Pular para o conteúdo

FINMA: Dando sentido a Dados de Identificação do Cliente (CID)

Por Verrion Wright Estratégia e Desenvolvimento de Conteúdo

5 leitura de minutos

Em 2013, a Autoridade Supervisora do Mercado Financeiro Suíço (FINMA) finalizou uma versão de um Circular sobre Risco Operacional em Bancos. A circular estabelece requisitos para a gestão do risco operacional e a preservação da confidencialidade dos clientes privados. Além disso, contém um novo Anexo 3, com princípios relativos ao tratamento de dados eletrónicos de clientes e aos riscos associados às relações bancárias dentro e fora da Suíça. A circular foi implementada e entrou em vigor em 1 de janeiro de 2015.

Por que os Dados de Identificação do Cliente (CID) são importantes?

A Circular de Risco Operacional centra-se em instituições financeiras Na Suíça, é responsável por manter a confidencialidade da relação banco-cliente e a integridade dos dados no que diz respeito à privacidade, limitação de acesso e transferência de dados específicos.

Com relação aos dados de identificação do cliente (CID, na sigla em inglês), as decisões obrigam os bancos a categorizar os dados eletrônicos dos clientes. Isso exige, em primeiro lugar, que as organizações determinem os dados de identificação do cliente, que são quaisquer dados que possam mostrar a identificação de um cliente ou sua relação com uma instituição financeira, como um número de cartão de crédito ou data de nascimento.

De acordo com o Artigo 3 da Lei Federal de Proteção de Dados, existem três tipos de CID:

CID Direto

Todos os identificadores que permitem a identificação direta incluem identificação pessoal, identificação da empresa, identificação eletrônica e endereço físico.

  • nome
  • e-mail
  • IDs de redes sociais
  • nome da empresa
  • assinatura

CID indireto

Dados que permitem a identificação de um cliente somente quando combinados com outras informações, incluindo identificadores de clientes, dados de carreira e IDs pessoais.

  • Números de cartões de crédito
  • Número de Identificação Fiscal, Número de Segurança Social
  • Identificação do passaporte
  • Número de conta
  • Número do cofre
  • ID de usuário/Senhas
  • Endereço IP

Dados de identificação de potenciais clientes indiretos

Dados que permitem a identificação de um cliente somente quando combinados com outras informações e outras circunstâncias específicas, incluindo detalhes de nascimento, detalhes familiares, detalhes de relacionamentos pessoais e situações de vida.

  • ano de nascimento
  • idade
  • gênero
  • nacionalidade
  • CEP
  • classificação de crédito
  • adesões a clubes

As organizações são obrigadas a adotar a prática de classificar os dados que identificam os clientes em níveis mais elevados de confidencialidade e proteção.

A BigID inventaria todos os dados pessoais em toda a infraestrutura de TI para atingir essas etapas iniciais de privacidade e proteção de dados. Além disso, os métodos de descoberta da BigID abrangem diversos tipos de dados — desde a descoberta de ativos de dados até a descoberta de CID (Identificador de Dados) por meio de uma análise detalhada completa. varreduras. Capacidades de descoberta de dados do BigID Permitir que as organizações inventariem, mapeiem, classifiquem e alinhem dados às políticas regulatórias, especificamente à política regulatória da FINMA.

O desafio da conformidade com o CID

A conformidade com o CID acarreta requisitos rigorosos e, de acordo com os princípios da regulamentação, responsabiliza a alta administração pela gestão dos riscos operacionais de privacidade. Os princípios exigem que as instituições financeiras adotem uma abordagem padronizada para a gestão de dados, com infraestrutura de TI adequada para identificar, limitar e monitorar os riscos corretamente.

Eis os desafios específicos:

  • Descoberta e Governança de Dados: Identificação, classificação e catalogação de todos os dados confidenciais diretos, indiretos e potenciais em todos os aplicativos e sistemas.
  • Risco regulatório do CID: Lidar com CID indireto e CID potencial pode levar a combinações que podem ser identificadores, tornando esses dados arriscados.
  • Crescimento e propriedade dos dados: É necessário estabelecer uma estrutura para proteger a confidencialidade dos dados, o que exige uma entidade supervisora independente encarregada de gerenciar o processamento interno e externo dos dados eletrônicos dos clientes.
  • Transferência transfronteiriça de dados: Todos os CIDs da Suíça devem ser atribuídos como dados de residência suíços em todos os arquivos e objetos. Isso também exige o gerenciamento dos fluxos de dados e a aplicação dos requisitos de residência de dados.

Adotar o modelo Zero Trust para garantir a conformidade com as normas de identificação de indivíduos (CID).

