O desafio da proteção de dados dos clientes: FEBRABAN adota autorregulação para bancos

Confira neste artigo

Quando se fala em proteção de dados, o setor mais visado pelos cibercriminosos é o setor de serviços financeiros. Devido ao grande volume de dados financeiros confidenciais transportados por esse setor, ele serve como um ponto de acesso para ataques cibernéticos. 

De acordo com a Bitdefender, empresa romena de tecnologia de segurança cibernética, 47,5% das instituições financeiras foram violadas somente em 2018, enquanto 58,5% sofreram um ataque avançado ou viram sinais de comportamento suspeito em sua infraestrutura.

Em contrapartida a essa realidade, existem no mercado financeiro, que inclui bancos e outras instituições relacionadas, regulamentações que regem esse setor em específico, como o PCI-DSS (Payment Card Industry Data Security Standard), GLBA (Gramm-Leach-Bliley Act, também conhecido como Financial Services Modernization Act) e BCBS 239 (Regulamento do Comitê de Supervisão Bancária da Basiléia nº 239), além da recente Lei Geral de Proteção de Dados (LGPD).

Embora o setor seja fortemente regulamentado, ele tem um custo de violação de dados significativamente alto, de US $5,86 milhões, de acordo com o Instituto Ponemon em seu relatório sobre violação de dados. 

Assim, os dados caindo em mãos não autorizadas não apenas resultam em falta de conformidade para a organização, mas também a colocam em risco financeiro devido ao alto custo das violações de dados.

Visando a proteção de dados, a FEBRABAN adota autorregulação para bancos 

Aprovado em dezembro de 2021 pela FEBRABAN, o Normativo SARB 25 estabelece princípios e diretrizes a serem adotadas pelas instituições financeiras para fortalecer a proteção dos dados pessoais dos consumidores, em conformidade com a Lei Geral de Proteção de Dados (LGPD).

De acordo com a Federação Brasileira de Bancos (FEBRABAN), o Sistema de Autorregulação Bancária reflete o compromisso das instituições financeiras com as melhores práticas de mercado em benefício do consumidor e de toda a sociedade.

Em publicação feita no portal de notícias da FEBRABAN, a norma da autorregulação dos bancos prevê a elaboração e implementação de programas de governança em privacidade, estabelecendo procedimentos e boas práticas visando garantir os principais requisitos previstos nas normas de proteção de dados, a exemplo da LGPD.

Dentre os procedimentos aprovados e descritos no Sistema de Autorregulação Bancária, estão previstos a existência de mecanismos para prevenção de danos e a preocupação com a proteção de dados pessoais desde a fase de concepção do produto ou serviço. 

Na prática, esses procedimentos estão alinhados à criação de uma governança interna adequada ao tratamento de dados, o que se tornou uma preocupação central das instituições financeiras desde a edição da LGPD.

Ainda de acordo com a FEBRABAN, em seu portal de notícias, a norma também inclui a criação de um fluxo específico de atendimento aos direitos dos titulares dos dados, previstos na LGPD, com facilitação no contato dos clientes e prazos céleres de resposta aos titulares de dados. 

Cada instituição financeira terá um encarregado de tratamento de dados que será o “ponto focal” de comunicação com a Autoridade Nacional de Proteção de Dados (ANPD), órgão independente e responsável em fiscalizar como as informações pessoais circulam e são utilizados pelas empresas, em cumprimento à LGPD. O compromisso desses profissionais fortalece a adoção de padrões de governança em privacidade, em prol dos consumidores bancários.

Além disso, deverá ser disponibilizado ao público um canal de privacidade para o exercício desses direitos dos titulares de dados, que pode ser um canal específico ou um já existente na instituição, como as centrais de atendimento, aplicativos e internet banking.

 

 

Estratégias para enfrentar os desafios regulatórios de segurança e proteção de dados

Iniciativas como o Sistema de Autorregulação Bancária apresentado pela FEBRABAN, mostra como as instituições financeiras podem lidar efetivamente com padrões e regulamentações desse mercado. Existem várias maneiras de enfrentá-los.

