Entre para ver o resumo
Faça login para acessar o resumo da Okai, disponível para usuários cadastrados.
Estabelece requisitos para credenciamento e funcionamento das sociedades iniciadoras de serviço de seguro no Open Insurance.
Faça login para acessar o resumo da Okai, disponível para usuários cadastrados.
As análises Okai fazem parte do Okai Pro. Faça upgrade ou entre com uma conta que já tenha acesso.
Nenhum item vinculado a este artefato.
Conteúdo normativo
81 pontos ativos publicados em HTML para leitura e indexação.
As demonstrações financeiras da SISS devem estar de acordo com a Lei nº 6.404/1976.
A SISS deve encaminhar à Susep até 15 de março do exercício seguinte as demonstrações financeiras para divulgação no sítio eletrônico da autarquia.
A SISS deve manter patrimônio líquido superior aos percentuais do valor médio mensal dos serviços, com mínimo de R$ 1.000.000, apurado no último dia de cada mês.
Para SISS que também sejam instituições iniciadoras de transação de pagamento autorizadas, o patrimônio líquido mínimo é complementar ao exigido pelo Banco Central.
Os percentuais de patrimônio líquido são 1% até 31/12/2022, 1,25% de 01/01/2023 a 31/12/2024 e 1,5% a partir de 01/01/2025.
O capital social da SISS deve ser integralizado em moeda corrente e mantido investido em títulos públicos federais, ressalvadas hipóteses de aumento de capital.
Aumentos de capital não realizados em moeda corrente só podem ser integralizados com lucros acumulados, reservas de capital e lucros ou créditos a acionistas específicos.
Aumentos de capital social realizados nas hipóteses previstas no art. 4º do Anexo I independem de autorização da Susep.
Sociedades supervisionadas que prestem iniciação de movimentação terão o capital base acrescido de R$ 1.000.000.
É vedado à SISS comercializar ou disponibilizar gratuitamente dados e informações utilizados na prestação dos serviços, salvo com consentimento expresso do titular.
A política de segurança e sigilo de dados da SISS deve proteger dados do cliente, observar legislação, assegurar segurança da informação e preservar propriedade dos dados.
A política de segurança e sigilo de dados deve ser aprovada e revisada, no mínimo a cada dois anos, pela diretoria ou conselho de administração, se houver.
A SISS deve comunicar incidentes relevantes à governança do Open Insurance e à Susep em até cinco dias úteis do conhecimento do evento, com dano, ações, responsáveis e prazos.
A SISS deve adotar requisitos de segurança cibernética definidos em regulamentação específica da Susep; em divergência, prevalecem os requisitos do Anexo II.
A SISS deve manter à disposição da Susep a documentação das políticas de gestão de risco, conformidade, sigilo de dados e informações e segurança cibernética.
A Susep pode realizar testes e verificações técnicas para confirmar o cumprimento das regras de governança, sigilo e segurança do Anexo II.
A SISS deve indicar diretor responsável pelo cumprimento das regras do Anexo II, admitida acumulação se não implicar assunção de riscos relevantes do negócio.
A SISS deve contar com pessoal técnico e administrativo capacitado e administradores com competência técnica, autonomia de gestão e experiência prévia mínima de um ano em tecnologia.
A SISS deve possuir estrutura organizacional e administrativa efetiva e transparente, inclusive para permitir avaliação do desempenho dos administradores.
A SISS deve implementar estrutura de gestão de riscos compatível, segregada da auditoria interna e com política aprovada e revisada no mínimo a cada dois anos.
A estrutura de riscos deve prever plano de contingência, continuidade, proteção de dados, segurança de redes, sítios, servidores e canais, e controle de acesso a dados sensíveis.
A estrutura deve prever segregação de funções em TI, identificação do cliente, autenticação, autorização e rastreabilidade dos serviços de iniciação de movimentação.
Se funções de segurança forem terceirizadas, o contrato deve exigir atendimento ao art. 4º e acesso da SISS aos dados e informações sobre os serviços prestados.
