Principais requisitos de conformidade de segurança e regulamentos bancários de 2020

Michael Magrath, 24 de Fevereiro de 2020
Top 2020 Banking Regulations & Security Compliance Requirements

O rápido crescimento da tecnologia e da digitalização no setor financeiro continua a impulsionar novas regulamentações em todo o mundo, e já há muita coisa acontecendo em 2020. Uma onda de regulamentos de privacidade de dados na América do Norte parece provável após a Lei de Privacidade do Consumidor da Califórnia, mas esse é apenas um exemplo. Em todas as regiões, novos regulamentos entram em vigor. 

Abaixo, compilamos os principais regulamentos, leis e normas que afetam as instituições financeiras este ano:

Principais regulamentos de segurança para o setor financeiro

PSD2: Diretiva Serviços de Pagamento 2

Embora os requisitos de banco aberto entrem em vigor em 14 de setembro de 2019, em outubro de 2019, a Autoridade Bancária Europeia publicou um prazo revisado para conformidade com as Normas Técnicas Regulatórias (RTS) sobre autenticação forte de clientes (SCA) e comunicação segura no PSD2.  O novo prazo é agora 31 de dezembro de 2020.  Embora a maioria das autoridades componentes tenha seguido a liderança da EBA, a Autoridade de Conduta Financeira (FCA) do Reino Unido não aplicará a SCA até 14 de março de 2021.  O Banco da França cumpriu o prazo de 31 de dezembro da EBA, mas acrescentou um período de carência de três meses, caso a caso.

Os critérios do PSD2 incluem:

  1. Forte autenticação do cliente : A autenticação deve ser baseada em dois ou mais fatores, incluindo senhas ou PIN, tokens ou dispositivos móveis ou biometria.
  2. Análise de risco de transação : O PSD2 exige o uso de análise de risco de transação para impedir pagamentos fraudulentos.
  3. Ligação dinâmica : O código de autenticação deve ser vinculado dinamicamente ao beneficiário e ao valor nas transações de pagamento.
  4. Segurança de aplicativos móveis : Os provedores de serviços de pagamento devem adotar medidas de segurança para mitigar o risco resultante de dispositivos móveis comprometidos. O PSD2 também exige o uso de contramedidas dedicadas à clonagem de aplicativos móveis em aplicativos, também conhecidas como proteção de replicação.

Canadá - A orientação do Know Your Customer atualizada da FINTRAC permite a integração digital

A integração digital ganhou rapidamente adoção em países de todo o mundo, incluindo Hong Kong, Cingapura e Estados Unidos. As instituições financeiras e os clientes adotaram a integração digital, pois equilibra segurança com a conveniência do usuário e, ao mesmo tempo, cumpre os requisitos regulamentares. 

O Canadá continua a avançar a identidade digital com o desenvolvimento contínuo da Estrutura de Confiança Pan-Canadense (PCTF), liderada pelo Governo do Canadá e pelo Conselho de Identidade e Autenticação Digital do Canadá (DIACC).

Em 14 de novembro de 2019, o Centro de Análise de Transações Financeiras e Relatórios do Canadá (FINTRAC) publicou um atualizar às orientações sobre os requisitos Conheça o seu cliente (KYC), intitulado " Métodos para verificar a identidade de um indivíduo e confirmar a existência de uma corporação ou entidade que não seja uma corporação "

O FINTRAC suporta diferentes tecnologias, incluindo uma entrevista em vídeo ao vivo e o que está se tornando o caminho de escolha onde “um indivíduo pode ser convidado a tirar uma foto 'selfie' usando a câmera em seu telefone celular ou dispositivo eletrônico, e um aplicativo aplicaria a tecnologia de reconhecimento facial para comparar os recursos dessa 'selfie' com a foto no autêntico documento de identificação com foto emitido pelo governo. ”

O FINTRAC enfatiza que “não basta apenas visualizar uma pessoa e seu documento de identificação com foto emitido pelo governo on-line por meio de uma videoconferência ou qualquer outro tipo de aplicativo virtual”. A instituição financeira “deve usar um software ou algum tipo de tecnologia capaz de autenticar o documento de identificação com foto emitido pelo governo. As instituições financeiras também devem verificar se o nome e a imagem correspondem ao da pessoa no documento de identificação com foto emitido pelo governo e autêntico. ”

Canadá - Emendas ao Produto do Crime (Lavagem de Dinheiro) e Lei de Financiamento ao Terrorismo (PCMLTFA)

Publicado pela FINTRAC em julho de 2019, o alterações afetam diretamente as trocas de criptomoedas, que estão fora de muitos regulamentos. 

