apostila normas e reglamentacoes externas

Prévia do material em texto

Regulamentações em Segurança .......................................................... 3 
Regulamentações ......................................................................................... 4 
Lei Graham-Leach-Billy (GBL) ........................................................................ 7 
PIPEDA (Lei de Proteção à Informação Pessoal e Documentos Eletrônicos) 
(Canadá) ..................................................................................................... 9 
FISMA (Lei Federal de Gestão de Segurança de Informação) ........................ 10 
SOX (Lei Sarbanes-Oxley) ou Sarbox ........................................................... 11 
Visão geral da estrutura da SOX ......................................................... 12 
PCAOB (Public Company Accounting Oversight Board) .................................. 12 
Independência do auditor ........................................................................... 13 
Responsabilidades da empresa .................................................................... 13 
Aprimoramento das divulgações financeiras ................................................. 14 
Acordo de Basiléia ...................................................................................... 16 
Normas em Segurança da informação.......................................................... 17 
NIST (Instituto Nacional de Normas e Tecnologia) ........................................ 18 
Visão geral da família de normas ISO 27K .................................................... 19 
SOX ........................................................................................................... 23 
Visão geral dos principais títulos da Lei de Sarbanes Oxley ............... 24 
Título 1: PCAOB: ........................................................................................ 24 
Título 2: Independência do auditor .............................................................. 24 
Título 3: Responsabilidades da empresa: ..................................................... 25 
Título 4: Aprimoramento das divulgações financeiras .................................... 25 
Título 8: Responsabilidade por fraude corporativa ou criminal: ...................... 26 
Título 9: Aumento das penalidades para crimes de colarinho branco.............. 26 
Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI 
DSS) .......................................................................................................... 27 
Norma ISO 27001 ...................................................................................... 29 
Anexos da Norma 27001 ............................................................................ 30 
Norma ISO 27002 ...................................................................................... 31 
Compliance ................................................................................................ 32 
Qual a diferença entre ser compliance e estar compliance? ........................... 33 
Diferença entre auditoria e compliance ........................................................ 33 
Governança, Risco e Compliance ................................................................. 34 
 
Regulamentações em Segurança 
A evolução tecnológica e a Internet trouxeram um novo pensamento, um novo 
comportamento no cenário mundial. 
Neste contexto da sociedade da informação, existe a necessidade de reflexões 
sobre da importância da existência de marco jurídico que permita a livre 
circulação de bens e serviços, além de garantir a liberdade dos cidadãos. 
No contexto mundial várias discussões estão sendo travadas para se atingir um 
denominador comum nas políticas de novas tecnologias de informação, a qual 
só pode ser assegurada por leis que permitam a regulamentação de cada país, 
a regulamentação entre empresas privadas e públicas e inclusive a 
regulamentação entre as pessoas físicas. 
A evolução tecnológica e a Internet trouxeram um novo pensamento, um novo 
comportamento no cenário mundial. 
Na sociedade da informação, existe a necessidade de reflexões sobre da 
importância da existência de marco jurídico que permita a livre circulação de 
bens e serviços, além de garantir a liberdade dos cidadãos. Neste sentido várias 
leis e normas foram promulgadas ou criadas com o objetivo de disciplinar esta 
nova forma de relacionamento entre governos, empresas e pessoas físicas. 
 
 
Norma 
Uma norma é um “documento estabelecido por consenso e aprovado por um 
organismo reconhecido que fornece para uso comum e repetido, regras, 
diretrizes ou características para atividades ou seus resultados, visando à 
obtenção de um grau ideal de ordenação em um dado contexto” e que podem 
ser seguidas ou não. Podem ser jurídicas, técnica, de segurança, etc. 
 
Exemplo de norma: ISO 27002 
Regulamento 
Um regulamento é uma exigência imposta pelo governo que especifica 
características do produto, processo ou serviço, inclusive as cláusulas 
administrativas aplicáveis com as quais a conformidade é obrigatória. Ou seja, é 
a legislação vigente de um determinado assunto. 
Exemplo de regulamento: LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012 
(Carolina Dickmann) 
 
É importante que os profissionais que atuam na área de segurança da 
informação conheçam as diferentes regulamentações e normas existentes sobre 
o assunto de forma que possam compreender quando e onde aplica-las. Cada 
país desenvolve e implementa regulamentações específicas, existe ainda 
regulamentações porém existem Analisaremos algumas das Regulamentações 
disponíveis na área: 
Regulamentações 
 
HIPAA (Lei de Proteção à Privacidade da Informação de 
Pacientes)164.310 
 
 
 
Lei federal dos Estados Unidos, criada em 1999, criada com o intuito de 
melhorar a eficiência e eficácia do sistema de cuidados de saúde. HIPAA é um 
acrônimo de Health Insurance Portability e Accountability Act. 
Seu principal objetivo é proteger a privacidade e a segurança das informações 
dos indivíduos na área de saúde. 
Ela especifica normas rígidas quanto à liberação de informações sobre a saúde 
de um indivíduo sem autorização e é aplicável a todas as empresas de saúde, 
segurados e centros de processamento de informações nos EUA. 
As informações de saúde protegidas (PHI), são informações de saúde 
que possibilitam a identificação do paciente e coletadas ao longo da utilização 
do sistema de cuidados à saúde. São consideradas informações de saúde 
protegidas: 
 
 
 
 
 
