Foi publicada no Diário Oficial da União no dia 3 de Agosto de 2021 a Circular SUSEP 638/2021, que dispõe sobre requisitos de segurança cibernética a serem observados pelas sociedades seguradoras, entidades abertas de previdência complementar (EAPCs), sociedades de capitalização e resseguradores locais. A Circular SUSEP 638 entra em vigor em 1º de setembro de 2021.
Conforme dispõe a Circular, é permitido adequação até 30 de junho de 2022 para as entidades supervisionadas enquadradas nos segmentos S1 ou S2 e até 1º de setembro de 2022 para entidades supervisionadas enquadradas nos segmentos S3 ou S4.
A Circular SUSEP 638 estabelece condições mínimas para assegurar a proteção de dados e informações dos consumidores, além da eficiência e continuidade na prestação de serviços.
Com a nova regra, as entidades deverão manter e implementar uma política de segurança cibernética voltada para assegurar a confidencialidade, integridade ou disponibilidade de dados e informações em suporte digital, em decorrência da sua manipulação indevida ou de danos a equipamentos e sistemas utilizados para seu armazenamento, processamento ou transmissão além de cumprirem requisitos mínimos para a implementação de processos, procedimentos e controles de segurança cibernética, relativos à prevenção e à resposta a incidentes cibernéticos.
São estabelecidos, também, requisitos para a contratação de serviços de processamento e armazenamento de dados, inclusive de computação em nuvem.
Sobre a Política de Segurança Cibernética
A Circular estabelece que:
A supervisionada deverá possuir uma política de segurança cibernética que contemple, no mínimo:
I – os objetivos de segurança cibernética;
II – o compromisso dos órgãos de administração com a segurança cibernética e com a melhoria contínua dos processos, procedimentos e controles a ela relacionados; e
III – os parâmetros e diretrizes para:
a) classificação de dados, incidentes e serviços quanto a sua relevância;
b) implementação de processos, procedimentos e controles de segurança cibernética; e
c) terceirização de serviços de processamento e armazenamento de dados, em especial os relevantes, incluindo requisitos mínimos e alçadas relativas à aprovação e alteração de contratos.
Parágrafo único. A política de segurança cibernética deverá ser compatível com o porte da supervisionada, a natureza e a complexidade de suas operações e seu grau de exposição ao risco cibernético.
Acesse a Circular SUSEP 638 para Segurança Cibernética
As regras dispostas na Circular SUSEP 638 estavam previstas no Plano de Regulação de 2021 da Susep e é publicada em um momento importante no qual o setor passa por um processo de maior digitalização e desenvolvimento tecnológico relacionados a projetos inovadores como o Open Insurance, o Sandbox e o Sistema de Registro de Operações (SRO).
Fonte: Susep, Circular SUSEP 638 (link)
Converse com nossa equipe de Advogados especialistas em Privacidade e Proteção de Dados e Compliance para orientar sua empresa na adequação aos termos da Circular SUSEP 638/2021. Dentre outros serviços prestados, podemos atuar na elaboração ou revisão de políticas e processos, revisão de contratos e compliance digital em Proteção de Dados e Segurança Cibernética. Entre em contato pelo e-mail [email protected] ou fale com um Advogado online.
