Circular SUSEP nº 638/2021: regras sobre segurança cibernética

A Superintendência de Seguros Privados (SUSEP) publicou, no dia 03/08/2021, a Circular nº 638/2021, decorrente do Edital de Consulta Pública nº 15/2021, que apresenta novas disposições sobre o tema da segurança cibernética a ser aplicável às sociedades supervisionadas (seguradoras, entidades abertas de previdência complementar, sociedades de capitalização e resseguradores locais).

A Circular visa alinhar o mercado securitário com as disposições legais existentes e deve ser interpretada conjuntamente com a Lei Geral de Proteção de Dados Pessoais (LGPD), com as normas a serem editadas pela Autoridade Nacional de Proteção de Dados (ANPD) e com a legislação consumerista, se o caso.

Como regra geral, a Circular impõe às supervisionadas o dever de gestão do risco cibernético, que deve estar em conformidade com o Sistema de Controles Internos (SCI) e com a Estrutura de Gestão de Riscos (EGR) da Companhia.

A norma traz diversas novidades, das quais destacamos:

  • Previsão de uma “Política de Segurança Cibernética”, que deverá:
    • Contemplar os objetivos da segurança cibernética e o compromisso dos órgãos internos com a melhoria dos processos a ela relacionados;
    • Prover diretrizes para (i) a classificação dos dados conforme a sua relevância; (ii) a implementação de novos processos e procedimentos de segurança cibernética; e (iii) terceirização de serviços de processamento e armazenamento de dados, em especial os relevantes; e
    • Ser compatível com o porte da Companhia, incluindo a natureza e a complexidade das suas operações, bem como o seu grau de exposição ao risco cibernético.
  • A obrigatoriedade de a Companhia possuir e manter atualizados processos, procedimentos e controles para identificar e reduzir vulnerabilidades, bem como detectar, responder e se recuperar de incidentes, que deverão ser previstos no plano de continuidade de negócios.
  • A Companhia deverá comunicar à SUSEP, no prazo máximo de 5 (cinco) dias úteis a partir do conhecimento do evento, a ocorrência de incidentes relevantes, detalhando a extensão do dano causado e, se o caso, as ações em curso para regularização completa da situação e os respectivos responsáveis e prazos.
  • Necessidade de documentar em Relatório anual a efetividade da prevenção e tratamento de incidentes feitos pela companhia.
  • A Companhia deverá informar a SUSEP, em até 30 dias após a formalização dos contratos, sobre a terceirização de serviços de processamento e armazenamento de dados, incluindo dados sobre a denominação do prestador, a atividade que será por ele exercida e os países e regiões onde os serviços serão prestados e os dados serão gerenciados, bem como qualquer alteração contratual sobre essas condições. A Companhia deverá adequar os contratos já vigentes até o dia 01/09/2024.
  • Caberá à Companhia exigir que os prestadores dos serviços de processamento e armazenamento de dados observem as disposições legais e normativas em vigor, bem como que possuam processos, medidas e procedimentos sobre segurança cibernética não inferiores aos seus próprios, o que não exime a Companhia do cumprimento das suas obrigações legais e normativas.

A Circular obriga à guarda de diversos documentos envolvendo a segurança cibernética da Companhia, que, por força da Circular SUSEP nº 605/2020, devem ser armazenados por 5 (cinco) anos.

Por fim, embora a Circular entre em vigor em 01/09/2021, as supervisionadas dos segmentos S1 ou S2 (definidos pela Resolução CNSP nº 388/2020) deverão se adequar até 30/06/2022, enquanto as dos segmentos S3 ou S4 possuem prazo até 01/09/2022.

A íntegra da circular pode ser acessada neste link.

As equipes de Seguros e Resseguros e de Privacidade, Tecnologia e Cibersegurança estão à disposição prestar quaisquer esclarecimentos adicionais que se façam necessários.