SWIFT Customer Security Program

A PwC ajuda-o a avaliar o atual nível de compliance com os controlos SWIFT

A crescente ameaça de cibersegurança que paira sobre as instituições tem criado desafios cada vez mais complexos que exigem medidas estruturadas e devidamente implementadas com o rigor e a exigência que o tema obriga.

De acordo com os requisitos SWIFT CSCF, as Instituições que utilizam SWIFT devem estar em conformidade e submeter a avaliação independente do SWIFT CSP anualmente e até 31 de dezembro através da aplicação KYSA.

Recentemente, várias instituições de pagamento têm sido vitimas de fraudes consumadas através dos seus ambientes locais SWIFT, demonstrando a necessidade de existência de cooperação entre todos os elementos da indústria, capaz de lutar contra as ameaças que se apresentam.

Os clientes SWIFT são individualmente responsáveis pela segurança dos seus próprios ambientes, no entanto, a segurança da industria como um todo, é uma responsabilidade partilhada. Como principal player, a SWIFT comprometeu-se a desempenhar um papel ativo e preponderante nesta necessidade premente de reforço da segurança de todas as instituições que usam o seu produto.

Assim, a SWIFT criou o programa CSP (Customer Security Program) que visa reforçar a segurança de todos os seus clientes, estabelecendo uma framework de controlos de segurança baseada nas melhores práticas do mercado.

“As instituições que utilizam SWIFT devem estar em conformidade e submeter a avaliação independente do SWIFT CSP até 31 de dezembro de cada ano. Saiba como a equipa de Cibersegurança da PwC o pode ajudar neste processo.”

Tiago David Marques, Cybersecurity & Privacy Senior Manager, PwC Portugal

SWIFT CSP explicado

1. O quê?

Lançado em 2016 em resposta aos sofisticados ataques cibernéticos aos usuários SWIFT, o Customer Security Programme (CSP) procura pragmaticamente elevar o nível da segurança cibernética em todos os clientes

 

2. Como?

O CSP estabelece um conjunto de controlos de segurança obrigatórios e opcionais baseados em frameworks e standards do setor, como NIST, ISO 27000 e PCI-DSS, conhecido como Customer Security Controls Framework (CSCF), projetado para ajudar os clientes a proteger os ambientes locais e promover um ecossistema financeiro mais seguro, com esta baseline de segurança.

3. Porquê?

Para padronizar o nível de segurança de todos os utilizadores da rede SWIFT e reduzir o risco de ataques cibernéticos e minimizar o impacto financeiro de transações fraudulentas.


4. Quando?

Anualmente é publicado um novo CSCF (Customer Security Controls Framework), que deve ser o referencial utilizado para implementação dos controlos listados, assim como na avaliação independente do ano seguinte.

As entidades abrangidas pelo programa devem realizar uma avaliação independente e demonstrar compliance com os controlos mandatórios, até ao final de cada ano.


5. Quem?

O programa aplica-se a todos os proprietários de um SWIFT BIC (“Bank Identifier Code”), incluindo: bancos, seguradoras, entidades de Asset and Investment Management, Government Banking, Tax, Revenue, etc.

As avaliações independentes anuais, devem ser realizadas por empresas externas independente ou por àrea independentes da primeira linha de defesa que envia a autoavaliação.

 


6. Onde?

As avaliações independentes devem ser realizadas presencialmente ou remotamente, com a abrangência da zona segura SWIFT e dependente do tipo de arquitectura implementada na organização.

 

Porquê a PwC?

Temos experiência na realização de assessments CSP em clientes com diferentes complexidades e arquiteturas SWIFT. Alguns dos trabalhos realizados foram alvo de auditorias por parte do regulador (SWIFT) que confirmou a qualidade do trabalho desenvolvido.

Possuímos uma abordagem metodológica assente na nossa experiência e conhecimento sobre a tecnologia e o programa. A nossa abordagem está alinhada com os principais referenciais da área (e.g. ISO27001 e NIST), o que permite oferecer um elevado nível de assurance aos nossos clientes.

A realização de inúmeros trabalhos (para além de assessment CSP) em clientes com infraestrutura SWIFT, faz da PwC uma empresa com elevada experiência nesta tecnologia, bem como em toda a infraestrutura que a suporta.

