A Resolução CVM Nº 35, de 26 de maio de 2021, publicada pela Comissão de Valores Mobiliários (CVM), estabelece normas e procedimentos rigorosos para a intermediação de operações com valores mobiliários em mercados regulamentados. Além disso, define diretrizes essenciais sobre controles internos e segurança da informação e cibernética.

Aplicação da Resolução CVM Nº 35: Essa resolução aplica-se diretamente à intermediação de operações realizadas com valores mobiliários em mercados regulamentados, conforme estipulado no artigo 1º.

Princípios e Objetivos: A Resolução CVM Nº 35 impõe princípios claros e objetivos específicos que devem ser adotados pelas intermediadoras, garantindo segurança cibernética robusta e proteção de dados sensíveis.

Confidencialidade das Informações

Conforme o artigo 42, é obrigatório que o intermediador mantenha a confidencialidade das informações obtidas durante as operações, prevenindo acessos não autorizados e vazamentos de dados. As medidas incluem:

• Desenvolvimento de regras e procedimentos que assegurem a autenticidade, integridade e disponibilidade dos dados.
• Diretrizes para a identificação e classificação das informações sensíveis.
• Procedimentos para o registro e gestão de incidentes cibernéticos relevantes.

Controle de Acesso

O artigo 44 enfatiza a necessidade de implementar controles rigorosos de acesso, garantindo que somente indivíduos autorizados possam acessar sistemas e informações críticas. A intermediadora deve:

• Publicar em seu site orientações sobre práticas de segurança adotadas, incluindo controles de acesso lógico e proteção da confidencialidade dos dados cadastrais e operacionais.

Proteção Contra Ameaças Internas e Externas

Conforme o artigo 45, inciso II, as intermediadoras devem adotar medidas proativas contra ameaças cibernéticas, como ataques de malware e phishing, envolvendo tanto fontes internas quanto externas. É crucial implementar:

• Procedimentos para detecção, comunicação, contenção, erradicação e recuperação de incidentes cibernéticos.

Segurança na Comunicação de Informações

O artigo 41 destaca que todas as comunicações, especialmente as que envolvem dados sensíveis, devem ser realizadas de forma segura, assegurando a confidencialidade e integridade das informações.

Backup e Recuperação de Dados

O inciso IV do artigo 41 especifica a necessidade de realizar backups regulares e implementar planos de recuperação de dados, minimizando os riscos de perda de informações críticas em caso de incidentes.

Auditoria dos Sistemas de TI

De acordo com o artigo 7º, parágrafo único, os sistemas de TI devem ser auditados periodicamente para verificar a conformidade com os requisitos de segurança estabelecidos pela resolução, incluindo:

• Testes de vulnerabilidade e penetração.
• Auditorias independentes para avaliar a eficácia das medidas de segurança.

Política de Retenção e Descarte de Dados

O artigo 48º, §2º, estabelece a importância de definir políticas claras de retenção e descarte seguro de dados, garantindo a eliminação segura das informações que não sejam mais necessárias, conforme as normas de segurança.

Conformidade com Regulamentações de Segurança da Informação

A intermediadora deve assegurar que todas as práticas de segurança da informação estejam em conformidade com as regulamentações locais e internacionais, como a Lei Geral de Proteção de Dados (LGPD). Conforme o artigo 8º, é necessário elaborar um relatório anual sobre a implementação do plano de ação e resposta a incidentes.

Quer saber mais sobre a legislação de segurança de dados? Leia no blog!