Pesquisa de site

Quais são os requisitos de segurança cibernética do Regulamento SEC SP?

A Comissão de Valores Mobiliários dos Estados Unidos (SEC) promulgou o Regulamento S-P (Reg S-P) em 2000 para proteger as informações financeiras dos consumidores. O regulamento exige que as instituições financeiras desenvolvam políticas escritas para proteger os registros dos clientes e regular suas atividades internas de descarte de dados.

Em março de 2023, a SEC propôs emendas ao Regulamento S-P. Se aprovadas, as regras propostas expandiriam o escopo regulatório do Reg SP, exigindo que as instituições cobertas construíssem programas de resposta a incidentes e instalassem proteções para mitigar violações de dados e outras ameaças de segurança cibernética que possam expor os consumidores ao roubo de identidade ou outros danos substanciais.

Continue lendo para saber mais sobre os requisitos de segurança de dados do Reg SP, descubra quais ações as instituições financeiras devem tomar para cumprir e entenda como a Comissão de Valores Mobiliários dos EUA está procurando expandir a lei no futuro.

Saiba como o UpGuard ajuda as organizações a gerenciar a conformidade em toda a cadeia de suprimentos>

Regulamento da SEC SP: Privacidade das Informações Financeiras do Consumidor

O Regulamento S-P da SEC exige que todos os corretores, empresas de investimento, empresas de desenvolvimento de negócios (Lei de Empresas de Investimento de 1940) e consultores de investimento registrados (Lei de Consultores de Investimento de 1940) sigam seus padrões de proteção de registros de clientes e descarte de dados de clientes.

A SEC divide principalmente o regulamento em duas regras essenciais: a Regra de Salvaguardas e a Regra de Descarte.

  • Regra de salvaguardas: As instituições financeiras devem adotar políticas e procedimentos escritos para proteger os registros e informações dos clientes
  • Regra de descarte: As instituições cobertas devem adotar políticas e procedimentos por escrito para reger o descarte de dados do cliente e impedir o acesso não autorizado

As instituições financeiras podem visualizar uma cópia completa do Regulamento SP no sistema eletrônico do Código de Regulamentos Federais (CFR).

Requisitos de segurança cibernética do Regulamento S-P

A regra de salvaguardas, a regra de descarte e outras disposições do regulamento exigem que as instituições financeiras cumpram vários padrões de privacidade de dados.

De acordo com o Regulamento S-P da SEC, todas as instituições financeiras aplicáveis devem:

  • Desenvolver políticas escritas para abordar os controles administrativos, técnicos e físicos que eles instalaram para continuar protegendo as informações do cliente
  • Desenvolver políticas escritas para lidar com o acesso não autorizado e impedir o uso não autorizado de informações em conexão com o descarte adequado
  • Fornecer um aviso de privacidade inicial claro e visível que reflita suas políticas de privacidade e atividades de dados
  • Fornecer um aviso de privacidade anual que inclua todas as atualizações da política de privacidade aplicável a todos os clientes
  • Fornecer um método de recusa que permita que os consumidores aplicáveis adiem a coleta de suas informações pessoais
  • Tomar as medidas apropriadas para limitar a divulgação de informações pessoais não públicas e controlar o nível de acesso que os provedores de serviços terceirizados possuem.

Saiba como o UpGuard capacita as organizações a elevar seus programas de segurança cibernética>

Requisitos do Aviso de Privacidade

O Regulamento S-P exige que as instituições financeiras forneçam um aviso de privacidade inicial a todos os consumidores que terão suas informações pessoais não públicas compartilhadas com terceiros não afiliados. A instituição financeira deve compartilhar este aviso de privacidade com o consumidor até o início do relacionamento com o cliente.

As instituições não são obrigadas a enviar um aviso de privacidade aos consumidores se o uso das informações do cliente não envolver a divulgação de terceiros ou se o cliente de uma instituição financeira não estiver envolvido em um relacionamento contínuo com o consumidor.

O Regulamento S-P também obriga as instituições aplicáveis a fornecer um aviso anual de privacidade a todos os clientes. A instituição financeira deve compartilhar um aviso anual de forma consistente dentro de 12 meses e incluir todas as atualizações relevantes da política de privacidade.

