De acordo com os requisitos SWIFT CSCF, as Instituições que utilizam SWIFT devem estar em conformidade e submeter a avaliação independente do SWIFT CSP anualmente e até 31 de dezembro através da aplicação KYSA.
Recentemente, várias instituições de pagamento têm sido vitimas de fraudes consumadas através dos seus ambientes locais SWIFT, demonstrando a necessidade de existência de cooperação entre todos os elementos da indústria, capaz de lutar contra as ameaças que se apresentam.
Os clientes SWIFT são individualmente responsáveis pela segurança dos seus próprios ambientes, no entanto, a segurança da industria como um todo, é uma responsabilidade partilhada. Como principal player, a SWIFT comprometeu-se a desempenhar um papel ativo e preponderante nesta necessidade premente de reforço da segurança de todas as instituições que usam o seu produto.
Assim, a SWIFT criou o programa CSP (Customer Security Program) que visa reforçar a segurança de todos os seus clientes, estabelecendo uma framework de controlos de segurança baseada nas melhores práticas do mercado.
“As instituições que utilizam SWIFT devem estar em conformidade e submeter a avaliação independente do SWIFT CSP até 31 de dezembro de cada ano. Saiba como a equipa de Cibersegurança da PwC o pode ajudar neste processo.”
SWIFT CSP explicado
1. O quê?
Lançado em 2016 em resposta aos sofisticados ataques cibernéticos aos usuários SWIFT, o Customer Security Programme (CSP) procura pragmaticamente elevar o nível da segurança cibernética em todos os clientes
2. Como?
O CSP estabelece um conjunto de controlos de segurança obrigatórios e opcionais baseados em frameworks e standards do setor, como NIST, ISO 27000 e PCI-DSS, conhecido como Customer Security Controls Framework (CSCF), projetado para ajudar os clientes a proteger os ambientes locais e promover um ecossistema financeiro mais seguro, com esta baseline de segurança.
3. Porquê?
Para padronizar o nível de segurança de todos os utilizadores da rede Swift e reduzir o risco de ataques cibernéticos e minimizar o impacto financeiro de transações fraudulentas.
4. Quando?
Anualmente é publicado um novo CSCF (Customer Security Controls Framework), que deve ser o referencial utilizado para implementação dos controlos listados, assim como na avaliação independente do ano seguinte.
As entidades abrangidas pelo programa devem realizar uma avaliação independente e demonstrar compliance com os controlos mandatórios, até ao final de cada ano.
5. Quem?
O programa aplica-se a todos os proprietários de um SWIFT BIC (“Bank Identifier Code”), incluindo: bancos, seguradoras, entidades de Asset and Investment Management, Government Banking, Tax, Revenue, etc.
As avaliações independentes anuais, devem ser realizadas por empresas externas independente ou por àrea independentes da primeira linha de defesa que envia a autoavaliação.
6. Onde?
As avaliações independentes devem ser realizadas presencialmente ou remotamente, com a abrangência da zona segura Swift e dependente do tipo de arquitectura implementada na organização.
Temos experiência na realização de assessments CSP em clientes com infraestrutura SWIFT de elevada complexidade. Alguns dos trabalhos realizados foram alvo de auditorias por parte do regulador (SWIFT) que confirmou a qualidade do trabalho desenvolvido.
Possuímos uma abordagem metodológica assente na nossa experiência e conhecimento sobre a tecnologia e o programa. A nossa abordagem está alinhada com os principais referenciais da área (e.g. ISO27001 e NIST), o que permite oferecer um elevado nível de assurance aos nossos clientes.
A realização de inúmeros trabalhos (para além de assessment CSP) em clientes com infraestrutura SWIFT, faz da PwC uma empresa com elevada experiência nesta tecnologia, bem como em toda a infraestrutura que a suporta.
Possuímos matéria humana altamente qualificada com muitos anos de experiência em projetos de segurança, capaz de compreender as necessidades e particularidades da infraestrutura de cada cliente. A equipa de Cibersegurança da PwC presta serviços no âmbito de todos os programas SWIFT:
- SWIFT CSP – Customer Security Program
- SWIFT SIP – Shared Infrastructure Program
Temos experiência na realização de assessments CSP em clientes com infraestrutura SWIFT de elevada complexidade. Alguns dos trabalhos realizados foram alvo de auditorias por parte do regulador (SWIFT) que confirmou a qualidade do trabalho desenvolvido.
Possuímos uma abordagem metodológica assente na nossa experiência e conhecimento sobre a tecnologia e o programa. A nossa abordagem está alinhada com os principais referenciais da área (e.g. ISO27001 e NIST), o que permite oferecer um elevado nível de assurance aos nossos clientes.
A realização de inúmeros trabalhos (para além de assessment CSP) em clientes com infraestrutura SWIFT, faz da PwC uma empresa com elevada experiência nesta tecnologia, bem como em toda a infraestrutura que a suporta.
Possuímos matéria humana altamente qualificada com muitos anos de experiência em projetos de segurança, capaz de compreender as necessidades e particularidades da infraestrutura de cada cliente. A equipa de Cibersegurança da PwC presta serviços no âmbito de todos os programas SWIFT:
- SWIFT CSP – Customer Security Program
- SWIFT SIP – Shared Infrastructure Program
Garanta a conformidade com o SWIFT CSP
Faça a avaliação com antecedência, para que tenha tempo de lidar com quaisquer problemas de não conformidade antes do final do ano. Está ciente do status atual da conformidade com os controlos do CSCF? Procura um prestador de serviços externo qualificado para realizar o Independent assessment na sua organização?
A PwC é fornecedora de serviços de avaliação SWIFT CSP e segurança cibernética, com uma vasta experiencia em avaliações de conformidade quer do CSP, quer do SIP e pode auxiliar na execução das duas tipologias de Independent assessment. A nossa avaliação SWIFT CSP fornece uma visão geral abrangente de seu status atual, bem como recomendações de medidas para atender à conformidade do CSCF.
Tipologias de Independent assessment
→ Avaliação interna independente
Realizado pela segunda ou terceira linha de defesa (como compliance, gestão de riscos ou auditoria interna) que opera independentemente da primeira linha de defesa que enviou a autoavaliação (por exemplo, CISO).
As pessoas que realizam a avaliação devem ter experiência recente e relevante na avaliação de controlos de segurança relacionados à cibernética.
→ Avaliação externa independente
- Conduzido por uma organização externa independente com experiência em avaliação de segurança cibernética.
Avaliadores que possuem certificações de segurança do setor.
Conteúdo relacionado
Siga-nos
Contacte-nos
Cybersecurity & Privacy Partner, PwC Portugal
Tel: +351 225 433 000