A estrutura deve monitorar falhas e reclamações de segurança, revisar medidas, elaborar relatórios de correção e realizar testes de robustez das medidas de segurança.
A estrutura deve monitorar e autorizar serviços para prevenir fraudes, identificar alto risco, notificar não execução e permitir ao cliente verificar a correta execução.
A estrutura deve prever monitoramento e controle de falhas na efetivação de serviços, segregando eventos não autorizados, não executados, executados incorretamente e atrasados.
A estrutura deve prever critérios de decisão e seleção para terceirização e avaliação, gerenciamento e monitoramento de riscos de serviços terceirizados relevantes.
A SISS deve possuir política de conformidade com compromisso da administração, ética, cultura de controle, tratamento de deficiências, riscos, incidentes e desvios.
A SISS deve implantar controles internos sobre atividades, sistemas e cumprimento da regulamentação do Open Insurance e da Resolução, revisados e atualizados periodicamente.
A SISS deve desenvolver e implementar política, procedimentos e controles internos para prevenção e combate à lavagem de dinheiro e ao financiamento do terrorismo.
Se a auditoria interna for própria, deve estar subordinada ao conselho de administração ou, na falta deste, à diretoria; alternativas devem reportar-se a essas instâncias.
A SISS deve separar suas atividades e serviços das demais empresas do grupo econômico, vedado o compartilhamento de dados obtidos na prestação dos serviços, salvo hipóteses legais.
Na prestação de serviços, é vedado à SISS armazenar credenciais por tempo superior ao necessário, exigir dados excessivos ou usar, armazenar ou acessar dados para outra finalidade.
É vedado à SISS alterar o montante ou elemento do serviço autorizado pelo cliente ou prestar iniciação de movimentação envolvendo sociedade não integrante do Open Insurance.
Tratamento adequado do cliente envolve interesse, necessidade e perfil, informação clara, redução de assimetria, tratamento de demandas e proteção de dados pessoais.
A SISS deve conduzir atividades com ética, responsabilidade, transparência, diligência, lealdade, probidade, boa-fé, livre iniciativa e concorrência, segurança e privacidade.
A SISS deve promover cultura de tratamento adequado, considerar interesses dos clientes, divulgar serviços claramente, prestar informações, executar operações apropriadamente e tratar reclamações.
A SISS permanece responsável pelas regras de conduta mesmo com terceirização de atividades.
A política de remuneração de executivos, conselheiros, funcionários e prestadores terceirizados não deve conflitar com o tratamento adequado do cliente.
No fornecimento de serviços, a SISS deve informar conceito, metodologia de seleção, sociedades provedoras, adequação ao cliente, relação de grupo econômico e remuneração.
As informações prestadas pela SISS devem estar atualizadas, em local visível e formato legível no site, aplicativo e demais plataformas, com linguagem clara e objetiva.
A forma e o montante da remuneração da SISS devem mitigar conflitos de interesses e não descaracterizar sua condição de representante do cliente.
A SISS deve informar ao cliente participações diretas ou indiretas iguais ou superiores a 10% envolvendo a SISS e sociedade supervisionada com a qual compartilhe serviço.
É vedada relação contratual ou parceria para garantir exclusividade de compartilhamento de serviços entre SISS e uma ou mais sociedades supervisionadas.
A prestação de serviços pela SISS junto a sociedade supervisionada não deve prejudicar o tratamento adequado do cliente nem gerar conflito com a representação do cliente.
Quando a iniciação de movimentação for acessória a outro produto ou serviço, a SISS deve garantir que o cliente possa adquiri-los independentemente da iniciação acessória.
A Susep pode pesquisar, simular e testar serviços de iniciação de movimentação para verificar a adequação das práticas de conduta da SISS.
Os serviços de iniciação de movimentação devem ser realizados de forma imediata após o consentimento do cliente, observando regulamentação específica.
