A ANBIMA divulgou o Guia Técnico de Orientações para Desenvolvimento Seguro de Aplicações (Softwares) (“Guia de Software”), elaborado em conjunto com o Grupo Consultivo de Cibersegurança e com apoio técnico da PwC, que reúne orientações e boas práticas destinadas a equipes de tecnologia, desenvolvimento e segurança da informação das instituições que atuam nos mercados financeiro e de capitais.
Adicionalmente, a Associação divulgou a 4ª edição do Guia de Cibersegurança (“Guia de Cibersegurança”), que reúne orientações para a estruturação e manutenção de programas de segurança cibernética por organizações que atuam nos mercados financeiro e de capitais.
Guia de Software
O principal ponto do Guia de Software é a integração da segurança cibernética desde as fases iniciais dos processos e do desenvolvimento tecnológico, de forma estruturada e contínua. As diretrizes reforçam que a segurança não deve ser tratada apenas como um controle final, mas como um requisito essencial de qualidade, incorporado à governança, às políticas internas e ao ciclo de vida de sistemas e dispositivos. Nesse contexto, o documento consolida recomendações de governança, gestão de riscos, codificação segura e integração da segurança ao longo de todas as fases do ciclo de desenvolvimento (Secure Software Development Life Cycle – “SSDLC”).
Entre os temas abordados, destacam-se:
- Governança e gestão de segurança: definição de políticas, papéis e responsabilidades, auditoria e melhoria contínua;
- Privacidade desde a concepção (Privacy by Design): integração de requisitos de proteção de dados pessoais desde as etapas iniciais do desenvolvimento;
- Gestão de terceiros: exigência de alinhamento contratual e técnico com normas como NIST SSDF, OWASP e ISO/IEC;
- Ciclo de vida seguro: práticas estruturadas para preparação, proteção, produção e resposta a vulnerabilidades;
- Práticas de codificação segura: controle de autenticação, tratamento de erros, criptografia e prevenção contra injeções; e
- Segurança em pipelines CI/CD: validação automatizada de segurança em cada etapa da integração e entrega contínua.
O Guia de Software também faz referência a normas e padrões nacionais incluindo a Resolução CMN nº 4.893/21 (“RCMN 4.893”), a Resolução CVM nº 35/21 (“RCVM 35”) e a Lei nº 13.709/18 (“LGPD”).
Guia de Cibersegurança
O Guia de Cibersegurança reúne orientações para a estruturação e manutenção de programas de segurança cibernética por organizações que atuam nos mercados financeiro e de capitais. O documento aborda o risco cibernético como a possibilidade de perda de confidencialidade, integridade, controle ou disponibilidade de informações e sistemas, com impactos operacionais, financeiros e reputacionais, e destaca que os programas devem abranger colaboradores e terceiros, observando a legislação e a regulação aplicáveis, como a RCMN 4.893, a RCVM 35 e a LGPD.
O Guia de Cibersegurança apresenta as cinco funções essenciais para a implementação de um programa de segurança cibernética:
- Identificação e avaliação de riscos;
- Ações de prevenção e proteção;
- Controle, monitoramento e testes;
- Plano de resposta a incidentes;
- Governança.
Entre os pontos destacados estão a necessidade de inventário e classificação de ativos, adoção de controles de acesso, realização de testes e simulações, estruturação de planos de resposta e definição de responsabilidades e treinamentos.
Por fim, destaca-se que ambos os Guias têm caráter exclusivamente orientativo e não constituem parte da autorregulação da Associação, servindo como uma referência técnica para a implementação de processos e controles de segurança em softwares e programas de segurança cibernética.
