Observância

Atualmente, existe uma grande variedade de regulamentos e normas que as organizações devem cumprir.


A SMARTFENSE cumpre rigorosamente os requisitos obrigatórios das regulamentações que se seguem.


ISO/IEC 27001:2013 - Anexo A / 27002

  • 7.2.2 - Consciencialização, formação e treino em segurança da informação/Information security awareness, education and training.

PCI DSS

  • 9.9.3 - Capacite os funcionários, para que detetem sinais de alteração, ou de substituição, nos dispositivos. Essa capacitação deve englobar os seguintes aspetos::
    • 9.9.3.a - Rever o material de capacitação (abrangência);
    • 9.9.3.b - Verificar a receção da capacitação e a familiarização com os procedimentos.

  • 12.6.1 - Capacite os funcionários logo após serem contratados e, pelo menos, uma vez por ano.
    • 12.6.1.a - Verifique que o programa de consciencialização sobre segurança proporciona métodos diversificados.
    • 12.6.1.b - Verifique que os funcionários frequentam as ações de capacitação relativas à consciencialização sobre segurança, ao serem contratados e, pelo menos, uma vez por ano.
    • 12.6.1.c - Verifique que os funcionários completaram a capacitação relativa à consciencialização e que estão cientes da importância da segurança dos dados do titular do cartão.


Comunicação "A" 5374 de 2012 do Banco Central da República Argentina (BCRA)

  • 6.2 - As entidades devem ter a funcionalidade e o propósito descritos nos processos de referência, e informar este Banco Central sobre a estrutura, e as inter-relações orgânicas e operacionais, correspondentes nas suas organizações.:
    • 6.2.1 - Consciencialização e Capacitação: processo relacionado com a aquisição e a entrega de conhecimento sobre práticas de segurança, e com a divulgação, o treino e a formação correspondentes, visando o desenvolvimento de tarefas de prevenção, deteção e correção dos incidentes de segurança nos Canais eletrónicos (enunciados em 6.1).
  • 6.3.2.2 - no âmbito das tarefas de gestão da segurança, e independentemente do departamento, dos indivíduos, ou dos terceiros, que sejam responsáveis pelas funções e pela execução das tarefas, as entidades devem ter funções e tarefas relacionadas com os seguintes processos de segurança para os seus Canais eletrónicos:
    • 6.3.2.2.1 - Consciencialização e Capacitação. Para além do indicado no ponto 6.2.1, as entidades devem ter um programa anual de consciencialização e capacitação em segurança informática, mensurável e verificável, cujos conteúdos abranjam todas as necessidades internas e externas relativas aos Canais eletrónicos que possuem (uso, conhecimento, prevenção e denúncia de incidentes, escalonamento, e responsabilidade).
  • 6.7.1 - Tabela de Requisitos mínimos de Consciencialização e Capacitação (RCC).

COMUNICAÇÃO "A" 7266 de 2021 do Banco Central da República Argentina (BCRA)

  • 2.1. - Administração.
    • 2.1.1. - Cultura.
      É esperado que a direção da entidade acompanhe a criação de um ambiente organizacional que promova a denúncia, ou o encaminhamento para superiores hierárquicos, dos incidentes de cibersegurança, através de um canal estabelecido para o efeito, considerando:
      • 2.1.1.1. - O estabelecimento de programas de capacitação para todos os níveis hierárquicos da entidade, que incentivem comportamentos proativos, em que seja aceite a possibilidade de ocorrência dos incidentes de cibersegurança e a aprendizagem com base nos erros.
      • 2.1.1.2 - Promover uma cultura positiva para a gestão dos incidentes de cibersegurança, conseguindo que a informação em causa seja usada como base para a melhoria da fase de preparação.
      • 2.1.1.3- Promover ações contínuas e sustentadas com fornecedores e terceiros na preparação das tarefas de resposta e recuperação relativas a incidentes de cibersegurança, para que estas possam ser oportunas e adequadas às diferentes situações.

CIRCULAR EXTERNA 007 de 2018 DA SUPERINTENDÊNCIA FINANCEIRA DA COLÔMBIA

  • 3 - OBRIGAÇÕES GERAIS EM MATÉRIA DE CIBERSEGURANÇA
    • 3.1 - Estabelecer uma política que contenha os princípios, os procedimentos e as diretrizes para a gestão da segurança da informação e do risco de cibersegurança na entidade. Esta política deve possuir as seguintes características:
      • 3.1.4 - Estabelecer os princípios e as diretrizes para promover uma cultura de cibersegurança que inclua atividades de divulgação, capacitação e consciencialização, tanto dentro da entidade, como envolvendo utilizadores e terceiros que sejam considerados relevantes no âmbito da política de cibersegurança da entidade. Estas atividades devem ser realizadas de forma periódica e, adicionalmente, podem ser incluídas nos cursos sobre risco operacional realizados pela entidade.
    • 3.2. - Estabelecer uma unidade que gira os riscos de segurança da informação e a cibersegurança. Esta unidade deve apresentar, no mínimo, as seguintes características e responsabilidades:
      • 3.2.5. - Deve sugerir as capacitações a que deverão ser regularmente sujeitos os funcionários da entidade, no que concerne a temas relacionados com a cibersegurança, mantendo-os atualizados sobre as novas ameaças nesse domínio.

Contacte-nos para obter mais informação