Todas as trocas de criptomoedas no Canadá, a partir de 1º de junho de 2020, devem se registrar no FINTRAC.  As trocas criptográficas serão classificadas como empresas de serviços monetários (MSBs), que tradicionalmente fornecem serviços de troca de moeda estrangeira e de troca de cheques, além de vendas por ordem de pagamento.

Como as instituições financeiras, as trocas de criptografia deverão ter um responsável pela conformidade, cumprir as políticas Conheça o seu cliente (KYC) e relatar transações suspeitas ao FINTRAC. As trocas de criptografia poderão aproveitar as provisões de integração digital detalhadas acima.

U.S. - Alterações às Regras de Salvaguardas e Privacidade sob a Lei Gramm-Leach-Bliley

Em 2020, espera-se que a Federal Trade Commission anuncie mudanças na Regra de Salvaguardas e na Regra de Privacidade sob a Lei Gramm-Leach-Bliley, que exige que as instituições financeiras expliquem aos seus clientes as políticas e práticas de compartilhamento de informações da organização e proteger dados confidenciais.  

Os regulamentos revisados provavelmente incorporarão o feedback fornecido pelo alterações propostas o FTC anunciado em 2019.

Sob a regra de salvaguardas, os EUA bancos e instituições financeiras devem implementar medidas para manter as informações dos clientes seguras. Além disso, eles também devem tomar medidas para garantir que seus afiliados e provedores de serviços protejam as informações do cliente sob seus cuidados. A regra de privacidade exige que um FI permita que seus clientes optem por não compartilhar suas informações com terceiros depois que o cliente receber uma explicação das práticas de compartilhamento de informações da organização. A proposta exigiria que as instituições financeiras criptografassem todos os dados do cliente, usassem a autenticação multifatorial para acessar esses dados e implementassem controles de acesso adicionais para impedir que usuários não autorizados acessassem as informações do cliente.

Essas mudanças propostas são modeladas de acordo com os regulamentos de segurança cibernética do Departamento de Serviços Financeiros de Nova York que entraram em vigor em 2019. A realidade é que nem todas as instituições financeiras nos EUA estão sujeitas aos regulamentos do NYDFS, portanto, ainda existem lacunas na proteção da privacidade e segurança dos clientes.  No entanto, todas as instituições financeiras nos EUA é governado pela FTC, o que significa que os regulamentos propostos pela FTC eliminarão toda e qualquer lacuna.

União Europeia - Diretiva 5 contra a lavagem de dinheiro (AMLD5)

Em julho de 2018 Diretiva UE 2018/843 , a 5ª versão da Diretiva Anti-Lavagem de Dinheiro da UE (AMLD5) entrou em vigor exigindo que os estados membros da UE transponham a AMLD 5 para a lei nacional até 10 de janeiro de 2020.

Como nas versões anteriores, o AMLD5 se aplica a instituições financeiras, incluindo bancos e empresas de serviços monetários (MSBs), com a mudança significativa sendo que o AMLD5 se aplica a trocas de criptomoedas virtuais (VCEPs) e provedores de carteira de custódia ("CWPs") como "entidades obrigadas" sujeitas regulamentos da UE. 

Os VCEPs e CWPs anteriormente não regulamentados pela diretiva agora devem seguir as mesmas regras que qualquer outra organização de serviços financeiros, que inclui verificações obrigatórias de identidade em novos clientes.

No que se refere à verificação de identidade, o AMLD5 reconhece as tecnologias de identidade digital. 

O item 22 inclui: “A identificação e verificação precisas de dados de pessoas físicas e jurídicas são essenciais para combater a lavagem de dinheiro ou o financiamento do terrorismo. Os últimos desenvolvimentos técnicos na digitalização de transações e pagamentos permitem uma identificação remota ou eletrônica segura. Esses meios de identificação [...] devem ser levados em conta, principalmente no que diz respeito aos esquemas de identificação eletrônica notificados e às formas de garantir o reconhecimento legal transfronteiriço, que oferecem ferramentas seguras de alto nível e fornecem uma referência em relação à qual os métodos de identificação são estabelecidos em nível nacional. pode ser verificado. Além disso, outros processos de identificação remota ou eletrônica segura, regulamentados, reconhecidos, aprovados ou aceitos em nível nacional pela autoridade nacional competente podem ser levados em consideração ”.

O não cumprimento pode levar a penalidades severas, incluindo multas de até € 5 milhões ou 10% do faturamento anual. Para a gerência, indivíduos podem ser proibidos de administrar um negócio regulamentado e a organização pode ser impedida de negociar devido a violações de conformidade.

Conformidade Regulatória

Conformidade Regulatória

Saiba por que os principais bancos do mundo confiam no OneSpan para atender a requisitos complexos de conformidade.

Saiba Mais

Regulamentos de Privacidade e Proteção de Dados

Órgãos governamentais de todo o mundo estão considerando novos regulamentos de privacidade de dados. Muitos desses regulamentos são modelados de acordo com o RGPD da UE e significam maior conscientização sobre questões de privacidade e proteção de dados.