Para atender aos requisitos da HIPAA, as empresas de saúde devem proteger 
as informações de ameaças previsíveis proporcionando segurança e 
integridade, e evitando o uso ou divulgação não autorizada dessas informações. 
Devem também assegurar que todos os envolvidos nos processos de trabalho 
cumpram com os requisitos e que o sigilo seja mantido. 
Desta forma, ela fornece orientações sobre a utilização das PHI de forma que 
os funcionários com acesso aos dados do paciente somente possam: 
 Utilizar ou divulgar estas informações apenas em uma "necessidade de 
saber". Caso contrário, estas informações são confidenciais. 
 Acessar ou usar essas informações somente quando necessário para 
realizar o trabalho. 
 Fornecer as informações mínimas necessárias ao responder a pedidos de 
informação. 
 Não discutir essas informações com outras pessoas, a menos que seja 
administrativa ou clinicamente necessário fazê-lo . 
 Não usar meios eletrônicos para copiar ou transmitir informações a 
menos que esteja especificamente autorizado a fazê-lo . 
A regra de privacidade da HIPPA não tem o objetivo de proibir a troca de 
informações entre prestadorese/ou pacientes, já que muitas vezes estas 
comunicações são inevitáveis e pertinentes, como por exemplo: 
 A fim de tratar um paciente. 
 Justificando o pagamento para o tratamento de um paciente. 
 Certos atos administrativos, financeiros, legais e de melhoria da 
qualidade atividades em saúde. 
Estabelece ainda que a PHI, poderá ser divulgada dentro dos limites da lei, para 
as situações abaixo e qualquer outra situação necessitará de autorização por 
escrito ou do próprio paciente: 
Autoridades de saúde pública e órgãos de fiscalização de saúde 
Legistas, médicos legistas e diretores de funeral 
 
 
 
Captação de órgãos 
Responder a ordens judiciais e intimações 
Para fins de pesquisa na área de saúde os procedimentos específicos podem 
permitir que as PHI sejam utilizadas ou divulgadas de forma específica, ou seja, 
parte dela e sem a possibilidade de identificação do paciente. 
Para alcançar os objetivos propostos pela HIPPA as seguintes ações estão 
previstas: 
 
 
Lei Graham-Leach-Billy (GBL) 
 
A Lei Gramm -Leach- Billey exige que as instituições financeiras expliquem 
suas práticas de compartilhamento de informações e proteção de dados 
sensíveis para os seus clientes. 
 
 
 
Esta lei obriga as instituições financeiras a garantir a segurança e 
confidencialidade deste tipo de informação. Um ponto importante para as 
empresas é determinar quais informações devem ser recolhidas e armazenadas 
e se são relevante aos seus negócios. 
 
 
Entendemos como instituições financeiras, empresas que oferecem aos 
consumidores produtos ou serviços financeiros, como empréstimos , 
aconselhamento financeiro ou de investimento , ou ainda de seguros. Na 
verdade, a regra se aplica a todas as empresas, independentemente do 
tamanho, que estão envolvidas no fornecimento de produtos ou serviços 
financeiros. 
Também faz parte de sua implementação uma Regra de Salvaguardas, que 
exige que as instituições financeiras tenham medidas locais para manter 
informações de clientes segura: 
 
 
 
 PIPEDA (Lei de Proteção à Informação Pessoal e Documentos 
Eletrônicos) (Canadá) 
 
Lei canadense, promulgada em 13 de abril de 2000 que visa à proteção de 
informações pessoais e documentos eletrônicos. 
Ela estabelece regras básicas de como organizações do setor privado e público 
podem coletar, usar ou divulgar informações pessoais no decurso das suas 
atividades comerciais. 
As informações pessoais incluem qualquer informação factual ou subjetiva, 
registrada ou não, sobre um indivíduo identificável. 
 Ela concede ao indivíduo o direito de decidir para quem suas informações 
pessoais serão fornecidas, além da finalidade de sua utilização. Entre outras 
ações descritas: 
 Obtenção do consentimento de uma pessoa quando coletar, usar ou 
divulgar informações pessoais do indivíduo. 
 O indivíduo tem o direito de acesso a informações pessoais na posse de 
uma organização e pode questionar sua precisão, se for necessário. 
 
 
 
 Informações pessoais só podem ser utilizadas para os fins para os quais 
foram coletadas. Se ocorrer mudanças de uso, o consentimento deve ser 
obtido novamente. 
 Indivíduos também deve ter certeza de que suas informações serão 
protegidas por garantias específicas, incluindo medidas tais como 
armários trancados, senhas de computador ou criptografia. 
FISMA (Lei Federal de Gestão de Segurança de Informação) 
 
A FISMA (Federal Information Security Management Act) é uma lei federal dos 
Estados Unidos que rege as atividades de segurança da informação dos órgãos 
federais para o processo de certificação e acreditação. 
É aplicável a as agências federais ou organizações que atuam em nome do 
governo. 
Desta forma a FISMA orienta o estabelecimento de um programa de segurança 
de informação integrado, baseado no risco e aderente aos requisitos de alto 
nível das organizações. Neste sentido a FISMA estabelece as seguintes 
atividades: 
 Avaliação do nível atual de risco associado aos sistemas de informação 
e da informação 
 Definição dos controles para proteção dos sistemas de informação 
 Implementação de políticas e procedimentos para a redução do risco 
percebido 
 Teste e avaliação periódica dos controles 
 Treinamento de pessoal sobre as políticas e procedimentos de 
segurança da informação 
 Gerenciamento de incidentes (resposta a incidentes de plano / 
processo). 
 
 
 
 
SOX (Lei Sarbanes-Oxley) ou Sarbox 
 
Lei criada em 30 de Julho de 2002 com o objetivo de evitar a fuga de 
investidores causada pela insegurança e perda de confiança em relação as 
ações contábeis e aos princípios da governança. Foi criada a partir de fraudes e 
escândalos contábeis, que atingiram grandes corporações nos Estados Unidos. 
 
