SWIFT - Customer Security Programme (CSP)

 

Breve Contextualização


O Swift Customer Security Programme (Swift CSP) foi estabelecido pela Society for Worldwide Interbank Financial Telecommunication (Swift) para apoiar ativamente seus usuários no fortalecimento da cibersegurança de seus ambientes de negócios, sendo crucial para a troca de informações das transações financeiras processadas por meio da infraestrutura Swift à qual estão conectados.


Este programa foi estabelecido em resposta a uma série de incidentes de cibersegurança ocorridos, sendo o mais notório, o ataque de malware ao Banco Central de Bangladesh (2016), que resultou em perdas de aproximadamente US$ 81 milhões.


O programa Customer Security Controls Framework (CSCF) estabelece um conjunto de controles de segurança alinhado com as melhores práticas da indústria e padrões internacionais renomados, como PCI-DSS, ISO 27002 e NIST. A Swift revisa anualmente o CSCF para garantir sua relevância e a contínua segurança de sua infraestrutura e das informações de seus utilizadores. Atualmente, são 32 controles de segurança divididos entre controles obrigatórios e recomendados (25 obrigatórios e 7 recomendados).


Os controles considerados obrigatórios estabelecem uma linha de base de segurança para toda a comunidade e devem ser implementados por todos os usuários da rede Swift.


Os usuários devem atestar anualmente a conformidade de suas infraestruturas com o CSCF (entre julho e 31 de dezembro).


Estrutura do Customer Security Controls Framework – CSCF


A estrutura do CSCF em sua versão atual do framework mantém os controles mandatórios e estão estruturados da seguinte forma:

 

O CSP evoluiu ao longo do tempo e atualmente requer que uma avaliação independente seja realizada anualmente, tendo as seguintes possibilidades:

  • Avaliação externa independente: efetuada por organização externa independente com reputação, experiência e credenciais em serviços e processos de avaliação de cibersegurança, bem como os consultores que realizam o trabalho tenham competências, certificações e experiências relevantes na área.
  • Avaliação interna independente: Realizada por um departamento interno independente do usuário (ex.: segunda ou terceira linha de defesa como compliance, gestão de risco ou auditoria interna), que seja independente da primeira linha de defesa.
  • Avaliação mista: Uma combinação de avaliações internas e externas independentes.

Atualizações recentes no processo de avaliação de conformidade

 

A versão 2025 do CSCF apresenta uma estabilização das expectativas de segurança em relação à versão de 2024, de modo que não houve a inclusão de controles e/ou componentes no escopo. Isso demonstra o alcance de maturidade frente aos incrementos e/ou alterações graduais que incorreram no framework em anos anteriores, estando em linha

aos principais frameworks de segurança da informação e cibersegurança.

 

Essencialmente, o CSCF 2025 foca na estabilização, clarificação de controles existentes e na preparação da comunidade para futuras mudanças mandatórias, especialmente relacionadas à segurança do fluxo de dados do back-office e a inclusão de todos os tipos de endpoints de clientes no escopo.

 

O que pode caracterizar uma não conformidade com o CSCF?

 

  • Falha na submissão anual da atestação, seja em razão da ausência ou submissão tardia por meio da aplicação KYC Security Attestation (KYC-SA);
  • Atestar não conformidade com um ou mais controles de segurança mandatórios estabelecidos no CSCF;
  • Não realizar a avaliação de forma independente obrigatória para suportar a atestação; e
  • Possuir um atestado cujo relatório independente esteja expirado.


O que acontece nos casos de não conformidade com o Swift CSP?

 

As não conformidades em controles de segurança Swift elevam o risco de ciberataques e potencializam o impacto financeiro e reputacional resultante de transações fraudulentas.

 

Adicionalmente:

 

  • A “Swift Customer Security Controls Policy” enfatiza o compromisso da empresa com a segurança e conformidade, garantindo que medidas rigorosas sejam aplicadas. Como parte desse compromisso, a Swift se reserva o direito de informar supervisores e autoridades reguladoras (exemplo: BACEN, CMN, CVM, Anbima) sobre o status de usuários que não cumpram com a política ou outras condições específicas estabelecidas. Isso reforça a seriedade da política e o seu papel na proteção e integridade do ecossistema financeiro global.
  • As autoridades de supervisão contam com acesso em tempo real ao status atualizado de conformidade das entidades supervisionadas, garantindo transparência e agilidade no monitoramento. Adicionalmente, o órgão regulador financeiro da jurisdição de cada usuário pode solicitar o acesso as informações da Declaração Swift CSP, promovendo maior segurança, alinhamento às normas regulatórias locais e confiança no ecossistema financeiro.
  • A Swift se reserva o direito de realizar validações locais e, quando aplicável, revogar o acesso do usuário à rede.
  • As contrapartes que tiverem acesso a informação da atestação (attestation) na plataforma KYC-SA também terão acesso em tempo real ao seu status de conformidade. Cada membro com acesso ao KYC-SA deve consultar o status de conformidade das entidades com as quais se relaciona e integrar essa informação em seus processos de gestão de risco (cibernético, operacional, financeiro e regulatório) e de tomada de decisão no negócio. Pode, ainda, solicitar os dados da avaliação (assessment) submetidos pelos membros com quem troca transações financeiras e avaliar a necessidade de controles compensatórios em seu ambiente de negócios ou de limitação da relação de negócio estabelecida.


Como a BDO pode ajudar?

 

Além do conhecimento profundo das especificidades do Swift CSP/CSCF e do Swift Independent Assessment Framework (Estrutura de Avaliação Independente da Swift), a BDO é uma entidade listada no diretório de Assessores (Avaliadores) da Swift.

 

Dispomos de recursos qualificados com certificações internacionalmente reconhecidas, tais como: CISA, CISSP, ISO 27k, ISO 20k, COBIT, ITIL etc. Temos também larga experiência na área de compliance de segurança da informação, segurança cibernética e na realização de avaliações (assessments) com relação a padrões e controles de segurança, auditorias de segurança de SI/TI. Nossa experiência é diversificada no setor financeiro em geral e está em conformidade com frameworks reconhecidos internacionalmente, como: PCI DSS, ISO 27001, NIST 800-53, NIST Cybersecurity Framework, ENISA, PSD2, EBA ITC Guidelines, NIS Directive, ISACA, ISF, CIS, SANS, SOX, FINRA, etc.


Desde 2021, quando a avaliação independente (assessment) do Swift CSP se tornou obrigatória, a BDO consolidou uma expertise significativa na realização de assessments externos independentes para uma ampla variedade de entidades financeiras, incluindo bancos de diferentes portes. Nossa experiência e profundo conhecimento nos temas de Segurança da Informação e Cibersegurança nos posicionam como parceiros confiáveis para garantir a conformidade, robustez e segurança dentro do rigor exigido pelo programa da Swift.

 

Como sua parceira de confiança, a BDO apoiará você a atingir seus objetivos de forma qualitativa, sendo:

 

  • Como avaliadores, atuamos para agregar valor à sua organização, em vez de apenas cumprir requisitos formais de conformidade. Nossos relatórios detalhados, redigidos em linguagem acessível, identificam as áreas nas quais você deve se concentrar para elevar a maturidade de sua Governança.
  • Como parceiros de implementação, inicialmente, focamos nas áreas de alto risco, para que suas principais lacunas de segurança sejam cobertas. Em seguida, nas áreas de conformidade para garantir que obtenha êxito na avaliação Swift CSP.