Na era moderna, o setor de seguros, assim como muitos outros, depende cada vez mais de sistemas de tecnologia da informação (TI) para dar suporte às suas operações. Seja na subscrição de apólices, no processamento de sinistros ou na gestão de dados de clientes, os sistemas de TI são essenciais para o negócio de seguros.
As autoridades reguladoras frequentemente emitem diretrizes e requisitos para garantir a robustez desses sistemas e a segurança dos dados sensíveis dos clientes. Na Alemanha, a BaFin, a Autoridade Federal de Supervisão Financeira, A Autoridade Alemã de Supervisão Financeira (FSF) publicou uma Circular Regulatória que define os requisitos de supervisão para TI em empresas de seguros. Vamos analisar a importância dessa circular e o que ela significa para o setor de seguros alemão.
A importância do BaFin
A BaFin, sigla para Bundesanstalt für Finanzdienstleistungsaufsicht, é a autoridade supervisora financeira integrada da Alemanha. Criada em 2002, assumiu a função de supervisionar bancos, prestadores de serviços financeiros, seguradoras e o mercado de valores mobiliários. A missão da BaFin é garantir a integridade e a estabilidade do sistema financeiro alemão, proteger os interesses dos investidores e promover o bom funcionamento dos mercados financeiros.
O impacto da TI nos seguros
Os sistemas de TI transformaram o setor de seguros de muitas maneiras positivas. Eles simplificaram processos, melhoraram o atendimento ao cliente e permitiram que as seguradoras desenvolvessem produtos inovadores. No entanto, essa crescente dependência da tecnologia também traz riscos, especialmente em relação à segurança de dados, à resiliência operacional e à conformidade com os requisitos regulatórios. Nesse contexto, a Circular Regulatória da BaFin sobre requisitos de supervisão de TI torna-se fundamental para que as organizações atendam aos padrões de conformidade.
Aspectos críticos da circular da BaFin sobre requisitos de supervisão de TI
A Circular Regulatória da BaFin aplica-se a todas as seguradoras e resseguradoras primárias na Alemanha. A circular descreve vários componentes essenciais dos requisitos de supervisão de TI que as organizações de seguros devem implementar:
Implementar Políticas de TI e Governança de Dados
As organizações devem implementar operações de TI, governança de dados e políticas que apoiem a estratégia geral de negócios. O portfólio de sistemas de TI deve ser cuidadosamente gerenciado, monitorado e atualizado regularmente. Isso inclui documentar as conexões dos sistemas de TI e o inventário dos dados coletados.
Os dados de inventário incluem, em particular:
- Inventário e uso específico dos componentes do sistema de TI com a configuração relevante.
- dados (ex: versões e nível de patch)
- proprietários dos sistemas de TI e seus componentes
- localização dos componentes do sistema de TI
- Lista das informações relevantes sobre garantias e outros contratos de suporte (incluindo links, quando aplicável).
- Detalhes da data de expiração do período de suporte para os componentes do sistema de TI;
- Requisitos de proteção e classificação de criticidade dos sistemas de TI e seus componentes.
- período de indisponibilidade aceitável dos sistemas de TI, bem como a perda máxima de dados tolerável.
Para as organizações de seguros, é mais crucial do que nunca manter um inventário de dados atualizado para obter visibilidade e proteger seus dados. O BigID permite que as organizações conheçam seus dados, gerando um inventário único, preciso e confiável que abrange todos os tipos de dados, tanto em infraestruturas locais quanto na nuvem. Garantir a visibilidade em áreas mais profundas do ecossistema de dados é fundamental para consolidar a segurança e proteger dados sensíveis, regulamentados e de alto risco, onde quer que estejam.
Realizar avaliações de risco para gestão de mudanças.
De acordo com a Circular Regulatória da BaFin, espera-se que as seguradoras realizem avaliações de risco regulares relacionadas aos seus sistemas de TI, especialmente quando houver alterações (migrações de dados, configuração, expansão de funções, substituições, realocação, etc.) no sistema. Alterações nos sistemas de TI e mudanças significativas nos processos que impactam o processamento e a proteção de dados devem ser aceitas, documentadas e avaliadas, considerando todos os riscos relacionados à implementação. Isso inclui também a identificação e mitigação de riscos que possam afetar a segurança dos dados, a estabilidade operacional e a continuidade dos serviços. Processos adequados de gestão de riscos são cruciais para a resiliência.
A avaliação e a gestão de riscos e vulnerabilidades de dados são componentes essenciais da Gestão da Postura de Segurança de Dados (DSPM). Ferramentas de avaliação de riscos de dados, como o BigID, oferecem uma abordagem simplificada para a identificação de riscos e a descoberta de vulnerabilidades potenciais com base na localização, sensibilidade e padrões de conformidade de cibersegurança. O BigID proporciona uma visão clara dos riscos mais significativos, permitindo a tomada de medidas corretivas para mitigar e fortalecer a postura de segurança de forma proativa.