As penalidades pelo descumprimento desta lei preveem multas de até USD 
1.000.000 e/ou a reclusão por até 10 anos. Quando o descumprimento da lei 
for intencional (normalmente com finalidades fraudulentas) a multa aumenta 
para até USD 5.000.000 e a reclusão pode chegar a 20 anos. 
É aplicável a todas as empresas, sejam elas americanas ou estrangeiras, que 
tenham ações registradas na SEC (Securities and Exchange Comission, o 
equivalente americano da CVM brasileira) e está estruturada em onze títulos 
(capítulos), com um número variável de seções cada um, totalizando 69 seções 
(Artigos). As seções consideradas as mais importantes são: 
Entre outras ações a SOx obriga as empresas a reestruturarem processos para 
aumentar os controles, a segurança e a transparência na condução dos 
negócios, na administração financeira, nas escriturações contábeis e na gestão 
e divulgação das informações. 
Ela prevê a criação de mecanismos de auditoria e segurança confiáveis, 
definindo regras para a criação de comitês encarregados de supervisionar suas 
atividades e operações, formados em boa parte por membros independentes. 
Define também como padrão de auditoria que seja considerado nos processos 
de auditoria o mapeamento dos fluxos de transações atentando para como são: 
 
 
 
 
 Iniciados 
 Autorizados 
 Registrados 
 Processados 
 Reportados 
 
Ela torna os Diretores Executivos e Diretores Financeiros explicitamente 
responsáveis por estabelecer e monitorar a eficácia dos controles internos em 
relação aos relatórios financeiros e a divulgação de informações. 
Desta forma fica claro que as confiabilidades nos relatórios financeiros 
dependem diretamente de um ambiente de TI com controles eficientes e 
efetivos. 
Assim o cumprimento da SOX deve ser abordada de forma metódica, através de 
estudo e análise adequado e implementado como um projeto normal. 
Deve cobrir todos os aspectos de segurança e controle das informações digitais 
da empresa. E deve desenhar processos de controle das aplicações para 
assegurar: 
 A confiabilidade do sistema operacional, 
 A veracidade dos dados de saída 
 A proteção de equipamentos e arquivos. 
Visão geral da estrutura da SOX 
PCAOB (Public Company Accounting Oversight Board) 
 
Seção 101: Cria o Public Company Accounting Oversight Board. 
Seção 102: Trata da organização do PCAOB e de suas atribuições 
Seção 103: Define regras e padrões de auditoria, controle de qualidade e 
independência 
 
 
 
Seção 104: Determina que o PCAOB crie um programa permanente de 
inspeção nas empresas de auditoria registradas na SEC 
Seção 105: Define o financiamento e taxas de funcionamento do PCAOB. 
Independência do auditor 
 
Seção 201: Define serviços que são proibidos para os auditores dentro das 
companhias que auditam.Seção 202: Determina a necessidade da aprovação prévia do comitê de 
auditoria para qualquer outro serviço prestado pelos auditores independentes 
da companhia 
Seção 203: Determina a rotatividade a cada 5 anos do sócio responsável por 
cada cliente, em empresa de auditoria. 
Seção 204: Cria regras para comunicação entre os auditores contratados e o 
comitê de auditoria da companhia. 
Responsabilidades da empresa 
 
Seção 301: Define as funções atribuídas e nível de independência do comitê 
de auditoria em relação à direção da empresa. 
Seção 302: Determina a responsabilidade dos diretores das empresas, que 
devem assinar os relatórios certificando que as demonstrações e outras 
informações financeiras incluídas no relatório do período, apresentam todos os 
fatos materiais e que não contém nenhuma declaração falsa ou que fatos 
materiais tenham sido omitidos. Também devem declarar que divulgaram todas 
e quaisquer deficiências significativas de controles, insuficiências materiais e 
atos de fraude ao seu Comitê de Auditoria. 
 
 
 
Seção 303: Proíbe a conduta imprópria de auditor por influência fraudulenta, 
coação ou manipulação, não importando se intencional ou por negligência. 
Proíbe diretores e funcionários da empresa de tomar qualquer medida para 
influenciar os auditores. 
Seção 305: Define as responsabilidades e penalidades a cargo dos diretores 
da empresa. 
Seção 307: Cria regras de responsabilidade para advogados obrigando-os a 
relatar evidências de violação importante da companhia para a qual prestam 
serviços, devendo reportar-se ao comitê de auditoria, se não forem ouvidos 
pela diretoria. 
Aprimoramento das divulgações financeira 
 
Seção 401: Obriga a divulgação das informações trimestrais e anuais sobre 
todo fato material não relacionado com o balanço, patrimonial, tais como: 
transações, acordos, obrigações realizadas com entidades não consolidadas, 
contingências e outras. 
Também exige a divulgação de informações financeiras não relacionadas com 
as normas geralmente aceitas. 
Seção 402: Obriga a divulgação das principais transações envolvendo a 
diretoria e os principais acionistas da companhia. Nenhum diretor ou 
funcionário graduado de companhia aberta poderá receber, direta ou 
indiretamente, empréstimos em companhia aberta. 
Seção 404: Determina uma avaliação anual dos controles e procedimentos 
internos para a emissão de relatórios financeiros. O auditor independente deve 
emitir um relatório distinto que ateste a asserção da administração sobre a 
eficácia dos controles internos e dos procedimentos executados para a emissão 
dos relatórios financeiros. 
 
