Estabelece normas de supervisão sobre segurança da informação e segregação de funções para participantes dos mercados da B3.
A Norma BSM 03/2024 organiza controles de segurança da informação e segregação de funções para Participantes B3/Listado.
📌 O foco está em acessos, Matriz de Segregação de Funções e barreiras físicas.
⚠️ Há recorrências anuais para revisão da Matriz e relatório de controles internos.
🧾 O pacote foi marcado como revisar por limitação de tag específica para Participante B3/Listado.
A Norma de Supervisão BSM 03/2024 disciplina, no plano de supervisão da BSM, os procedimentos relacionados à segurança da informação no âmbito da segregação de funções para Participantes dos Mercados da B3 – Listado. O documento é uma norma autônoma de supervisão, não uma norma alteradora. A curadoria foi construída como retrato-fonte: os requisitos foram extraídos apenas dos comandos operacionais presentes no próprio documento-fonte, sem consolidação por normas posteriores.
O eixo central da norma é a prevenção de conflitos de interesse e de acessos incompatíveis com as funções desempenhadas por funcionários, terceiros e prepostos. Para isso, a BSM estrutura comandos sobre segurança de sistemas críticos, proteção de dados e informações sensíveis de clientes, concessão e administração de acessos, Matriz de Segregação de Funções, segregação física das instalações e capacidade de resposta a auditorias ou solicitações da BSM.
A norma produz efeitos a partir de 1.2.2024 e contém uma regra específica sobre profissionais sem certificação que ingressem no Participante a partir de 1.1.2024, aos quais pode ser facultado período de 120 dias corridos a contar do registro no Sincad para obtenção da Certificação PQO, conforme regra da B3 citada no próprio documento.
O destinatário operacional indicado na norma é o Participante dos Mercados da B3 – Listado. Essa categoria não existe de forma granular no dicionário de segmentação disponível para este pacote. Por isso, os requisitos foram segmentados com recorte amplo de mercado de capitais, acompanhado de aviso de aplicabilidade: a incidência real depende de a empresa ser Participante dos Mercados da B3 – Listado e de executar a atividade, função, sistema, mesa, carteira ou processo descrito em cada requisito.
Esse ponto é relevante para evitar falso positivo material. Nem toda empresa de mercado de capitais será destinatária automática da norma; o enquadramento como Participante B3/Listado é condição central. Além disso, alguns comandos dependem de condições operacionais específicas, como manter mesa de operações, administrar recursos de terceiros, executar gestão de carteiras de terceiros, conceder acessos a sistemas críticos, manter usuários genéricos ou receber solicitação da BSM.
A primeira camada da norma exige regras, procedimentos e controles internos voltados à integridade, segurança e disponibilidade de sistemas críticos, além de confidencialidade, autenticidade, integridade e disponibilidade de dados e informações sensíveis. Esses controles devem prevenir prejuízos a clientes decorrentes de conflitos de interesse e proteger informações cadastrais e operacionais contra acesso ou destruição não autorizados, vazamento, adulteração e mau uso.
A segunda camada é a segregação lógica. O Participante deve ter controle prévio de concessão de acessos, abrangendo toda a organização, em todos os níveis hierárquicos e funções. O processo deve assegurar usuário individual e não compartilhado, proteção por senha ou método equivalente, concessão compatível com a função exercida, certificação necessária, avaliação de qualificação técnica, aprovação pelo proprietário da informação e concessão apenas a profissionais que atuem para o Participante.
A terceira camada é a administração contínua do ciclo de vida de acessos. A norma exige histórico arquivado de concessões, alterações e exclusões; formalização e ciência de responsabilidade para usuários não nominais ou genéricos; e retirada de acessos de funcionários, terceiros e prepostos desligados o mais rápido possível, sem permanência de acesso após o desligamento.
A quarta camada é a Matriz de Segregação de Funções. Ela deve existir antes da concessão de acesso e indicar atividades que, quando acumuladas e executadas pelo mesmo profissional, possam gerar conflitos de interesse, definindo os acessos permitidos por função. A norma permite sistema equivalente, desde que cumpra a mesma função e seja verificável. A Matriz deve conter atividades críticas mínimas, como ofertas e ordens, registro de ordens, valores financeiros em conta gráfica, transferência de custódia, dados cadastrais, perfil de investimento, limites operacionais, administração de sistemas e correlação com áreas de Recursos Humanos ou equivalente.
A quinta camada é a segregação física. A norma exige métodos para garantir segregação física das instalações, com estrutura segura para definir, restringir, fiscalizar e monitorar profissionais com acesso a informações e instalações sensíveis. Também detalha objetivos específicos: mitigar irregularidades, separar áreas de administração de recursos de terceiros, segregar mesa de operações de outras mesas do mesmo grupo ou conglomerado quando houver conflito, separar gestão de carteiras de terceiros das atividades de execução de ordens e vedar a presença de cliente na mesa de operações.
