• Boletim BDO Junho 2022

    Advisory & IT

Advisory & IT

 

SETOR FINANCEIRO: SWIFT Customer Security Programme (CSP)

Customer Security Control Framework (CSCF) – Versão 2022

Recordamos às entidades utilizadoras do protocolo de pagamentos SWIFT que, para o processo de validação do SWIFT CSP com data limite a 31 de dezembro de 22, o respetivo Customer Security Control Framework (CSCF) se encontra atualizado na sua versão v.2022, com os seguintes principais destaques:

  • Validação independente do CSCF, tal como em 2021, é obrigatória, não sendo permitida apenas uma auto-avaliação.
  • Novo controlo facultativo, “1.5A Customer Environment Protection”.
  • Controlo “2.9 Transaction Business Controls” passa a ser obrigatório em vez de facultativo.
  • Extensão dos componentes em âmbito para o controlo “1.2 Operating System Privileged Account Control” que passa a ser aplicável (facultativo) à arquitetura B.
  • Outras alterações: (i) Controlo 2.7: dispositivos de rede passam a integrar o âmbito deste controlo; (ii) Controlo 4.2: Timed One-Time Passwords (TOTP) e “soft tokens” passam a ser adicionados enquanto opões de Multi-Factor Authentication (MFA); (iii) Control 5.1: assegurar responsabilização e rastreabilidade de contas assignadas e delegadas em terceiros. Referência explícita a dispositivos de rede; (iv) Control 5.2: passa a referir-se explicitamente a tokens não conectados; (v) Control 6.4: passa a fornecer orientações gerais para a retenção de logs, em linha com a legislação local; e (vi) Control 7.2: separa o requisito de “annual security awareness” do requisito de “maintaining knowledge over time”.

 

QUANDO

As organizações devem atestar o CSCF v2022 entre julho e dezembro de 2022.Assim, para garantir que os controlos estejam conformidade e prontos para serem validados pelo assessor independente, é de todo desejável que as entidades devam começar esse trabalho agora, evitando percalços e permitindo implementação de remediações até ao final do ano corrente.

 

BENEFÍCIOS

A avaliação de conformidade efetuada por avaliador independente da 1ª linha de defesa, interno e/ou externo, multifacetado e credenciado, aumenta a confiança nas avaliações submetidas e promove a melhoria da segurança das infraestruturas locais de cada organização e consequentemente a segurança geral da comunidade SWIFT.

 

COMO PODEMOS AJUDAR?

Para além do conhecimento profundo das especificidades do SWIFT CSP/CSCF e da SWIFT Independent Assessment Framework, a BDO dispõe de recursos qualificados com certificações internacionalmente reconhecidas, tais como: CISA, CRISC, ISO 27k, ISO 20k, COBIT, ITIL e larga experiência na área Compliance de segurança da informação, cibersegurança e na realização de avaliações com relação a standards e controlos de segurança, auditorias de segurança a sistemas de informação / tecnologias da informação, como uma diversificada experiência no setor financeiro em geral e de acordo com frameworks IT reconhecidos internacionalmente, tais como: PCI DSS, ISO 27001, NIST 800-53, NIST Cybersecurity Framework, ENISA, PSD2, EBA ITC Guidelines, NIS Directive, ISACA, ISF, CIS, SANS, SOX, FINRA, etc.

 

Para mais informação aceda ao seguinte link: BDO Portugal | SWIFT

 

 

 

Quicklinks - Boletim BDO Junho 2022

Notícias BDO | Eventos e Formação | Tax | Incentivos | Auditoria e Contabilidade