 
 
Seção 402: Obriga a divulgação das principais transações envolvendo a 
diretoria e os principais acionistas da companhia. Nenhum diretor ou 
funcionário graduado de companhia aberta poderá receber, direta ou 
indiretamente, empréstimos em companhia aberta. 
Seção 404: Determina uma avaliação anual dos controles e procedimentos 
internos para a emissão de relatórios financeiros. O auditor independente deve 
emitir um relatório distinto que ateste a asserção da administração sobre a 
eficácia dos controles internos e dos procedimentos executados para a emissão 
dos relatórios financeiros. 
Seção 406: Define o Código de ética para os administradores, alta gerência e 
gerência. 
Seção 409: Obriga a divulgação imediata e atual de informações adicionais 
relativas a mudanças importantes na situação financeiras ou nas operações da 
companhia. 
1. Analista de conflito de interesse 
2. Comissão de recursos e autoridades 
3. Estudos e relatórios 
4. Responsabilidade por fraude corporativa ou criminal 
 
Seção 802: Define as penalidades criminais por alteração / 
destruição / falsificação de documentos a serem utilizados nas 
vistorias da SEC. 
Seção 806: Cria os meios de proteção aos funcionários de 
empresas de capital aberto que denunciarem fraude na companhia 
em que trabalham. 
Seção 807: Define as penalidades criminais por prejudicar 
acionistas minoritários de empresas de capital aberto com 
informações inverídica 
5. Aumento das penalidades para crimes de colarinho branco 
 
 
 
 
Seção 906: Aumenta a responsabilidade da diretoria sobre as 
demonstrações financeiras e define as penalidades para as infrações. 
6. Declaração fiscal corporativa 
7. Fraudes corporativa e responsabilidade 
Acordo de Basiléia 
Após instabilidades e distúrbios nos mercados financeiros internacionais os 
responsáveis pela supervisão bancária nos países do G-10 decidiram criar o 
Comitê de Regulamentação Bancária e Práticas de Supervisão, sediado no 
Banco de Compensações Internacionais - BIS, em Basiléia, na Suíça. 
Assim surgiu o Comitê de Basiléia. 
Este comitê é constituído por representantes dos bancos centrais dos países 
membros do G-10 que discutem questões relacionadas à indústria bancária, 
com o objetivo de melhorar a qualidade da supervisão bancária e fortalecer a 
segurança do sistema bancário internacional. 
O acordo de Basiléia ou Basiléia I definiu mecanismos para mensuração do risco 
de crédito com o objetivo de reforçar a solidez e a estabilidade do sistema 
bancário internacional e minimizar as desigualdades competitivas entre os 
bancos internacionalmente ativos: 
 
Em junho de 2004, o Comitê propôs revisão no acordo, conhecido por 
Basiléia II, com os seguintes objetivos: 
 Promover a estabilidade financeira 
 Fortalecer a estrutura de capital das instituições; 
 Favorecer a adoção das melhores práticas de gestão de riscos 
 
 
 
 Estimular maior transparência e disciplina de mercado 
 
Desta forma propõe um enfoque mais flexível para exigência de capital e 
mais abrangente com relação ao fortalecimento da supervisão bancária e ao 
estímulo para maior transparência na divulgação das informações ao mercado, 
baseado em três grandes premissas: 
 
 Fortalecimento da estrutura de capitais das instituições; 
 Estímulo à adoção das melhores práticas de gestão de riscos 
 Redução da assimetria de informação e favorecimento da disciplina de 
mercado 
 
Com a ocorrência de novas crises financeiras que demonstraram que os 
acordos de Basileia I e II mostraram-se insuficientes, em dezembro de 2010, o 
Comitê de Basileia dois novos documentos : 
 Framework global de regulação para bancos e sistemas bancários 
mais resilientes 
 Framework internacional para medição de risco de liquidez, padrões e 
monitoramento 
Estes documentos ficaram conhecidos como Basileia III e visa ao 
aperfeiçoamento da capacidade das instituições financeiras absorverem 
choques provenientes do próprio sistema financeiro ou dos demais setores da 
economia, reduzindo o risco de transferência de crises financeiras para a 
economia real. 
Normas em Segurança da informação 
 
As normas de segurança da informação foram criadas para fornecer as 
melhores práticas, diretrizes e princípios gerais para a implementação de sua 
gestão para qualquer organização. 
 
 
 
Com o crescimento da utilização da informática pelas organizações, na década 
de 80 e 90, o Departamento de Defesa (DoD – Department of Defense), 
disponibilizou uma série de publicações com padrões e orientações sobre 
segurança da informação que ficaram conhecidas como “Rainbow Series” ou 
“Rainbow Books”. 
 
No Reino Unido na década de 90 surgiram as normas BS (British Standard). No 
contexto da segurança da informação, em 95 foi publicada a BS7799 que anos 
mais tarde iria se transformar na ISO 27002 e 27001. 
Inspirada no “Orange Book” foi publicada a norma Norma ISO 15408, que trata 
do desenvolvimento de softwareseguro e publicada a RFC 2196, do IETF, que 
é um guia para desenvolvimento de políticas de segurança de computador e 
procedimentos para sites que têm seus sistemas na Internet. 
Como podemos concluir existem várias instituições reconhecidas que produzem 
padrões na área de segurança da informação: 
 ISO – International Standardization Organization. 
 IEC – International Electrotechnical Comission. 
 ABNT – Associação Brasileira de Normas Técnicas. 
 IETF – Internet Engineering Task Force 
 IEEE – Institute of Electrical and Electronics Engineers 
 
NIST (Instituto Nacional de Normas e Tecnologia) 
 
O NIST é uma agência de tecnologia, do governo americano, que trabalha em 
conjunto com a indústria para o desenvolvimento e aplicação de tecnologia, 
metrologia e padrões. 
Ele possui um departamento dedicado a segurança da informação e possui uma 
vasta quantidade de publicações relevantes na área, entre as quais destaca-se: 
 
 
 
 NIST Special Publications (SPs): 
Orientações em segurança e privacidade,recomendações e materiais 
de referência. 
 SP 800 subseries – Segurança na computação 
 SP 1800 subseries – Cybersegurança 
 SP 500 series – Tecnologia da Informação ( relevantes para a 
segurança e privacidade da computação/Cyber/informação) 
Visão geral da família de normas ISO 27K 
 
No nosso país, quem é responsável por manter as Normas de Gestão de 
Segurança da Informação (ISO 27000) é a ABNT, representante da ISO no 
Brasil e responsável por normatizar essa questão. 
 