Lei de Privacidade do Consumidor da Califórnia (CCPA)

A CCPA introduz novos direitos de privacidade para os consumidores e forçará as empresas que conduzem negócios na Califórnia a implementar mudanças estruturais em seus programas de privacidade. Modelado após o Regulamento Geral de Proteção de Dados da UE (RGPD), o CCPA entrou em vigor em 1º de janeiro de 2020, com início de execução em 1º de julho de 2020.

O CCPA se aplica a empresas definidas como “uma entidade com fins lucrativos que coleta dados pessoais de 'consumidor' (neste caso, residentes da Califórnia) e atende a pelo menos um dos seguintes:

  1. A empresa compra, recebe, vende ou compartilha anualmente as informações pessoais de 50.000 ou mais consumidores, famílias ou dispositivos.
  2. O negócio tem uma receita bruta anual de mais de US $ 25 milhões.
  3. A empresa obtém 50% ou mais de sua receita anual com a venda de informações pessoais do consumidor. ”

Algumas das principais disposições incluem o direito do consumidor de acessar, excluir e portar informações pessoais. De acordo com a lei, os consumidores podem solicitar acesso, exclusão ou portabilidade das informações pessoais que eles forneceram a uma empresa, até duas vezes em um período de 12 meses. 

Quando se pensa em suas interações digitais com uma empresa, há uma quantidade enorme de dados pessoais. Isso inclui as informações usuais, como nome, endereço para correspondência, telefone, endereço de email, estado civil, religião e raça, mas também inclui informações digitais como seu endereço IP, nome de usuário, senhas, dados de navegação, histórico de compras e autenticadores. A lista de autenticadores inclui ainda biometria, como dados de reconhecimento facial, impressões de voz e impressões digitais. 

Para proteger a privacidade e a segurança dos consumidores, a lei exige que as empresas estabeleçam processos para verificar a identidade e autorização dos consumidores.

Multas por violar a CCPA podem ser íngremes. Violações não intencionais estão sujeitas a uma multa máxima de US $ 2.500, enquanto violações intencionais têm uma multa máxima de US $ 7.500. Para uma empresa multibilionária, esses valores são um tapa leve no pulso. Onde a CCPA tem dentes, o consumidor tem o direito de entrar com ações judiciais. Sob o CCPA, os consumidores podem coletar entre US $ 100 e US $ 750 para cada evento. Nesta era de violações em larga escala, se os danos forem superiores a US $ 750, o consumidor poderá receber ainda mais. Situações como essas podem surgir de casos em que as “informações pessoais não criptografadas ou não editadas” de um cliente são violadas.

Lei Geral de Proteção de Dados (LGPD)

Em julho de 2019, a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709 / 2018) ("LGPD") foi assinada e entrará em vigor em 15 de agosto de 2020.

O LGPD é modelado de acordo com o RGPD da UE e se aplica a qualquer pessoa física ou jurídica (independentemente de onde eles estejam localizados) que ofereça ou forneça bens ou serviços ao Brasil, processe dados no Brasil ou processe dados coletados no Brasil ou pertencentes a indivíduos brasileiros .

O LGPD exige que os controladores e processadores de dados adotem medidas administrativas, técnicas e de segurança destinadas a proteger os dados pessoais contra acesso não autorizado, além de perda, destruição, alteração e comunicação acidentais ou ilegais.   

A Autoridade Nacional de Proteção de Dados (ANPD) supervisionará e aplicará os regulamentos de proteção de dados. Espera-se que a ANPD publique padrões técnicos mínimos em 2020.

Embora ainda não se saiba quais serão os padrões técnicos mínimos, os bancos afetados e outras empresas que atualmente protegem os dados dos clientes com nomes de usuário e senhas estáticos devem elevar suas tecnologias de gerenciamento e autenticação de identidade para incluir a autenticação multifator.   

Lei de Proteção de Dados Pessoais da Tailândia (PDPA)

Em maio de 2019, a Lei de Proteção de Dados Pessoais BE 2562 (2019) foi publicado no diário oficial da Tailândia. A lei inclui um período de carência de 1 ano com cumprimento a partir de 27 de maio de 2020.

O PDPA inclui uma provisão para a criação do Comitê de Proteção de Dados Pessoais (“PDPC”), encarregado de orientar a aplicação e publicação. 

O PDPA foi influenciado por vários conceitos do RGPD, mas também se baseia em conceitos desenvolvidos a partir da perspectiva tailandesa. Não presuma que a conformidade com o GDPR esteja alinhada com a conformidade com o PDPA. Recomendo uma revisão cuidadosa e cuidadosa das diferenças entre essas duas legislações para todas as organizações bancárias internacionais que operam nas duas regiões.