Possuímos matéria humana altamente qualificada com muitos anos de experiência em projetos de segurança, capaz de compreender as necessidades e particularidades da infraestrutura de cada cliente. A equipa de Cibersegurança da PwC presta serviços no âmbito de todos os programas SWIFT:

  • SWIFT CSP – Customer Security Program
  • SWIFT SIP – Shared Infrastructure Program

Garanta a conformidade com o SWIFT CSP

Faça a avaliação com antecedência, para que tenha tempo de lidar com quaisquer problemas de não conformidade antes do final do ano. Está ciente do status atual da conformidade com os controlos do CSCF? Procura um prestador de serviços externo qualificado para realizar o Independent assessment na sua organização?

A PwC é fornecedora de serviços de avaliação SWIFT CSP e segurança cibernética, com uma vasta experiencia em avaliações de conformidade quer do CSP, quer do SIP e pode auxiliar na execução das duas tipologias de Independent assessment. A nossa avaliação SWIFT CSP fornece uma visão geral abrangente de seu status atual, bem como recomendações de medidas para atender à conformidade do CSCF.

Tipologias de Independent assessment

Avaliação interna independente
  • Realizado pela segunda ou terceira linha de defesa (como compliance, gestão de riscos ou auditoria interna) que opera independentemente da primeira linha de defesa que enviou a autoavaliação (por exemplo, CISO).

  • As pessoas que realizam a avaliação devem ter experiência recente e relevante na avaliação de controlos de segurança relacionados à cibernética.


Avaliação externa independente
  • Conduzido por uma organização externa independente com experiência em avaliação de segurança cibernética.
  • Avaliadores que possuem certificações de segurança do setor.


SWIFT CSP: Perguntas Frequentes

O SWIFT Customer Security Program (CSP) visa prevenir e detectar atividades fraudulentas através de uma série de controlos de segurança obrigatórios, de atividades de partilha de informações em toda a comunidade e de recursos avançados de segurança nos seus produtos. A SWIFT definiu o Customer Security Control Framework (CSCF) com o objetivo de incrementar a segurança cibernética da rede de pagamentos SWIFT, aumentando a maturidade cibernética de seus membros.

Todos os proprietários de SWIFT BIC (‘Bank Identifier Code’) – código que identifica uma instituição financeira numa transferência internacional.

De acordo com os requisitos SWIFT CSCF, as Instituições que utilizam SWIFT devem estar em conformidade e submeter a avaliação independente do SWIFT CSP (programa que determina os objetivos de controlo para cumprimento do CSCF) até 31 de dezembro de cada ano.

Há duas maneiras através das quais os clientes SWIFT podem obter uma revisão independente:

  • Avaliação interna: realizadapela equipa/ departamento de auditoria interna do cliente ou por uma equipa independente personalizada que opera e atesta a conformidade regulatória.
  • Avaliação externa independente: auditoria externa, conduzida por organizações como a PwC, que fornecerá uma avaliação independente dos controlos SWIFT CSP.

O SWIFT relata todos os casos de não conformidade e casos de membros não certificados às autoridades regulatórias nacionais.

Entre os riscos do incumprimentos desta obrigação regulatória estão o:

  • Risco Reputacional: A não conformidade pode resultar em danos à marca e perda de confiança do cliente.
  • Risco Operacional: O não cumprimento expõe a Instituição ao aumento do risco cibernético inerente aos seus processos de pagamentos.
  • Risco Regulatório: Os reguladores poderão solicitar o envio de informação, realizar auditorias e/ou solicitar acesso local à instalações.

     

Sempre que tiver conhecimento de que uma organização esteja a passar por um incidente, deve partilhar todas as informações com a SWIFT,  o mais rapidamente possível, de maneira a garantir a devida assistência e proteger também outras organizações na rede. Para o efeito, deve seguir as indicações descritas no website da SWIFT, na página dedicada a “Report a security issue – How to report a security issue or vulnerability to Swift”, disponível aqui.

Siga-nos

Contacte-nos

António Loureiro

António Loureiro

Risk Assurance Partner, PwC Portugal

Marcelo Ferreira Rodrigues

Marcelo Ferreira Rodrigues

Cybersecurity & Privacy Partner, PwC Portugal

Tel: +351 225 433 000

Tiago David Marques

Tiago David Marques

Cybersecurity & Privacy Principal, PwC Portugal

Tel: +351 213 599 357

Fechar