 
 
 
 
• ISO 27000 – Revisão dos termos e definições comumente utilizados em 
sistemas de gestão em segurança da informação. 
ISO 27000 
 
ISO 27001 
ISO 27006 
ISO 27009 
• ISO 27006 
• ISO 27009 
 
ISO 27010 
ISO 27011 
ISO TR 27015 
ISO 27017 
ISO 27018 
ISO TR 27019 
ISO 27799 
 
ISO 27002 
ISO 27003 
ISO 27004 
ISO 27005 
ISO 27007 
ISO TR 27008 
ISO TR 27013 
ISO 27014 
ISO TR 27016 
ISO 27021 
• ISO 270023 
 
 ISO 27031-39 
ISO 27041-3 
ISO 27050 
 
 
 
 
• ISO 27001 - Especifica os requisitos para estabelecer, implementar, 
manter e melhorar continuamente um sistema de gestão da segurança 
da informação dentro do contexto da organização. Inclui requisitos para 
a avaliação e tratamento de riscos de segurança da informação voltados 
para as necessidades da organização. 
• ISO 27002 - Diretrizes para práticas de gestão de segurança da 
informação e normas de segurança da informação para as organizações, 
incluindo a seleção, a implementação e o gerenciamento de controles, 
levando em consideração os ambientes de risco da segurança da 
informação da organização. 
• ISO 27003 - Foca os aspectos críticos necessários para a implantação e 
projeto bem sucedidos de um Sistema de Gestão da Segurança da 
Informação (SGSI), de acordo com a ABNT NBR ISO IEC 27001:2005. 
Descreve o processo de especificação e projeto do SGSI desde a 
concepção até a elaboração dos planos de implantação. 
• ISO 27004 - Diretrizes para o desenvolvimento e uso de métricas e 
medições a fim de avaliar a eficácia de um Sistema de Gestão de 
Segurança da Informação (SGSI) implementado e dos controles ou 
grupos de controles, conforme especificado na ABNT NBR ISO/IEC 
27001. 
• ISO 27005 - Diretrizes para o processo de gestão de riscos de 
segurança da informação. 
• ISO 27006 - Requisitos para auditorias externas em um Sistema de 
Gerenciamento de Segurança da Informação - Especifica como o 
processo de auditoria de um sistema de gerenciamento de segurança da 
informação deve ocorrer. 
• ISO 27007 - Diretrizes sobre como gerenciar um programa de auditoria 
de sistemas de gestão da segurança da informação (SGSI) e sobre como 
executar as auditorias e a competência de auditores de SGSI. 
 
 
 
• ISO 27008 - Diretrizes sobre a análise da implementação e operação 
dos controles, incluindo a verificação de conformidade técnica dos 
controles com as normas de segurança da informação estabelecidas pela 
organização. 
• ISO 27009 - Define os requisitos para a utilização da ISO 27001 em um 
setor específico e como incluir novos controles. 
• ISO 27010 - Diretrizes para a gestão da segurança da informação 
através das comunicações Inter Empresariais. Provê controles e 
orientações especificamente relacionadas em como iniciar, implementar, 
manter e melhorar a segurança da informação em comunicações inter-
organizacionais e inter-setoriais. 
• ISO 27011 -Diretrizes que suportem a implementação da gestão de 
segurança da informação em organizações de telecomunicações. 
• ISO 27013 - Guia para implementar a ISO 27001 em uma 
organização de forma integrada com a ISO 20000. 
• ISO 27014 - Orientação sobre conceitos e princípios para a governança 
de segurança da informação, pela qual as organizações podem avaliar, 
dirigir, monitorar e comunicar as atividades relacionadas com a 
segurança da informação dentro da organização. 
• ISO 27015 - Provê informações para a implementação da ISO 27001, 
ou seja, a gestão da segurança da informação, em empresas que 
prestam serviços financeiros. 
• ISO 27016 - Fornece orientações sobre como uma organização pode 
tomar decisões para proteger a informação e compreender as 
consequências econômicas dessas decisões no contexto das 
necessidades de seus concorrentes. 
• ISO 27017 - Fornece diretrizes para os controles de segurança da 
informação aplicáveis à prestação e utilização de serviços em nuvem. 
 
 
 
• ISO 27019 - Complementa a norma ISO 27017. Diretrizes para a 
implementação de proteção especificamente de informação 
pessoalmente identificável em serviços em nuvem. 
• ISO 27031 - Conceitos e princípios da prontidão esperada para a 
tecnologia de comunicação e informação (TIC) na continuidade dos 
negócios e fornece uma estrutura de métodos e processos para 
identificar e especificar todos os aspectos (como critérios de 
desempenho, projeto e implementação) para fornecer esta premissa nas 
organizações e garantir a continuidade dos negócios. 
• ISO 27032 - Diretrizes para a Cibersegurança. Contêm diretrizes para 
a preservação da confidencialidade, integridade e disponibilidade da 
informação no Cyberspace. 
• ISO 27033 - Técnicas de segurança - segurança de rede - Parte 1: 
Visão geral e conceitos. 
• ISO 27033-2 -Técnicas de segurança - segurança de rede - Parte 2: 
Diretrizes para a concepção e implementação de segurança de rede. 
• ISO 27033-3 - Técnicas de segurança - segurança de rede – Parte 3: 
Cenários de rede de referência - Ameaças, técnicas de design e 
problemas de controle 
• ISO 27033-4 - Técnicas de segurança - segurança de rede – Parte 4: 
Protegendo as comunicações entre redes usando gateways de 
segurança. 
• ISO 27033-5 - Técnicas de segurança - segurança de rede – Parte 5: 
Rede de comunicação segura usando redes privadas virtuais (VPNs). 
• ISO 27033-6 - Técnicas de segurança - segurança de rede – Parte 6: 
Protegendo rede IP sem fio. 
• ISO 27034 - Técnicas de segurança - segurança da aplicação - Parte 1: 
Visão geral e conceitos. 
 
