Home > Publicações > Boletins BDO > 2023 > Boletim BDO Setembro 2023 > Advisory & IT
  • Boletim BDO Setembro 2023

    Advisory & IT

Advisory & IT

 

ENTIDADES UTILIZADORAS DO SWIFT: SWIFT Customer Security Programme (CSP)

Customer Security Control Framework (CSCF) – Versão 202, Versão 2024 e Independent Assessment Framework (IAF) v2023

Recordamos às entidades utilizadoras dos serviços de envio e receção de mensagens financeiras SWIFT os seguintes principais destaques:

  • CSCF v2023. Iniciou-se em julho o novo ciclo de validação do SWIFT CSP com data limite a 31 de dezembro de 2023. O respetivo Customer Security Control Framework (CSCF) encontra-se atualizado na sua versão CSCF v2023, que apresenta algumas novidades face ao ano anterior, entre as quais destacamos:
    • Novo controlo obrigatório: o controlo “1.5 Customer Environment Protection” passa a ser obrigatório em vez de facultativo. Este controlo, facultativo em 2022, foi promovido a obrigatório de forma a realinhar a arquitetura A4 com a A3 e proteger todos os conectores que, antes da divisão das arquiteturas, estavam em âmbito sob o controlo 1.1 (SWIFT Environment Protection)
    • Novo componente em âmbito: novo Hardware Security Module (HSM) com PED remoto foi adicionado ao âmbito de vários controlos (1.2, 1.4, 2.1, 2.2, 2.4A, 4.1, 4.2, 6.2), com possíveis implicações para várias entidades.
  • CSCF v2024: Para além do ciclo de validação de 2023, recentemente (julho de 2023) foi publicado o CSCV v2024, que também apresenta algumas novidades face ao CSCF v2023. Destacamos:
    • Novo controlo obrigatório: o controlo “2.8 Outsourced Critical Activity Protection” passa a ser obrigatório em vez de facultativo. A promoção deste controlo a obrigatório vem na sequência do crescimento da utilização da cloud e do outsourcing na comunidade SWIFT.
    • Alterações relevantes no controlo “2.4A Back Office Data Flow, de forma a suportar a sua promoção a controlo obrigatório, de uma forma faseada. Ainda que este controlo se mantenha apenas facultativo em 2024, a SWIFT recomenda que seja já efetuada a identificação destes fluxos de dados em back office e que seja avaliada a sua postura de segurança
       
  • IAF v2023: Saiu recentemente (junho 2023) uma nova versão do Independent Assessment Framework com várias alterações e esclarecimentos face à versão anterior, entre os quais destacamos:
    • Tal como em 2022 a validação independente (interna e/ou externa) do CSCF, tal como em 2022, é obrigatória, não sendo permitida apenas uma auto-avaliação.
    • Clarificação sobre as novas condições para confiança nas conclusões do independente assessment do ano anterior, que é restringido ao cumprimento cumulativo de 5 condições para reliance que devem ser cumpridas por cada controlo em âmbito.
    • Mantém-se os níveis de implicações para os utilizadores que não estejam em conformidade com o SWIFT CSP.

QUANDO

As organizações devem atestar o CSCF v2023 entre julho e dezembro de 2023.

Assim, para garantir que os controlos estejam conformidade e prontos para serem validados pelo assessor independente, é de todo desejável que as entidades devam começar esse trabalho agora, evitando percalços e permitindo implementação de remediações até ao final do ano corrente.

BENEFÍCIOS

A avaliação de conformidade efetuada por avaliador independente da 1ª linha de defesa, externo ou interno, multifacetado e credenciado, aumenta a confiança nas avaliações submetidas e promove a melhoria da segurança das infraestruturas locais de cada organização e consequentemente a segurança geral da comunidade SWIFT.

CONSEQUÊNCIAS NO CASO DE NÃO CONFORMIDADE OU NÃO SUBMISSÃO ATEMPADA

Em primeiro lugar, as não conformidades em controlos SWIFT aumentam o risco de ciberataques e potenciam o impacto financeiro e reputacional resultante de transações fraudulentas. Adicionalmente:

(i) A SWIFT reserva-se o direito a reportar não conformidades com os controlos obrigatórios às autoridades de supervisão e às contrapartes (entidades com quem cada utilizador SWIFT troca mensagens financeiras);

(ii) As autoridades de supervisão, mediante uma aplicação específica, possuem acesso em tempo-real ao estado atualizado de conformidade das entidades supervisionadas; e

(iii) As contrapartes que tenham acesso à sua informação de attestation na plataforma KYC-SA também terão acesso em tempo real ao seu estado de conformidade.

COMO PODEMOS AJUDAR?

Para além do conhecimento profundo das especificidades do SWIFT CSP/CSCF e da SWIFT Independent Assessment Framework, a BDO é uma entidade listada no diretório de Assessors da SWIFT e dispõe de recursos qualificados com certificações internacionalmente reconhecidas, tais como: CISA, PCI-QSA, CRISC, ISO 27k, ISO 20k, COBIT, ITIL e larga experiência na área Compliance de segurança da informação, cibersegurança e na realização de avaliações com relação a standards e controlos de segurança, auditorias de segurança a sistemas de informação / tecnologias da informação, como uma diversificada experiência no setor financeiro em geral e de acordo com frameworks IT reconhecidos internacionalmente, tais como: PCI DSS, ISO 27001, NIST 800-53, NIST Cybersecurity Framework, ENISA, PSD2, EBA ITC Guidelines, NIS Directive, ISACA, ISF, CIS, SANS, SOX, FINRA, etc.

Para mais informação aceda ao seguinte link: BDO Portugal | SWIFT

 

SUSTAINABILITY REPORTING

A BDO emitiu durante o passado mês de agosto a seguinte publicação:

ISRB 2023/04 Q2 2023 Sustainability Report Update (updated til 31 July 2023): A BDO publicou o ISRB 2023/02 Q1 2023 Sustainability Reporting Update, que inclui informações sobre os desenvolvimentos do ISSB (International Sustainabilty Standards Board), a União Europeia e outros Normalizadores, no que respeita ao relato sobre a sustentabilidade e alterações climáticas.

O ISSB emitiu as duas primeiras IFRS Sustainability Disclosure Standards no final do segundo trimestre de 2023 e encontra-se agora focado em apoiar as entidades a implementar estas Normas ao nível de cada um dos países. Por outro lado, a União Europeia adotou o primeiro conjunto de ESRS (Normas Europeias de Relato de Sustentabilidade). As normas revistas incluem, entre outras, atualizações sobre a materialidade e introduziram um conjunto significativo de alívios relativamente à transição.

 

 

 

Quicklinks - Boletim BDO Setembro 2023

Notícias BDO | Incentivos | Auditoria e Contabilidade | Tax 

 

NOTÍCIAS BDO 

INCENTIVOS 

AUDITORIA E CONTABILIDADE

TAX