Estabelece normas de supervisão sobre segurança da informação para participantes dos mercados da B3.
A Norma BSM 04/2024 organiza deveres de segurança da informação para Participantes dos Mercados da B3 – Listado.
📌 Exige política de segurança, treinamento anual, avaliações de vulnerabilidades e controles de atualização.
⚠️ O prazo de atualizações críticas não pode superar 90 dias após divulgação do fornecedor.
🧾 A BSM pode exigir declaração de diretores e envio de evidências sobre os processos de segurança.
A Norma de Supervisão CE 04/2024-BSM trata dos procedimentos de supervisão da BSM sobre segurança da informação aplicáveis aos Participantes dos Mercados da B3 – Listado. O documento funciona como uma norma autônoma de supervisão: ele não altera outro ato de forma direta, mas explicita deveres operacionais mínimos que a BSM pode verificar em auditorias e supervisões contínuas.
O núcleo da norma está em três blocos operacionais: governança de segurança da informação, treinamento de segurança da informação e segurança cibernética, e gestão técnica de vulnerabilidades, atualizações e patches. A norma também traz um bloco de atuação da BSM, deixando claro que a supervisão pode verificar treinamento, mecanismos de avaliação de ameaças e vulnerabilidades e procedimentos de atualização técnica. Por fim, prevê que o descumprimento adequado e tempestivo dos deveres pode ser considerado agravante para medidas de enforcement previstas no Regulamento Processual da BSM.
A extração resultou em requisitos voltados para: proteção de sistemas críticos e dados sensíveis; manutenção de Política de Segurança; treinamento anual; medição de aderência e planos de conscientização; controle da exceção para prestadores de serviço; retenção de documentação; avaliação anual de ameaças e vulnerabilidades; atualização de sistemas operacionais com homologação; prazo máximo de 90 dias para atualizações críticas; gestão de patches; e preparação de declaração/evidências para eventual solicitação da BSM.
O destinatário expresso é o Participante dos Mercados da B3 – Listado. Como o dicionário de segmentação fornecido não possui tag específica para “Participante da B3”, a segmentação foi feita com a tag ampla de mercado de capitais, acompanhada de aviso no manifest e nos resumos de aplicabilidade. Isso significa que, dentro da plataforma, a roteirização automática deve ser interpretada com a condição operacional de que a empresa seja efetivamente Participante dos Mercados da B3 – Listado.
O documento não deve ser aplicado automaticamente a todo emissor, administrador de recursos, consultor, analista, empresa financeira genérica ou prestador de tecnologia que atue no ecossistema de mercado de capitais. A condição jurídica e operacional relevante é o enquadramento como Participante alcançado pela supervisão da BSM no mercado listado da B3. A norma também conversa com a Resolução CVM nº 35/2021, mas este pacote não consolida a RCVM 35; ela foi tratada apenas como texto citado e referência de contexto.
O primeiro comando estruturante é garantir integridade, segurança e disponibilidade dos sistemas críticos. Esse dever é amplo, mas não foi convertido em um requisito guarda-chuva vazio. Ele foi tratado como requisito de controles internos de segurança, vinculado à proteção de sistemas críticos e de dados e informações sensíveis. A empresa deve conseguir demonstrar inventário de sistemas, classificação de informações sensíveis, controles de confidencialidade, autenticidade, integridade e disponibilidade, além de registros de testes ou verificações.
A Política de Segurança é o segundo eixo. A norma exige que o Participante mantenha política de segurança da informação e segurança cibernética contendo a periodicidade dos treinamentos, os procedimentos de segurança da informação e os programas de segurança cibernética. A própria seção de treinamento complementa esse conteúdo, exigindo que a política traga forma de medir aderência, resultado mínimo esperado após o treinamento, plano de ação de conscientização e periodicidade dos treinamentos. Por isso, a política foi tratada como requisito de governança, com evidências de aprovação, revisão e conteúdo mínimo.