 
 
• ISO 27035 - Técnicas de segurança - Gerenciamento de incidentes de 
segurança das informações. 
• ISO 27037 - Diretrizes para atividades específicas no manuseio de 
evidências digitais que são a identificação, coleta, aquisição e 
preservação de evidência digital que possam possuir valor probatório. 
• ISO 27036 - Diretrizes para atividades específicas no manuseio de 
evidências digitais que são a identificação, coleta, aquisição e 
preservação de evidência digital que possam possuir valorprobatório. 
• ISO 27038 -Especifica características de técnicas para realizar a 
redação digital em documentos digitais. Especifica requisitos para 
ferramentas de software para redação e métodos para testar se a 
produção digital foi seguramente concluída. 
SOX 
Como vimos no capítulo anterior a SOX tem por objetivo coibir a fraude, 
aumentar a responsabilidade corporativa e a revelação de informações 
relevantes nas demonstrações financeiras. 
Está estruturada em onze títulos (capítulos), com um número variável de 
seções cada um, totalizando 69 seções (artigos). 
A primeira parte ou título da lei estabelece uma nova agência, o Public 
Company Acconting Oversight Board (PCAOB), que tem o encargo de 
supervisionar, regulamentar, inspecionar e disciplinar as empresas de auditoria 
externa em seus papéis de auditores de companhias abertas. 
Nos demais capítulos , a SOx obriga as empresas a reestruturarem seus 
processos para aumentar os controles, a segurança e a transparência na 
condução dos negócios, na administração financeira, nas escriturações 
contábeis e na gestão e divulgação das informações. 
Na prática ela define por lei uma série de medidas que já são consideradas, no 
mundo todo, como práticas de boa governança corporativa. 
 
 
 
Ela prevê a criação, nas empresas, de mecanismos de auditoria e segurança 
confiáveis, definindo regras para a criação de comitês encarregados de 
supervisionar as atividades e operações, formados em boa parte por membros 
independentes. Isso com o intuito explícito de evitar a ocorrência de fraudes e 
criar meios de identificá-las quando ocorrem, reduzindo os riscos nos negócios 
e garantindo a transparência na gestão. 
Visão geral dos principais títulos da Lei de Sarbanes Oxley 
Título 1: PCAOB: 
 
Seção 101: Cria o Public Company Accounting Oversight Board. 
Seção 102: Trata da organização do PCAOB e de suas atribuições. 
Seção 103: Define regras e padrões de auditoria, controle de qualidade e 
independência. 
Seção 104: Determina que o PCAOB crie um programa permanente de 
inspeção nas empresas de auditoria registradas na SEC. 
Seção 109: Define o financiamento e taxas de funcionamento do PCAOB. 
Título 2: Independência do auditor 
 
Artigo 201: Define serviços que são proibidos para os auditores dentro das 
companhias que auditam. 
Seção 202: determina a necessidade da aprovação prévia do comitê de 
auditoria para qualquer outro serviço prestado pelos auditores independentes 
da companhia. 
Seção 203: determina a rotatividade a cada 5 anos do sócio responsável por 
cada cliente, em empresa de auditoria. 
Seção 204: cria regras para comunicação entre os auditores contratados e o 
comitê de auditoria da companhia. 
 
 
 
Título 3: Responsabilidades da empresa: 
Seção 301: Define as funções atribuídas e nível de independência do comitê 
de auditoria em relação à direção da empresa. 
Seção 302: . Determina a responsabilidade dos diretores das empresas, que 
devem assinar os relatórios certificando que as demonstrações e outras 
informações financeiras incluídas no relatório do período, apresentam todos os 
fatos materiais e que não contém nenhuma declaração falsa ou que fatos 
materiais tenham sido omitidos. 
Também devem declarar que divulgaram todas e quaisquer deficiências 
significativas de controles, insuficiências materiais e atos de fraude ao seu 
Comitê de Auditoria. 
Seção 303: Proíbe a conduta imprópria de auditor por influência fraudulenta, 
coação ou manipulação, não importando se intencional ou por negligência. 
Proíbe diretores e funcionários da empresa de tomar qualquer medida para 
influenciar os auditores. 
Seção 305: Define as responsabilidades e penalidades a cargo dos diretores 
da empresa. 
Seção 307: Cria regras de responsabilidade para advogados obrigando-os a 
relatar evidências de violação importante da companhia para a qual prestam 
serviços, devendo reportar-se ao comitê de auditoria, se não forem ouvidos 
pela diretoria. 
Título 4: Aprimoramento das divulgações financeiras 
 
Seção 401: Obriga a divulgação das informações trimestrais e anuais sobre 
todo fato material não relacionado com o balanço, patrimonial, tais como: 
transações, acordos, obrigações realizadas com entidades não consolidadas, 
contingências e outras. 
Também exige a divulgação de informações financeiras não relacionadas com 
as normas geralmente aceitas. 
 
 
 
 Seção 402: Obriga a divulgação das principais transações envolvendo a 
diretoria e os principais acionistas da companhia. 
Nenhum diretor ou funcionário graduado de companhia aberta poderá receber, 
direta ou indiretamente, empréstimos em companhia aberta. 
Seção 404: Determina uma avaliação anual dos controles e procedimentos 
internos para a emissão de relatórios financeiros. 
Além disso, o auditor independente deve emitir um relatório distinto que ateste 
a asserção da administração sobre a eficácia dos controles internos e dos 
procedimentos executados para a emissão dos relatórios financeiros. 
Seção 406: Define o Código de ética para os administradores, alta gerência e 
gerência. 
Seção 409: Obriga a divulgação imediata e atual de informações adicionais 
relativas a mudanças importantes na situação financeiras ou nas operações da 
companhia. 
Título 8: Responsabilidade por fraude corporativa ou 
criminal: 
Seção 802: Define as penalidades criminais por alteração / destruição / 
falsificação de documentos a serem utilizados nas vistorias da SEC. 
Seção 806: Cria os meios de proteção aos funcionários de empresas de capital 
aberto que denunciarem fraude na companhia em que trabalham. 
Seção 807: Define as penalidades criminais por prejudicar acionistas minoritários de 
empresas de capital aberto com informações inverídicas. 
Título 9: Aumento das penalidades para crimes de colarinho 
branco 
Seção 906: Aumenta a responsabilidade da diretoria sobre as demonstrações 
financeiras e define as penalidades para as infrações. 
 