Automatize o gerenciamento de identidade e acesso.
Em relação aos sistemas e processos de TI, as organizações de seguros devem garantir a integridade, disponibilidade, autenticidade e confidencialidade dos dados. Os direitos de acesso dos usuários em todos os níveis de um sistema de TI (sistema operacional, bancos de dados, aplicativos) devem estar sempre alinhados aos objetivos e requisitos de proteção de dados. É altamente recomendável que os direitos de acesso sejam combinados em um modelo baseado em funções para garantir que todos os funcionários tenham apenas os direitos necessários para o desempenho de suas funções.
Compreender quais funcionários e aplicativos têm acesso a quais dados é fundamental para evitar a superexposição de dados e ameaças internas, a fim de atender aos requisitos da circular da BaFin.
Com o BigID, as organizações podem restringir o acesso a dados sensíveis, o que ajuda a impedir que pessoal não autorizado acesse informações críticas. Utilize inteligência de acesso avançada para remediar violações de acesso, reduzindo riscos internos e acelerando a implementação da política de confiança zero com base em políticas e regras internas.
Operacionalizar a privacidade e a proteção de dados.
A proteção dos dados dos clientes é de suma importância. As seguradoras devem cumprir as normas de proteção de dados, como o Regulamento Geral de Proteção de Dados (RGPD) na UE. Conforme declarado na Circular Regulatória da BaFin, “Como princípio geral, a avaliação baseada em regras (por exemplo, utilizando parâmetros, correlação de informações, desvios ou padrões) de grandes volumes de dados exige o uso de sistemas de TI automatizados”. Isso requer a implementação de tecnologias para proteger automaticamente o processamento de dados, garantir os direitos dos titulares dos dados e relatar violações de dados. As seguradoras devem estabelecer medidas para proteger os dados sensíveis dos clientes e garantir a confidencialidade, integridade e disponibilidade dos sistemas de TI.
A utilização de soluções como o BigID pode ser facilmente implementada pelo CISO, CPO e CDO para tomar medidas de privacidade e proteção de dados, visando atender aos desafios do setor. O BigID elimina os processos manuais para automatizar a conformidade com as regulamentações de privacidade de dados, proporcionando a visibilidade e os controles necessários para reduzir riscos, proteger dados e alcançar a conformidade regulatória.
Reportar violações e incidentes
A Circular Regulatória da BaFin exige que as seguradoras reportem prontamente incidentes e violações de TI significativos. Isso permite que as autoridades reguladoras avaliem a extensão do incidente e seu impacto sobre os segurados e o mercado.
Com BigIDAs organizações podem agir rapidamente para proteger os dados e chegar à raiz das vulnerabilidades que podem ter causado uma violação. Em seguida, após uma violação, é possível identificar com precisão os indivíduos cujos dados foram comprometidos para agilizar o processo de notificação de violação junto à BaFin e aos consumidores. Simplifique a resposta a incidentes com detecção, notificação e comunicação para atender aos requisitos de notificação de violação da BaFin.
Benefícios da implementação dos requisitos da Circular da BaFin
A Circular Regulatória da BaFin sobre requisitos de supervisão de TI foi elaborada para fortalecer a resiliência dos sistemas de TI e Segurança de dados no setor de segurosAo cumprir esses requisitos, as empresas de seguros podem se beneficiar de diversas maneiras:
- Segurança de dados aprimorada: Medidas aprimoradas protegem dados confidenciais de clientes contra violações e acesso não autorizado.
- Conformidade regulatória: O cumprimento dos requisitos da BaFin é essencial para manter uma boa reputação junto ao regulador e evitar possíveis penalidades.
- Confiança do cliente: Ao proteger os dados e garantir a estabilidade operacional, as seguradoras constroem e mantêm a confiança de seus segurados.
Na Alemanha, a BaFin colocou as seguradoras sob escrutínio, aumentando a necessidade de focar na redução de riscos e implementar medidas eficazes de redução de riscos em toda a empresa.
As organizações de seguros podem aproveitar o BigID para construir um inventário de dados abrangente Isso proporciona visibilidade completa dos dados pessoais e sensíveis — e permite tomar medidas para gerenciar os riscos associados a eles em toda a organização.
Você consegue atender às expectativas da Circular da BaFin sobre Requisitos de Supervisão de TI? Agende uma demonstração individual com nossos especialistas. Descubra como a BigID pode ajudá-lo a alcançar a conformidade.
Autor