O treinamento é tratado em duas camadas. A primeira é a obrigação de implementar programa de conscientização com Treinamento de Segurança da Informação e Segurança Cibernética, com frequência mínima anual. O público mínimo é formado por funcionários, prepostos e prestadores de serviço que tenham acesso a dados e informações sensíveis. A segunda camada é a efetividade do treinamento: medidas de aderência, como provas e testes de phishing, e planos de ação para quem não atingir o resultado mínimo esperado. Essa distinção é útil porque a realização anual e a medição de aderência têm controles, evidências e responsáveis internos diferentes.
A norma também permite reavaliar a aplicação do treinamento a prestadores de serviço com acesso a dados sensíveis, desde que o Participante conclua, de forma fundamentada, que esses prestadores possuem procedimentos de segurança da informação e de treinamento adequados e compatíveis com suas políticas. Essa possibilidade não é uma dispensa livre: exige fundamento documentado e retenção da justificativa. Por isso, foi extraída como requisito próprio de exceção controlada.
No bloco de ameaças e vulnerabilidades, o Participante deve realizar avaliações internas e externas da rede de computadores e das infraestruturas dos sistemas que atendem às necessidades do negócio, no mínimo anualmente. A documentação deve contemplar a infraestrutura avaliada, identificação, avaliação e prevenção de riscos internos e externos, estrutura de controle e resposta para riscos cibernéticos, práticas de gestão de riscos, tratamento, causas e impactos das ameaças detectadas. A extração consolidou esses comandos em um requisito anual único, pois todos pertencem ao mesmo processo e à mesma evidência principal: o relatório ou dossiê de avaliação de ameaças e vulnerabilidades.
No bloco de atualizações técnicas e de segurança, há três comandos centrais. Primeiro, o Participante deve adotar procedimentos para atualização de segurança dos sistemas operacionais e testes em ambiente de homologação antes de atualizar o ambiente de produção. Segundo, os procedimentos devem conter prazo máximo após divulgação do fornecedor, com limite de 90 dias para atualizações consideradas críticas. Terceiro, o Participante deve adotar processo de atualização de patches e formalizar justificativa quando entender que a atualização não é aplicável às características do ambiente. Esses comandos foram separados em requisitos próprios porque possuem gatilhos, evidências e controles diferentes.
A seção de atuação da BSM não foi convertida integralmente em requisito empresarial. Os itens que descrevem a supervisão e fiscalização da BSM por auditorias e supervisões contínuas, conforme Roteiro de Testes, foram tratados como pontos de documento e referência operacional, porque descrevem o modo de atuação do autorregulador. No entanto, o item 5.3 cria uma obrigação operacional por evento: a BSM poderá exigir declaração dos diretores responsáveis e envio de evidências sobre treinamento, histórico de atualização de segurança dos sistemas operacionais e avaliações de ameaças e vulnerabilidades, com registros das ações tomadas.
Esse requisito por evento é especialmente relevante para compliance porque conecta vários processos técnicos a uma resposta regulatória formal. A empresa precisa manter dossiê preparado, fluxo de aprovação da declaração, responsáveis definidos e evidências organizadas. A declaração pode envolver o Diretor Responsável pelo Mercado, o Diretor responsável pelo cumprimento da RCVM 35 e o Diretor responsável pela supervisão dos procedimentos e controles internos. Por isso, o público interno sugerido inclui compliance, jurídico-regulatório, diretoria, tecnologia e riscos/controles.
As evidências mais importantes são: Política de Segurança vigente e histórico de revisões; inventário de sistemas críticos e dados sensíveis; calendário e relatório de treinamento anual; resultados de provas, testes de phishing ou mecanismos equivalentes de aderência; planos de ação de conscientização; justificativas de não aplicação de treinamento a prestadores; relatórios anuais de ameaças e vulnerabilidades; registros de ações tomadas; procedimentos de atualização de segurança; registros de homologação; relatórios de atualizações críticas; controles de prazo de 90 dias; registros de patches avaliados; justificativas de não instalação; e dossiê preparado para eventual solicitação da BSM.