 
 
Padrão de Segurança de Dados da Indústria de Cartões de 
Pagamento (PCI DSS) 
 
O PCI DSS foi desenvolvido pela empresas do ramo, American Express, 
Discover Financial Services, JCB International, MasterCard Worldwide e Visa 
Inc., para incentivar e aprimorar a segurança dos dados dos portadores de 
cartão de crédito. O objetivo é oferecer um conjunto de requisitos técnicos e 
operacionais para a proteção dos dados do portador do cartão durante o 
processo de pagamento realizado pelo cliente. 
 
É aplicável a todas as entidades envolvidas nos processos de pagamento do 
cartão – inclusive comerciantes, processadores, adquirentes, emissores e 
prestadores de serviço, bem como todas as entidades que armazenam, 
processam ou transmitem os dados do portador do cartão (CHD) e/ou dados de 
autenticação confidenciais (SAD). 
Estabelece ainda que os dados de autenticação confidencial não podem ser 
armazenados. 
 
 
 
 
 
Ele é constituído de seis seções, subdividas em 12 requerimentos: 
 
Seção Requerimento 
Construir e 
manter a segurança de 
rede e sistemas 
1. Instalar e manter uma configuração de 
firewall para proteger os dados do titular do 
cartão 
2. Não usar padrões disponibilizados pelo 
fornecedor para senhas do sistema e outros 
parâmetros de segurança 
Proteger os dados 
do Titular do cartão 
1. Proteger os dados armazenados do titular 
do cartão 
2. Criptografar a transmissão dos dados do 
titular do cartão em redes abertas e 
públicas 
Manter um 
programa de 
gerenciamento de 
vulnerabilidades 
1. Usar e atualizar regularmente o software ou 
programas antivírus2. Desenvolver e manter sistemas e 
aplicativos seguros 
Implementar 1. Restringir o acesso aos dados do titular do 
cartão de acordo com a necessidade de 
 
 
 
medidas rigorosas de 
controle de acesso 
conhecimento para o negócio 
2. Identificar e autenticar o acesso aos 
componentes do sistema 
3. Restringir o acesso físico aos dados do 
titular do cartão 
Monitorar e 
testar as redes 
regularmente 
 
1. Acompanhar e monitorar todos os acessos 
com relação aos recursos da rede e aos 
dados do titular do cartão 
2. Acompanhar e monitorar todos os acessos 
com relação aos recursos da rede e aos 
dados do titular do cartão 
Manter uma 
política de segurança das 
informações 
1. Manter uma política que aborde a 
segurança das informações para todas as 
equipes 
 
Norma ISO 27001 
 
A norma ISO 27001 tem como objetivo oferecer um modelo para que as 
organizações possam estabelecer, implementar, operar , monitorar e analisar 
criticamente um Sistema de Gestão de Segurança da Informação (SGSI). 
 
Fonte: norma 27001 
 
 
 
A primeira a abordar segurança da informação com uma visão sistêmica de 
gestão e não somente como recomendações de instalação de controles de 
segurança isolados. 
Anexos da Norma 27001 
 
A.5 Políticas de segurança da informação: controles sobre como as políticas 
são escritas e revisadas 
A.6 Organização da segurança da informação: controles sobre como as 
responsabilidades são designadas; também inclui os controles para dispositivos 
móveis e trabalho remoto 
A.7 Segurança em recursos humanos: controles para antes da contratação, 
durante e após a contratação 
A.8 Gestão de ativos: controles relacionados ao inventário de ativos e uso 
aceitável, e também para a classificação de informação e manuseio de mídias 
A.9 Controle de acesso: controles para a política de controle de acesso, 
gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e 
responsabilidades dos usuários 
A.10 Criptografia: controles relacionados a gestão de chaves criptográficas 
A.11 Segurança física e do ambiente: controles definindo áreas seguras, 
controles de entrada, proteção contra ameaças, segurança de equipamentos, 
descarte seguro, política de mesa limpa e tela limpa, etc. 
A.12 Segurança nas operações: vários controles relacionados a gestão da 
produção de TI: gestão de mudança, gestão de capacidade, software malicioso, 
cópia de segurança, registro de eventos, monitoramento, instalação, 
vulnerabilidades, etc. 
A.13 Segurança nas comunicações : controles relacionados a segurança 
em rede, segregação, serviços de rede, transferência de informação, 
mensageiria, etc. 
 
 
 
A.14 Aquisição, desenvolvimento e manutenção de sistemas: controles 
definindo requisitos de segurança e segurança em processos de 
desenvolvimento e suporte 
A.15 Relacionamento na cadeia de suprimento: controles sobre o que 
incluir em acordos e como monitorar os fornecedores 
A.16 Gestão de incidentes de segurança da informação: controles para 
reportar eventos e fraquezas, definindo responsabilidades, procedimentos de 
resposta e coleta de evidências 
A.17 Aspectos da segurança da informação na gestão da continuidade do 
negócio: controles requisitando o planejamento da continuidade do 
negócio, procedimentos, verificação e revisão e redundância da TI 
A.18 Conformidade: controles requisitando a identificação de leis e 
regulamentações aplicáveis, proteção da propriedade intelectual, proteção de 
dados pessoais e revisões da segurança da informação. 
Norma ISO 27002 
 
A norma ISO 27002, apresenta um conjunto de melhores práticas a serem 
seguidas pelas organizações. 
Em seu capítulo introdutório, ela apresenta os conceitos básicos sobre 
segurança da informação e como estabelecer os requisitos de segurança nas 
organizações. 
Estes requisitos são identificados por meio de uma análise/avaliação sistemática 
dos riscos de segurança da informação e para a implementação dos controles 
selecionados para a proteção contra os riscos. 
Com os requisitos de segurança e os riscos identificados e as decisões para o 
tratamento dos riscos tomadas, as organizações devem selecionar e 
implementar os controles apropriados para que as organizações possam 
assegurar que os riscos sejam reduzidos a um nível aceitável. 
 