O aviso de privacidade inicial e cada aviso de privacidade anual subsequente que uma instituição financeira fornece a seus clientes devem obter as seguintes informações:

  • As categorias de informações pessoais não públicas que a instituição coletará
  • As categorias de informações pessoais não públicas que a instituição divulgará
  • Os tipos de afiliados ou terceiros não afiliados que receberão informações confidenciais do cliente
  • As categorias de informações pessoais não públicas de ex-clientes que a instituição tem a intenção de divulgar
  • Uma explicação dos direitos do consumidor, incluindo o direito de recusar a divulgação de informações pessoais não públicas
  • Políticas e controles internos de manutenção de registros que estão em vigor para proteger a confidencialidade e a segurança das informações pessoais
  • Qualquer divulgação feita sob o Fair Credit Reporting Act (FCRA)

Requisitos de descarte de dados

De acordo com o Reg SP, as instituições financeiras devem seguir várias diretrizes ao descartar as informações pessoais que coletam dos consumidores. Dado o seu amplo escopo, os requisitos de descarte de dados do Reg SP são visivelmente mais gerais do que os outros requisitos do regulamento.

Para cumprir o Regulamento S-P, as instituições financeiras devem:

  • Garantir que eles protejam a segurança e a confidencialidade dos registros do cliente durante todo o processo de descarte de dados
  • Tome medidas razoáveis para proteger os registros dos clientes contra ameaças antecipadas de segurança cibernética
  • Tomar medidas razoáveis para proteger as informações de denúncia do consumidor contra acesso ou uso não autorizado durante todo o processo de descarte de dados

Requisitos de divulgação de informações

O Regulamento S-P da SEC limita como e quando as instituições podem divulgar informações do consumidor. Para cumprir o Reg SP, a comissão exige que as instituições atendam aos seguintes critérios antes de divulgar qualquer informação:

  • O consumidor recebeu um aviso inicial de privacidade,
  • O aviso de privacidade inicial inclui um aviso de exclusão,
  • O consumidor teve a oportunidade razoável de optar por não divulgar e
  • O consumidor não optou por não divulgar

Oportunidades razoáveis de cancelamento incluem correio ou processos eletrônicos que concedem ao consumidor uma janela de resposta de 30 dias. Essa janela deve começar a partir da data em que o emissor envia o aviso ou na data em que o cliente confirma o recebimento de um aviso eletrônico.

As instituições financeiras que recebem informações de uma afiliada também estão sujeitas a várias disposições do Reg SP. Os limites de redivulgação do Regulamento S-P incluem:

  • As instituições podem voltar a divulgar as informações às filiais das quais as receberam inicialmente
  • As instituições podem divulgar as informações a outras filiais na sua rede, mas essas filiais só podem utilizar as informações na medida em que a instituição-mãe o tenha permitido

Exceções ao Regulamento SEC SP

O Regulamento S-P da SEC concede várias exceções às instituições aplicáveis sujeitas à regra de salvaguardas, regra de descarte e outras disposições legais. As exceções mais proeminentes do Regulamento S-P tornam mais fácil para as instituições financeiras realizar funções comerciais com seus parceiros terceirizados.

Essas exceções incluem:

  • Os requisitos subsequentes de notificação de recusa não se aplicam a instituições financeiras que fornecem informações pessoais não públicas a um novo terceiro se a instituição e o terceiro tiverem celebrado um acordo contratual que impeça o provedor de serviços de divulgar informações do consumidor
  • Os requisitos de aviso de recusa não se aplicam a instituições financeiras que compartilham informações do consumidor para cumprir as leis federais ou estaduais.

Quem aplica o Regulamento S-P?

A SEC é a principal agência reguladora encarregada da aplicação da lei do Regulamento SP. A comissão tem autoridade para realizar ações de fiscalização e o poder de regulamentação contínua para propor emendas ao regulamento.

Penalidades por não conformidade

Embora a SEC ainda não tenha padronizado as penalidades por não conformidade, a comissão resolveu vários processos judiciais e aplicou penalidades significativas.

Em junho de 2016, a SEC fez um acordo com o Morgan Stanley depois que um funcionário baixou e expôs dados confidenciais de clientes. O processo resultou em uma multa de US $1 milhão. A SEC também chegou a um acordo com a Voya Financial Advisors em setembro de 2018. Este processo considerou a Voya culpada de violar a regra de salvaguardas e também resultou em uma multa civil de US $1 milhão.

Melhorias propostas para o Regulamento SP?

>

Desde sua publicação em 2000, a SEC modificou apenas ligeiramente o Regulamento SP. No entanto, a proposta da SEC para 2023 procura expandir o escopo do regulamento de forma agressiva.