De fato, muitas organizações cometem o erro de confiar completamente em uma abordagem de segurança de perímetro, protegendo os limites de sua rede usando firewall e produtos de detecção de intrusão. 

No ambiente de hoje, os cibercriminosos estão cada vez mais atentos para a exploração de pontos fracos e sabem que romper a segurança do perímetro da rede expõe imediatamente um data center desprotegido a ataques diretos.

Combinar a segurança de perímetro com um método “centrado em dados” que protege os próprios dados com criptografia é uma etapa necessária para obter uma arquitetura de proteção em camadas alinhada com as melhores práticas que reforcem a postura de conformidade normativa de uma organização. No caso de uma violação de dados, a criptografia torna as informações confidenciais ilegíveis e inutilizáveis ​​para um invasor.

Além disso, as organizações financeiras devem estar cientes que seus dados estão constantemente em fluxo, mudando de “em uso” para “em movimento” e “em repouso”. É imperativo que eles usem a combinação certa de ferramentas para proteger suas informações confidenciais de ponta a ponta para alcançar com mais eficácia a conformidade normativa de segurança de dados.

As instituições financeiras também devem se preparar para o inevitável: futuras mudanças e potenciais novos regulamentos e requisitos. O cenário de segurança cibernética está em constante evolução, tornando necessário que as organizações sejam flexíveis, ágeis e prontas para responder às mudanças nos ambientes regulatórios e do setor.

Finalmente, as instituições financeiras devem trabalhar com os fornecedores para encontrar ferramentas que atendam aos seus requisitos e reduzam a pressão sobre a equipe de TI, enquanto mantêm com segurança as informações confidenciais a sete chaves.

No desafio da proteção de dados, instituições financeiras podem contar com a solução CipherTrust Data Security Platform, que permite que as empresas protejam sua estrutura contra ataques

De acordo com o IDC, mais de 175 zetabytes de dados serão criados até 2025, e hoje mais da metade de todos os dados corporativos são armazenados na nuvem. Um grande risco quando se fala em proteção de dados.

Para lidar com a complexidade de onde os dados são armazenados, a CipherTrust Data Security Platform oferece recursos fortes para proteger e controlar o acesso a dados confidenciais em bancos de dados, arquivos e contêineres. Tecnologias específicas incluem:

CipherTrust Transparent Encryption

Criptografar dados em ambientes locais, em nuvem, banco de dados, arquivos e Big Data com controles de acesso abrangentes e registro de auditoria de acesso de dados detalhado que pode impedir os ataques mais maliciosos.

CipherTrust Database Protection

Fornece criptografia transparente ao nível de coluna de dados estruturados e confidenciais que residem em bancos de dados, como cartão de crédito, números de previdência social, números de identificação nacional, senhas e endereços de e-mail.

CipherTrust Application Data Protection 

Oferece APIs para que os desenvolvedores adicionem rapidamente criptografia e outras funções criptográficas a seus aplicativos, enquanto o SecOps controla as chaves de criptografia.

CipherTrust Tokenization

Oferece serviços de tokenização de dados ao nível de aplicativo em duas soluções convenientes que oferecem flexibilidade ao cliente – Token sem Vault com mascaramento de dados dinâmico baseado em políticas e Tokenização em Vault.

CipherTrust Batch Data Transformation

Fornece serviços de mascaramento de dados estáticos para remover informações confidenciais de bancos de dados de produção, para que as questões de conformidade e segurança sejam aliviadas ao compartilhar um banco de informações com terceiros para análise, teste ou outro processamento.

CipherTrust Manager

Centraliza chaves, políticas de gerenciamento e acesso a dados para todos os produtos CipherTrust Data Security Platform e está disponível em formatos físicos e virtuais compatíveis com FIPS 140-2 Nível 3.

