ANBIMA publica Guias sobre desenvolvimento seguro de aplicações e cibersegurança

A ANBIMA divulgou o Guia Técnico de Orientações para Desenvolvimento Seguro de Aplicações (Softwares) (“Guia de Software”), elaborado em conjunto com o Grupo Consultivo de Cibersegurança e com apoio técnico da PwC, que reúne orientações e boas práticas destinadas a equipes de tecnologia, desenvolvimento e segurança da informação das instituições que atuam nos mercados financeiro e de capitais.

Adicionalmente, a Associação divulgou a 4ª edição do Guia de Cibersegurança (“Guia de Cibersegurança”), que reúne orientações para a estruturação e manutenção de programas de segurança cibernética por organizações que atuam nos mercados financeiro e de capitais.

Guia de Software

O principal ponto do Guia de Software é a integração da segurança cibernética desde as fases iniciais dos processos e do desenvolvimento tecnológico, de forma estruturada e contínua. As diretrizes reforçam que a segurança não deve ser tratada apenas como um controle final, mas como um requisito essencial de qualidade, incorporado à governança, às políticas internas e ao ciclo de vida de sistemas e dispositivos. Nesse contexto, o documento consolida recomendações de governança, gestão de riscos, codificação segura e integração da segurança ao longo de todas as fases do ciclo de desenvolvimento (Secure Software Development Life Cycle – “SSDLC”).

Entre os temas abordados, destacam-se:

• Governança e gestão de segurança: definição de políticas, papéis e responsabilidades, auditoria e melhoria contínua;
• Privacidade desde a concepção (Privacy by Design): integração de requisitos de proteção de dados pessoais desde as etapas iniciais do desenvolvimento;
• Gestão de terceiros: exigência de alinhamento contratual e técnico com normas como NIST SSDF, OWASP e ISO/IEC;
• Ciclo de vida seguro: práticas estruturadas para preparação, proteção, produção e resposta a vulnerabilidades;
• Práticas de codificação segura: controle de autenticação, tratamento de erros, criptografia e prevenção contra injeções; e
• Segurança em pipelines CI/CD: validação automatizada de segurança em cada etapa da integração e entrega contínua.

O Guia de Software também faz referência a normas e padrões nacionais incluindo a Resolução CMN nº 4.893/21 (“RCMN 4.893”), a Resolução CVM nº 35/21 (“RCVM 35”) e a Lei nº 13.709/18 (“LGPD”).

Guia de Cibersegurança

O Guia de Cibersegurança reúne orientações para a estruturação e manutenção de programas de segurança cibernética por organizações que atuam nos mercados financeiro e de capitais. O documento aborda o risco cibernético como a possibilidade de perda de confidencialidade, integridade, controle ou disponibilidade de informações e sistemas, com impactos operacionais, financeiros e reputacionais, e destaca que os programas devem abranger colaboradores e terceiros, observando a legislação e a regulação aplicáveis, como a RCMN 4.893, a RCVM 35 e a LGPD.

O Guia de Cibersegurança apresenta as cinco funções essenciais para a implementação de um programa de segurança cibernética:

• Identificação e avaliação de riscos;
• Ações de prevenção e proteção;
• Controle, monitoramento e testes;
• Plano de resposta a incidentes;
• Governança.

Entre os pontos destacados estão a necessidade de inventário e classificação de ativos, adoção de controles de acesso, realização de testes e simulações, estruturação de planos de resposta e definição de responsabilidades e treinamentos.

Por fim, destaca-se que ambos os Guias têm caráter exclusivamente orientativo e não constituem parte da autorregulação da Associação, servindo como uma referência técnica para a implementação de processos e controles de segurança em softwares e programas de segurança cibernética.

Este alerta não representa opinião legal, tendo o propósito puramente informativo.

Em caso de dúvidas ou auxílio necessário, por favor, entre em contato com o Time Compliasset através do e-mail alertas@compliasset.com.

Atenciosamente,
​Time Compliasset.