supervisionadas, a saber: (i) cumprimento de disposições legais e regulamentares em vigor; (ii) disponibilização de informações e recursos para fins de monitoramento dos serviços; (iii) existência de processos e controles de segurança cibernética; (iv) utilização de controles físicos e/ou lógicos para segregação de dados; (v) notificação pelo prestador de serviços à supervisionada sobre a subcontratação de serviços relevantes; (vi) providências específicas em caso de término do Contrato; e, por fim, (vii) a facilitação à atuação da SUSEP. 

Mas, todo e qualquer modelo operacional de software deve se adequar a essa Circular? A resposta é sim. 

Hoje, a grande maioria das empresas de tecnologia apresentam softwares nos seguintes modelos de gestão: On-Premises e Software as a Service (SaaS). O On-Premise é aquele cuja instalação e execução do software é no servidor local, sendo de responsabilidade da supervisionada a administração da ferramenta. Já o modelo SaaS é aquele em que o fornecedor disponibiliza acesso a produtos e serviços através da internet e, como ele funciona na nuvem, a manutenção e administração da ferramenta contratada ficam a cargo do prestador de serviços. 

Se a entidade supervisionada contrata um software On-Premise, ela é a responsável imediata para adequar as funcionalidades às práticas de governança e segurança da informação, especialmente no que diz respeito aos controles mitigatórios de risco cibernético. Caso o objeto da contratação seja SaaS, ficará à cargo do prestador de serviço que fornece o software mantê-lo adequado e em atendimento à política de segurança cibernética da entidade supervisionada e às regras apresentadas na Circular.

A Circular também é aplicável aos prestadores de serviços de computação em nuvem, cujo serviço tem finalidade exclusiva de armazenamento de dados. Podemos citar como exemplo empresas como Microsoft, Google e Amazon que provêm serviços como esses. A exceção a essa regra são os serviços de registro das operações das supervisionadas, pois estes são prestados por entidades registradoras credenciadas pela Susep.

E como documentar essa adequação? Por meio de instrumentos contratuais. 

A Circular definiu como obrigação das supervisionadas a adequação dos contratos referentes a tais serviços, de modo que as exigências da regulamentação sejam expressamente replicadas nos documentos. A exceção à regra fica para os contratos de adesão, cuja cláusulas não são negociadas entre as partes.

O ideal é que as obrigações sobre o monitoramento dos serviços, atuação e controle de segurança cibernética, segregação de dados, responsabilidade sobre manutenção do banco de dados e concessão de acesso de consulta sejam definidas ao prestador de serviços de acordo o modelo operacional do software (On-Premise ou SaaS). 

Outra pergunta pertinente é: Por que a adequação contratual é importante? Tal adequação contratual é necessária porque as supervisionadas precisarão informar à Susep a contratação de serviços relevantes de processamento e armazenamento de dados.

As definições da Circular da Susep estão em linha com a proteção a dados pessoais previstos na LGPD e com a política prevista na Resolução 4.658/2018 do Banco Central para as instituições financeiras e instituições de pagamento. Vale destacar que ambos os normativos definem princípios e diretrizes sobre segurança cibernética cujo objetivo é assegurar a confidencialidade, a integridade a disponibilidade dos dados e dos sistemas de informação utilizados e definem parâmetros de aplicação de acordo com o porte, perfil de risco e modelo de negócio das entidades supervisionadas.

Ainda, a Circular da Susep estipula que a referida política deve fazer parte do Sistema de Controles Internos e Estrutura de Gestão de Riscos de cada supervisionada, situação na qual as entidades deverão, complementarmente, observar:

• Tratamentos e controles para riscos cibernéticos;
• Boas práticas nacionais e internacionais de segurança cibernética, em ambientes físicos e digitais;
• Ações voltadas à disseminação da cultura de segurança cibernética, incluindo programa de capacitação contínua de colaboradores; e
• Ações de prevenção e tratamento de incidentes.

Diante de tal regulamentação setorial é importante que a entidade supervisionada entre em contato com o seu prestador de serviços para avaliar a adequação de seus serviços e contratos às exigências da Circular, atentando-se às responsabilidades atribuídas a cada parte em razão dos modelos operacionais dos softwares contratados.  

Toda e qualquer alteração contratual precisa estar alinhada com a política de segurança da informação, norma interna que compõe a organização de governança da informação de cada supervisionada. O papel principal desse alinhamento é minimizar as vulnerabilidades, sem, contudo, comprometer a inovação e a digitalização do mercado.

Finalmente, vale apenas ressaltar que a Circular também estabeleceu prazos diferentes para que as supervisionadas adequassem os contratos com seus fornecedores e/ou prestadores de serviços. Até o presente momento, a autarquia não se pronunciou sobre eventuais penalizações a serem aplicadas, caso os prazos da Circular não sejam atendidos. Mas há a expectativa de que o órgão fiscalizador possa publicar novas diretrizes sobre o tema ainda em 2023.