Algumas das exigências mais rigorosas para a proteção de dados dizem respeito ao nível de acesso dos IDs de identificação. Os dados do cliente precisam ser protegidos durante todo o seu ciclo de vida por meio de medidas de proteção organizacionais e tecnológicas em todos os momentos.

  • Aumentar os requisitos de segurança para usuários com e sem privilégios de acesso.
  • Políticas, controles e processos de acesso para garantir os direitos de acesso corretos.
  • Limitar o acesso eletrônico e físico aos dados do cliente.
  • Exclusão de dados com base em proibição legal, retenção e minimização.
  • Implementar padrões de confidencialidade e proteção de dados para terceiros externos (terceirização, parcerias) que tenham acesso a dados de clientes.
  • Uma organização também deve monitorar o uso de dados por terceiros e garantir que as informações confidenciais de terceiros sejam gerenciadas e protegidas.

FINMA CID vs. GDPR - Padrões de Dados Pessoais

As especificações da regulamentação da FINMA sobre os CIDs são semelhantes às normas de privacidade de dados do GDPR relativas a dados pessoais e sensíveis – e dados considerados identificáveis, sejam eles diretos ou indiretos.

O Artigo 9 do RGPD possui um requisito específico para “categorias especiais de dados pessoais” que revelem indiretamente um consumidor, sendo proibido o seu processamento, uma vez que certas condições devem ser cumpridas para que tais dados sejam considerados válidos.

Dados pessoais e identificadores de acordo com o RGPD:

  • PII (Informações de Identificação Pessoal): nome, número de telefone, números de segurança social, números de registo de estrangeiros ou números de carta de condução, dados de localização, endereço IP
  • Categorias especiais: Dados genéticos, biometria, religião, etnia/raça e filiação política.

Devido às nuances semelhantes entre o FINMA CID e RGPD dados, implementando um equivalente privacidade de dados e estratégia de proteção Para ambas as regulamentações, garantiremos a conformidade.

Como o BigID ajuda com os dados de identificação do cliente (CID)

A BigID permite que as organizações atendam e gerenciem os requisitos de Dados de Identificação do Cliente (CID) com uma abordagem automatizada e escalável para descobrir, classificar e coletar informações pessoais que se enquadram no escopo do CID. Com a BigID, as organizações obtêm:

  • Descoberta de dados direcionada: A FINMA regula os identificadores de clientes, sejam eles diretos ou indiretos. A BigID ajuda a construir um inventário de dados abrangente para descobrir, mapear e classificar dados relacionados a identificadores de clientes, a fim de melhor se preparar para auditorias regulatórias.
  • Classificação precisa: Com a correspondência exata de valores, a tecnologia baseada em grafos da BigID consegue identificar e classificar CIDs em qualquer ambiente de dados, como e-mails, unidades compartilhadas, bancos de dados, data lakes e muito mais.
  • Gerenciamento de acesso a dados baseado em aprendizado de máquina: Para total conformidade com a FINMA, a BigID ajuda. mitigar riscos com requisitos significativos de acesso aberto para remediar violações de acesso a arquivos em CIDs em todos os ambientes de dados.
  • Transferências de dados validadas: Criar políticas e atribuir residência suíça a fontes de dados e dados de indivíduos para fazer cumprir os requisitos de residência de dados, monitorar e alertar sobre transferências transfronteiriças de dados.
  • Remediação eficaz: O BigID ajuda a definir o remediação Ação relacionada aos dados do CID para fornecer registros de auditoria com integração a sistemas de tickets como o Jira, para fluxos de trabalho de remediação contínuos.

Você consegue atender às expectativas da decisão da FINMA? Veja como. BigID Ajuda as organizações a encontrar identificadores críticos de clientes, limitar ou restringir o acesso a dados CID e corrigir problemas com registros de auditoria para se manterem em conformidade com as regulamentações de privacidade em constante mudança na Suíça. Obtenha um demonstração 1:1 Com especialistas em privacidade de dados.

Autor

Verrion Wright

Estratégia e desenvolvimento de conteúdo

Verrion Wright é um profissional de marketing altamente experiente e ambicioso, com mais de 20 anos de experiência em marketing de produto, desenvolvimento de conteúdo e estratégia digital. Com foco em insights baseados em dados e marketing integrado, ocupou cargos de liderança em diversos setores, incluindo serviços de TI, privacidade de dados, marketing e publicidade (planejamento de mídia). Na BigID, Verrion é o Diretor de Estratégia e Desenvolvimento de Conteúdo, responsável por elevar a qualidade do conteúdo em todos os pilares, regiões e públicos, criando conteúdo atraente em diversos formatos, como vídeos, artigos, checklists, white papers e guias.

Conteúdo