A área de tecnologia, segurança cibernética e dados tende a ser a principal responsável pela maioria dos requisitos técnicos. Riscos e controles participam da matriz de controle, testes, monitoramento e validação de evidências. Compliance coordena a aderência regulatória, o dossiê e respostas à BSM. Recursos humanos pode participar da operacionalização do treinamento, especialmente convocações, listas de presença e trilhas de conclusão. Suprimentos e contratos entram quando houver prestadores de serviço com acesso a dados sensíveis. Diretoria e jurídico-regulatório são relevantes para a declaração formal exigível pela BSM e para a governança de resposta regulatória.
O primeiro ponto de atenção é a definição de “dados e informações sensíveis”. A norma informa que são aqueles assim classificados pelo Participante, observada a RCVM 35. Portanto, a empresa precisa manter critério próprio de classificação e conseguir demonstrar como esse critério afeta o público do treinamento, controles de acesso e processos de segurança.
O segundo ponto é a medição de aderência ao treinamento. Apenas disponibilizar treinamento anual pode ser insuficiente se a empresa não mede resultado, não define mínimo esperado ou não executa planos de conscientização para quem não atinge o resultado mínimo. Esse requisito pode gerar achados frequentes porque depende de trilha de evidência mais detalhada do que uma simples lista de presença.
O terceiro ponto é a governança de terceiros. Prestadores com acesso a dados sensíveis devem estar no escopo mínimo do treinamento, salvo decisão fundamentada de reavaliação. A dispensa precisa ser documentada com base nos procedimentos de segurança e treinamento do próprio prestador, compatíveis com as políticas do Participante.
O quarto ponto é a rastreabilidade do prazo de atualizações críticas. O limite de 90 dias conta a partir da divulgação pelo fornecedor. Portanto, controles que medem prazo apenas a partir da abertura interna de chamado podem não ser suficientes. É importante capturar a data de divulgação externa, classificar criticidade, registrar implantação ou justificar formalmente a não aplicabilidade.
O quinto ponto é o tratamento de patches. A norma diferencia o processo de patching e a justificativa de não instalação. A não instalação deve ser formalizada em tempo hábil após a divulgação da atualização e precisa se basear nas características do ambiente. Decisões informais, falta de aprovação ou justificativas genéricas podem gerar fragilidade relevante.
Dispositivos de escopo e estrutura do preâmbulo foram mantidos como documentoPontos, mas não viraram requisitos autônomos. A definição de dados sensíveis e a definição de patches foram mantidas como pontos de apoio, pois não criam ação isolada; elas informam requisitos de treinamento, controles e atualizações. Os itens 5.1 e 5.2, que tratam da atuação da BSM, foram classificados como conteúdo de atuação do regulador e não como obrigações empresariais diretas, exceto pelo item 5.3, que cria obrigação por evento de declaração e envio de evidências. O item 6.1 foi usado para riscos, criticidade e análise, mas não virou requisito próprio porque descreve consequência de descumprimento, não uma conduta operacional independente.
A norma produz efeitos a partir de 1º de fevereiro de 2024. Este pacote foi preparado como retrato do documento-fonte CE 04/2024-BSM e não consolida alterações posteriores, catálogos posteriores ou versões futuras de atos citados. Fontes oficiais complementares foram usadas para identificação, contexto normativo e referências operacionais, sem atualizar o estado material da norma-fonte. A principal limitação de produto está na segmentação: por falta de tag granular para Participantes dos Mercados da B3 – Listado, foi usada tag ampla de mercado de capitais, com aviso para revisão e ajuste no workspace conforme o cadastro real de cada cliente.
Temas
Nenhum item vinculado a este artefato.