CipherTrust Cloud Key Manager 

Oferece o gerenciamento do ciclo de vida de sua própria chave (BYOK) para muitos provedores de infraestrutura, plataforma e software como serviço na nuvem.

CipherTrust KMIP Server

Centraliza o gerenciamento de chaves para o protocolo de interoperabilidade de gerenciamento de chaves (KMIP) comumente usado em soluções de armazenamento.

CipherTrust TDE Key Manager

Centraliza o gerenciamento de chaves para criptografia encontrada em Oracle, SQL e Always Encrypted SQL.

O portfólio de produtos de proteção de dados que compõe a solução CipherTrust Data Security Platform permite que as empresas protejam dados em repouso e em movimento em todo o ecossistema de TI e garante que as chaves dessas informações estejam sempre protegidas e apenas sob seu controle. 

Ela simplifica a segurança dos dados, melhora a eficiência operacional e acelera o tempo de conformidade. Independentemente de onde seus dados residem.

A plataforma CipherTrust garante que seus dados estejam seguros, com uma ampla gama de produtos e soluções comprovados e líderes de mercado para implantação em data centers, ou aqueles gerenciados por provedores de serviços em nuvem (CSPs) ou provedores de serviços gerenciados (MSPs), ou como um serviço baseado em nuvem gerenciado pela Thales, empresa líder no segmento de segurança.

Portfólio de ferramenta que garante a proteção de dados

Com os produtos de proteção de dados do CipherTrust Data Security Platform, sua empresa pode:

Reforçar a proteção de dados e a conformidade

Os produtos e soluções de proteção de dados CipherTrust abordam as demandas de uma série de requisitos de segurança e privacidade, incluindo a identificação eletrônica, autenticação e confiança, Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), Lei Geral de Proteção de Dados (LGPD), entre outros requisitos de conformidade.

Otimiza a eficiência da equipe e dos recursos voltados a proteção de dados

CipherTrust Data Security Platform oferece o mais amplo suporte para casos de uso de segurança de dados no setor, com produtos desenvolvidos para trabalhar em conjunto, uma linha única para suporte global, um histórico comprovado de proteção contra ameaças em evolução e o maior ecossistema de parcerias de segurança de dados do setor. 

Com foco na facilidade de uso, APIs para automação e gerenciamento responsivo, a solução CipherTrust Data Security Platform garante que suas equipes possam implementar, proteger e monitorar rapidamente a proteção do seu negócio. 

Além disso, serviços profissionais e parceiros estão disponíveis para design, implementação e assistência de treinamento para garantir rapidez e confiabilidade em implementações com o mínimo de tempo de sua equipe.

Reduz o custo total de propriedade

O portfólio de proteção de dados do CipherTrust Data Security Platform oferece um amplo conjunto de produtos e soluções de segurança de dados que podem ser facilmente dimensionados, expandidos para novos casos de uso e têm um histórico comprovado de proteção de tecnologias novas e tradicionais. 

Com o CipherTrust Data Security Platform, as empresas podem preparar seus investimentos para o futuro enquanto reduz custos operacionais e despesas de capital.

Sobre a Eval 

A EVAL está há mais de 18 anos desenvolvendo projetos nos segmentos financeiro, saúde, educação e indústria. Desde 2004, oferecemos soluções de Autenticação, Assinatura Eletrônica e Digital e Proteção de Dados. Atualmente, estamos presentes nos principais bancos brasileiros, instituições de saúde, escolas e universidades, além de diferentes indústrias. 

Com valor reconhecido pelo mercado, as soluções e serviços da EVAL atendem aos mais altos padrões regulatórios das organizações públicas e privadas, tais como o SBIS, ITI, PCI DSS, e a LGPD. Na prática, promovemos a segurança da informação e o compliance, o aumento da eficiência operacional das empresas, além da redução de custos. 

Inove agora, lidere sempre: conheça as soluções e serviços da Eval e leve sua empresa para o próximo nível. 

Eval, segurança é valor. 

Sobre o(s) autor(es):

Autor