Se a proposta for aprovada, as instituições financeiras serão obrigadas a elaborar um plano de resposta a incidentes por escrito que envolva procedimentos para identificar, mitigar e remediar os riscos de segurança cibernética.

Além disso, a proposta inclui igualmente as seguintes disposições:

  • Exigir que as instituições aplicáveis desenvolvam planos de resposta a incidentes que abordem o risco de terceiros, incluindo a instalação de disposições contratuais em acordos de terceiros,
  • Exigir que as instituições aplicáveis notifiquem todos os indivíduos afetados sobre quaisquer violações de dados relevantes ou outros incidentes de segurança cibernética que possam colocá-los em risco de roubo de identidade
  • Incluir agentes de transferência entre as instituições cobertas que estão sujeitas à regra de salvaguardas e outros requisitos regulamentares
  • Exigir que as instituições cobertas mantenham registros escritos documentando a conformidade
  • Modificar os requisitos anuais de entrega de avisos de privacidade do Regulamento SP para incluir uma exceção exigida por uma emenda da Federal Trade Commission (FTC) de 2015 à Lei Gramm-Leach-Bliley (GLBA)

A SEC propôs essas melhorias em 15 de março de 2023. Após a publicação, a SEC abriu um período de comentários públicos, que foi publicado no Federal Register e começou 60 dias após a comissão divulgar a proposta.

No mesmo dia em que a SEC propôs mudanças no Regulamento SP, também sugeriu alterações no Regulamento SCI.

O Congresso ainda não sancionou nenhuma das propostas. Haverá um período de transição de 12 meses se uma proposta for adotada.

Definições de termos-chave (Regulamento SEC SP)

O Regulamento S-P é composto por uma variedade de termos e definições importantes. A SEC definiu todos os seus termos na seção 248.3 do Título 17. Alguns dos termos mais críticos foram incluídos abaixo por conveniência.

Informações pessoais não públicas

De acordo com o Regulamento S-P, as informações pessoais não públicas incluem informações financeiras de identificação pessoal e listas, descrições ou outros agrupamentos de consumidores que as instituições derivam do uso de tais informações.

Informações financeiras de identificação pessoal

A SEC define informações financeiras de identificação pessoal como qualquer informação que um consumidor forneça para obter um serviço financeiro, assistência de corretagem, serviço de gerenciamento de investimentos ou outro produto financeiro.

Exemplos de informações financeiras de identificação pessoal incluem:

  • Pedidos de crédito ou empréstimo,
  • Saldos de contas,
  • Histórico de pagamentos e
  • Histórico de compras

As informações financeiras de identificação pessoal não incluem dados cegos, informações disponíveis publicamente ou outras informações sem identificadores pessoais (números de conta, nomes, endereços).

Informações publicamente disponíveis

As informações publicamente disponíveis incluem qualquer informação que seja legalmente disponibilizada ao público em geral. Essas informações incluem registros do governo federal, estadual ou local, mídia amplamente distribuída e divulgações públicas.

Terceiros não afiliados

A SEC define terceiros não afiliados como qualquer entidade que não seja controlada ou não esteja sob controle comum com um corretor, revendedor ou empresa de investimento.

O que é a Comissão de Valores Mobiliários (SEC)?

A Comissão de Valores Mobiliários dos Estados Unidos (SEC) é uma agência do governo federal que protege a economia federal contra ameaças à segurança nacional e manipulação de mercado. A sede da agência fica em Washington, D.C.

O UpGuard pode ajudar as instituições financeiras a alcançar a conformidade regulatória e gerenciar os riscos de reputação em toda a cadeia de suprimentos.

Dado que o escopo do Regulamento S-P provavelmente crescerá, as instituições financeiras devem se preparar para cumprir os novos requisitos da lei. As ferramentas intuitivas de segurança cibernética do UpGuard podem ajudar as instituições financeiras a formar programas robustos de resposta a incidentes que elevam suas estratégias gerais de gerenciamento de risco de terceiros e risco de fornecedores.

O UpGuard BreachSight e o UpGuard Vendor Risk capacitam as organizações com uma poderosa caixa de ferramentas de segurança cibernética que inclui acesso a:

  • Classificações de segurança atualizadas do fornecedor,
  • Perfis de risco abrangentes do fornecedor,
  • Atualizações de segurança em tempo real,
  • Avaliações de risco personalizáveis,
  • Questionários de segurança flexíveis,
  • Fluxos de trabalho de correção intuitivos e
  • Modelos de relatório personalizados