 
 
Esta norma pode ser o ponto de partida para a implementação da segurança da 
informação pelas organizações. Está estruturada em 11 seções: 
a) Política de Segurança da Informação 
b) Organizando a Segurança da Informação 
c) Gestão de ativos 
d) Segurança em recursos Humanos 
e) Segurança Física e do Ambiente 
f) Gestão das Operações e Comunicações 
g) Controle de Acesso 
h) Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação 
i) Gestão de Incidentes de Segurança da Informação 
j) Gestão da continuidade do Negócio 
k) Conformidade 
Compliance 
 
O termo “Compliance” é utilizado para designar o conjunto de atividades 
empresariais, permanentes e independentes, voltadas a: 
a) Propagar a lei, seus princípios e regulamentos internos; 
b) Orientar como essas normas devem ser cumpridas; 
c) Fiscalizar a execução dessas normas; 
d) Promover, internamente, os meios necessários à aplicação de sanções a 
eventuais infratores; tendo por finalidade salvaguardar os ativos 
materiais e imateriais da empresa. 
Podemos concluir então que compliance é o dever de cumprir, estar em 
conformidade e fazer cumprir regulamentos internos e externos impostos às 
atividades da instituição. 
 
 
 
Qual a diferença entre ser compliance e estar compliance? 
Ser compliance é conhecer as normas da organização, seguir os procedimentos 
recomendados, agir em conformidade e sentir quanto é fundamental a ética e a 
idoneidade em todas as nossas atitudes. Enquanto estar em compliance é 
estar em conformidade com leis e regulamentos internos e externos. Desta 
forma o compliance vai além das barreiras legais e regulamentares, 
incorporando princípios de integridade e conduta ética. 
Diferença entre auditoria e compliance 
 
Auditoria 
 
Compliance 
Realiza seus trabalhos de forma 
aleatória e temporal, por meio de 
amostragens, a fim de certificar o 
cumprimento das normas e 
processos instituídos pela Alta 
Administração. 
 Realiza suas atividades de forma 
rotineira e permanente, sendo 
responsável por monitorar e 
assegurar de maneira corporativa e 
tempestiva que as diversas unidades 
da Instituição estejam respeitando as 
regras aplicáveis a cada negócio, por 
meio do cumprimento das normas, 
dos processos internos, da prevenção 
e do controle de riscos envolvidos em 
cada atividade. 
Para que a “Função de Compliance” seja eficaz nas organizações, é necessário 
o comprometimento da Alta Administração e que esta faça parte da cultura 
organizacional, contando com o comprometimento de todos os funcionários. 
Todos são responsáveis por compliance. 
O Compliance Officer é o responsável pela supervisão e gerenciamento do 
compliance da companhia. Tem como missão garantir que todos os 
procedimentos realizados pelos funcionários estão de acordo com os 
regulamentos internos e com as leis externas à empresa. 
 
 
 
É muito comum que seja um profissional formado em Direito, já que suas 
responsabilidades estão diretamente ligadas às questões jurídicas. 
A organização deverá ainda criar normas de conduta, criar um canal sigiloso 
para que os funcionários se sintam seguros de comunicar eventuais desvios e 
dotar a área de compliance de recursos humanos, materiais e tecnológicos paraproceder as investigações. 
 Fazem parte das tarefas do Compliance Officer, a criação e disseminação do 
programa de compliance, para garantir que todos os detalhes que compõem os 
processos de trabalho do dia a dia tenham sido previstos e, portanto, 
orientados em um código de conduta. 
Governança, Risco e Compliance 
 
Integrar as atividades de Governança Corporativa, Gestão de Riscos e 
compliance (GRC) significa entender as exigências dos “stakeholders” de uma 
instituição e de seus investimentos, em termos de desempenho e 
conformidade, e alinhar a instituição e seus investimentos na entrega desses 
objetivos, em retribuição ao apetite pelo risco e à tolerância ao risco da 
instituição. 
 As pessoas, os processos e a tecnologia devem ser desenhados e direcionados 
de tal maneira que o alcance dos objetivos seja mensurado, os riscos sejam 
avaliados e melhorias contínuas sejam realizadas para apoiar a prática da 
Governança Corporativa, a atividade de Gestão de Riscos e a de compliance de 
forma eficaz. 
Desta forma O Governança, Risco e Conformidade é uma proposta única e 
uma área está relacionada à outra na busca pela maior eficiência, transparência 
e melhores resultados para todos envolvidos na empresa. 
Neste sentido será essencial que os envolvidos tenham conhecimento sobre: 
 Os processos internos da organização 
 na área de atuação da empresa 
 
 
 
 as funções exercidas por cada profissional 
 o conhecimento do mercado 
 o conhecimento do desempenho atual (indicadores de desempenho) 
 o conhecimento dos planos futuros (orçamento empresarial e projeções 
financeiras) 
Com uma análise profunda das necessidades e dos riscos da organização, será 
possível traçar objetivos e estratégias que contribuam para uma maior 
eficiência e para melhores resultados. Desta forma é possível mapear o modelo 
operacional interno e adequá-lo aos mecanismos legais e aos objetivos da 
organização.