O documento impacta diretamente gestão de identidades e acessos, controles internos, compliance, tecnologia, Recursos Humanos, operações de mercado, gestão fiduciária/custódia e governança executiva. A área de tecnologia tende a executar controles de usuário, autenticação, trilhas, usuários genéricos, remoção de acessos e extrações de sistemas. Controles internos e compliance tendem a coordenar Matriz, testes, documentação, evidências, revisão anual, respostas à BSM e governança de exceções. Recursos Humanos é relevante para função exercida, desligamentos, correlação de áreas e nomenclaturas, certificações e profissionais vinculados.
A norma pede evidências operacionais fortes. Não basta declarar que há segregação: a BSM poderá verificar existência e suficiência da Matriz, compatibilidade entre acessos concedidos e a Matriz, relação entre áreas da Matriz e áreas de Recursos Humanos, controles compensatórios para conflitos, aprovações prévias de exceção e medidas de segregação física. Por isso, os requisitos sugerem controles de reconciliação entre usuários ativos e profissionais vinculados, validação prévia de perfil contra função, inventário de usuários genéricos, dossiê documental e revisão de permissões.
Os artefatos mais importantes para demonstrar aderência são: política ou procedimento de segregação de funções e segurança de acessos; Matriz de Segregação de Funções ou sistema equivalente verificável; documento complementar de perfis por sistema e atividade crítica, quando adotado; trilhas de concessão, alteração e exclusão de acessos; inventário de usuários genéricos com responsável formal; evidências de retirada de acesso após desligamento; relatório anual de avaliação de controles internos; mapa de segregação física; registros de acesso físico; materiais de conscientização; e pacote de evidências para eventual solicitação da BSM.
A Matriz merece atenção especial. Ela deve ser mais que uma planilha estática: precisa refletir atividades críticas, conflitos mínimos, permissões por função, áreas equivalentes de Recursos Humanos, exceções justificadas e acessos permitidos nos sistemas. Se a organização mantiver sistema equivalente, a verificabilidade é essencial. O sistema deve permitir demonstrar relações entre funções, perfis, atividades e conflitos, e não apenas armazenar perfis técnicos sem contexto funcional.
A norma cria duas recorrências expressas: revisão anual das permissões de acesso determinadas na Matriz e emissão anual de relatório de avaliação de controles internos pelo Diretor de Controles Internos, abrangendo a segregação lógica das funções e acesso a dados sensíveis.
Há também gatilhos por evento. O ingresso de profissional sem certificação a partir de 1.1.2024 aciona controle do prazo de 120 dias a contar do registro no Sincad para obtenção da Certificação PQO. Desligamento de funcionário, terceiro ou preposto aciona retirada de acessos o mais rápido possível. Solicitação da BSM aciona a preparação de declaração de diretores responsáveis e envio de evidências sobre Matriz, segregação lógica, segregação física e tratamento de conflitos.
Alguns dispositivos foram tratados como pontos de documento, mas não viraram requisitos autônomos. O preâmbulo e a remissão ao Glossário da BSM foram mantidos como escopo e definição. O item 5.1 e o item 5.2 descrevem a atuação da BSM e suas verificações em auditorias e supervisões; por isso, foram preservados como pontos de rastreabilidade e usados para enriquecer controles e evidências, sem duplicar requisitos empresariais que já nascem dos itens 1 a 4. O item 6.1, sobre deveres não atendidos serem agravantes para medidas de Enforcement, foi tratado como consequência regulatória e incorporado aos riscos, sem criação de obrigação operacional autônoma.
O Anexo I foi considerado em duas dimensões. Os modelos de Matriz foram tratados como exemplos e apoio operacional. A recomendação de documento complementar com perfis utilizados para execução de cada atividade crítica em cada sistema foi convertida em requisito do tipo recomendação, por ser um artefato prático e verificável. O reforço de que atividades críticas, conflitos mínimos e áreas devem estar mapeados na Matriz foi absorvido no requisito sobre conteúdo mínimo da Matriz.
Há um ponto textual a revisar em implementação: o item 5.2, alínea c, menciona verificação da Matriz com conflitos do item 3.2, embora o conteúdo de conflitos mínimos esteja descrito no item 3.3, especialmente alínea k. A curadoria não corrigiu o localizador da norma-fonte; apenas registrou a observação no mapa de cobertura para revisão humana.
Este pacote não consolida alterações posteriores, não atualiza a norma com catálogos posteriores e não substitui avaliação jurídica de aplicabilidade. A fonte oficial principal foi o PDF da Norma de Supervisão BSM 03/2024 publicado no site da BSM. Referências externas citadas pela norma, como Resolução CVM nº 35/2021, Ofício-Circular 2014/2023-PRE da B3, Glossário da BSM, Roteiro de Testes e Regulamento Processual da BSM, foram registradas como referências para navegação e execução, sem transformar seus comandos próprios em requisitos deste pacote.
O status de extração foi marcado como revisar por causa da limitação de segmentação: o dicionário não possui tag específica para Participantes dos Mercados da B3 – Listado. Ainda assim, a extração é operacionalmente utilizável, desde que o cliente valide a aplicabilidade real no workspace conforme seu enquadramento como Participante e seus processos efetivos.
Temas
Nenhum item vinculado a este artefato.