O serviço de iniciação relacionado a aviso de sinistro pode ser prestado durante a vigência do consentimento, observado o prazo máximo de validade e o melhor interesse do cliente.
No indeferimento, a Susep informa a motivação e concede prazo à sociedade interessada para pedido de reconsideração com justificativas.
Sociedades supervisionadas devem comunicar à Susep, com noventa dias de antecedência, a intenção de prestar serviço de iniciação de movimentação.
A prestação de iniciação de movimentação por sociedade supervisionada exige certificação e certificados de segurança específicos no diretório de participantes.
Sociedades supervisionadas que prestem iniciação de movimentação também se sujeitam a requisitos de conflitos, informações à Susep, capital base e Anexos II e III.
Sociedades supervisionadas participantes do Open Insurance são dispensadas de credenciamento pela Susep para prestar iniciação de movimentação, observada regulamentação específica.
A SISS deve instituir Serviço de Atendimento ao Cliente, em funcionamento quando do início de sua operação.
As SISS devem informar tempestivamente à Susep qualquer alteração das informações relativas aos requisitos mínimos de credenciamento.
Dados e informações periódicas a serem enviados ou disponibilizados pelas SISS serão disciplinados pela Susep, que pode solicitar informações a qualquer tempo.
O cancelamento do credenciamento a pedido deve observar o Termo de Adesão e ser instruído com requerimento, declaração de responsabilidade e plano de descontinuidade.
A Susep pode cancelar o credenciamento em hipóteses como prejuízos a clientes, descumprimentos relevantes, fraude, falhas de segurança, reputação ou ato nocivo.
O credenciamento será cancelado se a SISS não iniciar a prestação dos serviços no prazo de noventa dias contados da aprovação do credenciamento.
A SISS pode ter o credenciamento suspenso se houver risco aos clientes ou se deixar de implementar medidas corretivas após notificação da Susep.
A suspensão permanece até a solução comprovada da ocorrência, analisada pela Susep, e pode ser convertida em cancelamento se não sanada em noventa dias.
Em suspensão ou cancelamento, a SISS tem registro suspenso ou excluído do diretório e não pode prestar iniciação de movimentação nem serviços baseados em dados pessoais de seguro.
A Resolução estabelece requisitos para credenciamento e funcionamento das sociedades iniciadoras de serviço de seguro no Open Insurance.
A Resolução altera a Resolução CNSP nº 393/2020 para incluir SISS no escopo sancionador e criar sanção por descumprimento de obrigações do Open Insurance.
A Resolução entra em vigor em 1º de dezembro de 2021.
Para a Resolução, sociedade supervisionada compreende seguradora, inclusive sandbox, entidade aberta de previdência complementar e sociedade de capitalização.
As SISS não podem reter riscos de seguros, operar planos de previdência complementar aberta ou emitir títulos de capitalização.
SISS e sociedades supervisionadas que ofertem iniciação de movimentação devem manter procedimentos e processos para prevenir conflitos de interesses.
A obrigação de prevenir conflitos também alcança SISS que prestem outros serviços ao cliente com base em dados compartilhados no Open Insurance.
Parcerias com corretores para intermediação de produtos não incluem compartilhamento de dados pessoais dos clientes no Open Insurance com corretores.
Para credenciamento, a SISS deve firmar Termo de Adesão, observar requisitos financeiros, governança, sigilo, segurança, conduta e assegurar acesso à Susep.
O credenciamento da SISS deve ser renovado, no mínimo, a cada cinco anos.
A Susep disponibilizará em seu sítio eletrônico o Termo de Adesão específico para credenciamento de SISS.
O pedido de credenciamento de SISS deve ser precedido de reunião técnica com a área competente da Susep, com apresentação dos aspectos gerais do projeto.
O pedido de credenciamento deve ser encaminhado à Susep com estatuto, sumário executivo, comprovações, demonstrações, autorização, Termo e declarações.
A Susep pode solicitar esclarecimentos adicionais para análise do pedido de credenciamento, inclusive por reunião técnica.