Como o GDPR, o consentimento do consumidor deve ser obtido de maneira fácil de entender e não complexa.

As empresas precisarão solidificar suas políticas e práticas de gerenciamento de dados do cliente, pois o PDPA categoriza os dados do cliente em três categorias: coleta de dados pessoais, uso e divulgação de dados. As empresas precisam obter o consentimento do cliente para cada finalidade.

O PDPA possui aplicabilidade extraterritorial, o que significa que controladores e processadores de dados dentro e fora da Tailândia podem estar sujeitos, afetando muitos bancos globais e regionais e outras instituições financeiras.

Assim como o GDPR e outras leis de proteção de dados, o PDPA inclui severas multas por não conformidade. Isso inclui multas de até 5 milhões de THB por não conformidade administrativa, prisão de até um ano e / ou multas de até 1 milhão de THB) e danos punitivos até o dobro do valor dos danos reais. Além disso, a Tailândia agora permite que os titulares de dados entrem com ações coletivas, o que significa que danos civis sob o PDPA podem ser multiplicados. O diretor da empresa também pode estar sujeito a multas.

Quais são os principais regulamentos, leis e normas que afetam as instituições financeiras em 2020?
  1. PSD2 : Diretiva Serviços de Pagamento 2
  2. Canadá - FINTRAC A orientação Conheça o seu cliente atualizada permite a integração digital
  3. Canadá - Alterações ao Produto do Crime (Lavagem de Dinheiro) e Lei de Financiamento ao Terrorismo ( PCMLTFA )
  4. U.S. - Alterações às Regras de Salvaguardas e Privacidade nos termos do Lei Gramm-Leach-Bliley
  5. União Europeia - Diretiva Anti-Branqueamento de Capitais 5 ( AMLD5 )
  6. Lei de Privacidade do Consumidor da Califórnia ( CCPA )
  7. Lei Geral de Proteção de Dados do Brasil ( LGPD )
  8. Lei de Proteção de Dados Pessoais da Tailândia ( PDPA )

Orientação da Força-Tarefa de Ação Financeira (GAFI) sobre identidade digital

O GAFI estabelece padrões e "promove a implementação efetiva de medidas legais, regulamentares e operacionais para combater a lavagem de dinheiro, o financiamento do terrorismo e outras ameaças relacionadas à integridade do sistema financeiro internacional". Em março de 2020, a Força-Tarefa de Ação Financeira (“GAFI”) divulgou Orientação sobre identidade digital . O Guia visa ajudar instituições financeiras, governos e outras organizações a aplicar uma abordagem baseada em risco ao usar sistemas de identidade digital para diligência devida ao cliente (CDD).

O Guia do GAFI se concentra nos sistemas de identificação digital de ponta a ponta, que abrangem os processos de prova de identidade, registro e autenticação.

Os benefícios potenciais dos sistemas de identidade digital definidos nas diretrizes incluem:

  • Melhore a identificação e verificação do cliente no embarque
  • Apoiar o escrutínio contínuo e a due diligence das transações em todo o relacionamento comercial
  • Facilitar outras medidas de due diligence (CDD) de clientes
  • Monitoramento de transações de ajuda com o objetivo de detectar e relatar transações suspeitas, bem como esforços gerais de gerenciamento de riscos e antifraude.

Com 37 jurisdições (países) e 2 organizações regionais (Conselho de Cooperação do Golfo do Oriente Médio e Comissão Europeia), quando finalizadas, esperamos que muitas jurisdições adotem as orientações de seus respectivos regulamentos para combater fraudes, roubo de identidade, lavagem de dinheiro e financiamento terrorista.

Regulamentos e Oportunidades Bancárias

2020 marca um período de grandes mudanças regulatórias em todo o mundo. Por esse motivo, é imperativo manter-se a par das mudanças regulatórias atuais, bem como das novas propostas discutidas nas jurisdições em que você opera. Eles podem ter um impacto crucial em suas iniciativas de transformação digital.

Saiba mais sobre soluções de segurança e conformidade regulamentar, visitando nossa página o desafio da conformidade .

Michael Magrath é responsável por alinhar o roteiro da solução da OneSpan com os padrões e requisitos regulatórios globalmente. Ele é Presidente do Grupo de Trabalho de Implantação do Governo da Aliança FIDO e faz parte do Conselho de Administração da Associação de Assinatura e Registros Eletrônicos

Conformidade Regulatória

Saiba por que os principais bancos do mundo confiam no OneSpan para atender a requisitos complexos de conformidade. Saiba por que os principais bancos do mundo confiam no OneSpan para atender a requisitos complexos de conformidade.Saiba por que os principais bancos do mundo confiam no OneSpan para atender a requisitos complexos de conformidade.

Saiba Mais