Pular para o conteúdo
Ver todas as postagens

FINMA: Fazendo sentido de Dados de Identificação do Cliente (CID)

Por Verrion Wright , Estratégia e Desenvolvimento de Conteúdo

5 leitura de um minuto

Em 2013, a Autoridade de Supervisão do Mercado Financeiro Suíço (FINMA) finalizou uma versão de um Circular de Risco Operacional em Bancos. Estabelece requisitos para a gestão de riscos operacionais e a preservação da confidencialidade de clientes privados. Além disso, contém um novo Anexo 3, com princípios sobre o tratamento de dados eletrônicos de clientes e o risco envolvido em relacionamentos bancários dentro ou fora da Suíça. A circular foi implementada e aplicada em 1º de janeiro de 2015.

Por que os dados de identificação do cliente (CID) são significativos?

A Circular de Risco Operacional foca em instituições financeiras na Suíça, responsável por manter a confidencialidade e a integridade dos dados entre banco e cliente em relação à privacidade, limitação de acesso e transferência de dados específicos.

Em relação aos dados de identificação do cliente (CID), as decisões obrigam os bancos a categorizar os dados eletrônicos do cliente. Isso exige, primeiramente, que as organizações determinem os dados de identificação do cliente, que são quaisquer dados que possam comprovar a identificação de um cliente ou sua relação com uma instituição financeira, como o número do cartão de crédito ou a data de nascimento.

De acordo com a Lei Federal de Proteção de Dados, Artigo 3, existem três tipos de CID:

CID direto

Todos os identificadores que permitem identificação direta incluem identificação pessoal, identificação da empresa, identificação eletrônica e endereço físico.

  • nome
  • e-mail
  • IDs de mídia social
  • nome da empresa
  • assinatura

CID indireto

Dados que permitem a identificação de um cliente somente quando combinados com outras informações, incluindo identificadores de clientes, dados de carreira e IDs pessoais.

  • Números de cartões de crédito
  • Número de identificação fiscal, SSN
  • Passaporte de identificação
  • Número de conta
  • Número do cofre
  • ID do usuário/senhas
  • Endereço IP

Dados de identificação de clientes indiretos potenciais

Dados que permitem a identificação de um cliente somente quando combinados com outras informações e outras circunstâncias únicas, incluindo detalhes de nascimento, detalhes familiares, detalhes de relacionamento pessoal e situações de vida.

  • ano de nascimento
  • idade
  • gênero
  • nacionalidade
  • CEP
  • classificação de crédito
  • associações de clubes

As organizações são obrigadas a adotar a prática de classificar dados de identificação de clientes em níveis mais altos de confidencialidade e proteção.

O BigID inventaria todos os dados pessoais em todo o ambiente de TI para atingir essas etapas iniciais de privacidade e proteção de dados. Além disso, os métodos de descoberta do BigID abrangem diversos tipos de dados — desde a descoberta de ativos de dados até a descoberta de CID, passando por análises detalhadas e completas. varreduras. Recursos de descoberta de dados do BigID permitir que organizações inventariem, mapeiem, classifiquem e alinhem dados às políticas regulatórias, especificamente à política regulatória da FINMA.

O Desafio da Conformidade com o CID

A conformidade com o CID impõe requisitos rigorosos e, de acordo com os princípios da regulamentação, responsabiliza a alta gerência pela gestão dos riscos operacionais de privacidade. Os princípios exigem que as instituições financeiras adotem uma abordagem padronizada para a gestão de dados, com infraestrutura de TI adequada para identificar, limitar e monitorar os riscos corretamente.

Aqui estão os desafios específicos:

  • Descoberta e governança de dados: identificar, classificar e catalogar todos os CID diretos, indiretos e potenciais em todos os aplicativos e sistemas.
  • Risco regulatório de CID: lidar com CID indireto e CID potencial pode levar a combinações que podem ser identificadores, tornando esses dados arriscados.
  • Crescimento e propriedade de dados: É necessário estabelecer uma estrutura para proteger a confidencialidade dos dados, o que exige uma entidade supervisora independente encarregada de gerenciar o processamento interno e externo de dados eletrônicos de clientes.
  • Transferência Transfronteiriça de Dados: Todos os CIDs da Suíça devem ser atribuídos como dados de residência de dados suíços em todos os arquivos e objetos. Isso também exige o gerenciamento de fluxos de dados e a aplicação de requisitos de residência de dados.