O presidente da solicitante deve firmar declarações sobre conformidade, requisitos financeiros e técnicos, veracidade documental e reputação da sociedade e administradores.
O processo de credenciamento é considerado regularmente instruído quando documentos e informações pertinentes são integralmente apresentados à Susep.
O pedido pode ser arquivado se a sociedade não atender solicitações da Susep no prazo determinado ou não realizar a reunião técnica prevista.
Na hipótese de arquivamento, novo pedido de credenciamento deve ser formulado com toda a documentação requerida atualizada.
Fluxos e tarefas aparecem aqui quando forem públicos.
Faça login para exportar este normativo em PDF e manter o arquivo disponível para análise, compartilhamento ou evidência interna.
Exporte normas e documentos regulatórios em PDF para análise, compartilhamento ou evidência interna.
Seu plano atingiu o limite de exportações deste mês. Para continuar exportando listas regulatórias, veja opções de upgrade ou aguarde a renovação do ciclo.
Faça login para marcar itens como lidos ou não lidos e manter seu acompanhamento regulatório organizado.
Marque normas, notícias e registros como lidos ou não lidos para manter seu acompanhamento regulatório organizado.
Você atingiu o limite de buscas sem login. Crie uma conta gratuita para continuar pesquisando normas, notícias, consultas públicas e outros conteúdos da Okai.
Este recurso faz parte do Okai Pro. Conheça o plano para liberar a ação e continuar sua rotina regulatória.
Você atingiu o limite mensal de buscas do plano gratuito. Com o Okai Pro, você pode pesquisar conteúdos regulatórios sem limite mensal.
Faça login para definir o impacto percebido dos documentos e pontos selecionados.
Defina o impacto percebido de documentos e pontos para transformar conteúdo regulatório em decisões rastreáveis para sua rotina regulatória.
Faça login para acessar análises disponíveis no seu plano ou conhecer as opções de assinatura.
Use análises inteligentes para entender impactos, requisitos e pontos relevantes de conteúdos regulatórios com mais clareza.
Faça login para extrair, promover ou ignorar pontos sugeridos e criar requisitos a partir do documento.
Extraia, promova ou ignore pontos sugeridos e transforme documentos regulatórios em requisitos rastreáveis.
Faça login para criar achados, alterar status e acompanhar tratativas.
Controle achados, status e planos de ação para transformar avaliações de compliance em execução acompanhável.
Faça login para enviar itens, atribuir responsáveis e definir prazos.
Envie itens para usuários ou grupos, distribua responsabilidades e acompanhe prazos regulatórios com responsáveis definidos.
Usuários cadastrados podem criar, publicar, arquivar ou excluir itens da sua operação regulatória dentro dos recursos disponíveis.
Para criar, publicar, arquivar, restaurar ou excluir itens da rotina regulatória, use um plano com ações de criação e edição habilitadas.
Faça login para registrar requisitos, reportes e procedimentos da sua rotina de compliance.
Transforme obrigações, reportes e procedimentos em registros rastreáveis para sua operação.
Faça login para estruturar controles, responsáveis, execução e evidências em uma trilha organizada.
Organize controles operacionais com proprietário, frequência e evidência esperada.
Faça login para mapear riscos com impacto, probabilidade, categoria, responsáveis e tratativas.
Mantenha riscos registrados, priorizados e conectados às rotinas de controle.
Faça login para registrar achados, desvios, lacunas e não conformidades.
Acompanhe achados, severidade e tratativas para transformar avaliações em execução rastreável.
Faça login para salvar normas, notícias e registros em coleções próprias.
Agrupe normas, notícias e registros regulatórios relevantes em coleções organizadas por tema, regulador ou prioridade.
Para iniciar fluxos padronizados, acompanhar etapas e registrar respostas da equipe, faça login ou conheça o Okai Business.
Inicie fluxos padronizados, acompanhe etapas e colete respostas da equipe em uma operação de compliance mais estruturada.