Adotando o Zero Trust para Conformidade com CID

Alguns dos requisitos mais rigorosos para proteção de dados estão relacionados ao nível de acesso dos CIDs. Os dados dos clientes precisam ser protegidos durante todo o ciclo de vida dos dados por meio de medidas organizacionais e tecnológicas de proteção em todos os momentos:

  • Aumentar os requisitos de segurança para usuários privilegiados e desfavorecidos
  • Políticas de acesso, controles e processos para garantir direitos de acesso corretos
  • Limitar o acesso eletrônico e físico aos dados do cliente
  • Exclusão de dados com base em proibição legal, retenção e minimização
  • Implementar padrões de confidencialidade e proteção de dados para terceiros externos (terceirização, parcerias) que tenham acesso aos dados do cliente.
  • Uma organização também deve monitorar o uso de dados de terceiros e impor como o CID deve ser gerenciado e protegido.

FINMA CID vs. Padrões de Dados Pessoais GDPR

As especificações da regulamentação da FINMA sobre CIDs são semelhantes aos padrões de privacidade de dados do GDPR sobre dados pessoais e sensíveis — e dados considerados dados identificáveis, sejam eles diretos ou indiretos.

O Artigo 9 do GDPR tem um requisito exclusivo para “categorias especiais de dados pessoais” que indiretamente revelem um consumidor, o que é proibido, pois certas condições devem ser atendidas para que os dados sejam processados.

Dados Pessoais e Identificadores GDPR:

  • PII (Informações Pessoais Identificáveis): nome, número de telefone, números de segurança social, números de registro de estrangeiro ou números de carteira de motorista, dados de localização, endereço IP
  • Categorias especiais: Dados genéticos, biometria, afiliações religiosas, étnicas/raciais e políticas

Devido a nuances semelhantes entre FINMA CID e GDPR dados, implementando um equivalente privacidade de dados e estratégia de proteção pois ambos os regulamentos garantirão a conformidade.

Como o BigID ajuda com dados de identificação do cliente (CID)

O BigID permite que as organizações atendam e gerenciem os requisitos de Dados de Identificação do Cliente com uma abordagem automatizada e escalável para descobrir, classificar e coletar informações pessoais que se enquadram no escopo do CID. Com o BigID, as organizações obtêm:

  • Descoberta de dados direcionada: A FINMA regula os identificadores de clientes, sejam eles diretos ou indiretos. O BigID ajuda a construir um inventário de dados abrangente para descobrir, mapear e classificar Dados relacionados ao CID para melhor preparação para auditorias regulatórias.
  • Classificação precisa: Com correspondência exata de valor, BigID tecnologia baseada em gráficos pode identificar e classificar CIDs em qualquer ambiente de dados, como e-mail, unidades compartilhadas, bancos de dados, data lakes e muito mais.
  • Gerenciamento de acesso a dados baseado em ML: Para total conformidade com a FINMA, o BigID ajuda mitigar riscos com requisitos significativos de acesso aberto para remediar violações de acesso a arquivos em CIDs em todos os ambientes de dados.
  • Transferências de dados validadas: Crie políticas e atribua residência suíça a fontes de dados e dados individuais para impor requisitos de residência de dados, monitorar e alertar sobre transferências de dados transfronteiriças.
  • Remediação eficaz: O BigID ajuda a definir o remediação ação relacionada aos dados do CID para fornecer registros de auditoria com integração a sistemas de emissão de tickets como o Jira para fluxos de trabalho de correção contínuos.

Você consegue atender às expectativas da decisão da FINMA? Veja como BigID ajuda organizações a encontrar identificadores críticos de clientes, limitar ou restringir o acesso a dados CID e remediar com registros de auditoria para manter a conformidade com as regulamentações de privacidade em constante mudança da Suíça. Obtenha um Demonstração 1:1 com especialistas em privacidade de dados.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produtos, desenvolvimento de conteúdo e estratégia digital. Com foco em insights orientados por dados e marketing integrado, ele ocupou cargos seniores em vários setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, que ajuda a elevar o conteúdo em todos os pilares, regiões e compradores, criando consistentemente conteúdo atraente em várias mídias, incluindo vídeos, artigos, listas de verificação, white papers e guias.

Conteúdo