DORA – Por que se importar com a disponibilidade de TI, por que apenas no setor financeiro ?

Em janeiro de 2023, a União Europeia publicou mais uma legislação com o potencial de influenciar iniciativas legislativas ao redor do mundo, a exemplo do que ocorreu com o #GDPR (General Data Protection Regulation) em 2016, que anos depois inspirou a #LGPD (lei Geral de Proteção de Dados) no Brasil e outras tantas ao redor do mundo.  O DORA será plenamente aplicável e obrigatório a uma ampla gama de instituições e serviços financeiros até janeiro de 2025, com a previsão de pesadas multas pecuniárias e potenciais medidas restritivas àqueles que não aderirem ou que falharem na aplicação dos princípios. O DORA – Digital Operation Resiliency Act - visa a resiliência operacional de instituições financeiras europeias, reconhecendo a dependência que o setor tem das suas operações de tecnologia e comunicações e determinando medidas que passam por 1) gestão de riscos, 2) comunicação de incidentes; 3) testes de resiliência; 4) gestão de riscos de terceiros; 5) compartilhamento de informações e inteligência sobre riscos cibernéticos. 

A cada novo avanço dos reguladores buscando regrar a ação de empresas em diversos aspectos surgem previsíveis questionamentos sobre as intenções, a oportunidade e a atualidade das regras vis a vis a evolução da tecnologia, da cultura e das práticas da nossa sociedade, além de reflexões sobre o respeito à uma utópica e autorregulação do mercado.  Cada novo regulamento gera novas obrigações, seguidas de novos e maiores custos que inevitavelmente precisarão ser arcados pelas empresas, que os repassarão indubitavelmente, no limite das suas possibilidades, à seus clientes finais Na proposição da GDPR/LGPD, os legisladores reconheceram e buscaram tratar a falta de equilíbrio entre o poder das empresas em colher, armazenar e processar informações sobre os indivíduos e os direitos desses mesmos indivíduos de conhecerem as motivações para essa coleta de dados, de aprovar ou rejeitar sua obtenção e processamento, o direito de conhecer aquilo que deles se sabe e o de solicitar o “esquecimento” ou a exclusão de seus registros de bancos de dados corporativos e comerciais.  Princípios foram documentados para autorizar a coleta de dados e para responsabilizar seus guardiães e processadores nos casos em que os dados sejam utilizados para propósitos diferentes daqueles declarados originalmente ou em que esses dados sejam inadvertida ou propositadamente compartilhados ou “vazados” para fora das estruturas que deveriam protegê-los.  Há quem possa ver excesso de zelo e exagero do Legislador pela preservação da privacidade de gerações que voluntariamente compartilham volumes enormes de informações pessoais sobre suas vidas, hábitos, posses e relacionamentos no oceano de redes sociais que dominam nosso dia a dia.  Também há aqueles que reconhecerão que a assimetria de poder entre empresas e indivíduos e a potencial monetização dos dados individuais exigem a interferência do Estado para tornar o jogo menos voraz.  Na verdade, quem jamais perdeu a paciência com propostas de produtos não solicitados feitas com base em cadastros que nunca deveriam ter sido compartilhados e quem nunca se preocupou com o vazamento de dados pessoais como números de documentos, data de nascimento, endereços, renda, investimentos etc.  O amadurecimento e a aplicação dos princípios da LGPD devem ao longo do tempo, reduzir os incômodos que sofremos em decorrência do uso desautorizado e irresponsável dos nossos dados pessoais.

A questão da disponibilidade das infraestruturas de tecnologia e comunicação de empresas financeiras (ou não) está em um patamar um pouco diferente: poucos serão completamente indiferentes à necessidade de disponibilidade dos seus aplicativos (ou sites) de serviços financeiros e à enorme dependência que esses serviços têm de múltiplos parceiros de comunicação, infraestrutura dedicada ou pública, serviços estatais e privados de identificação, autorização, compensação, informação e proteção.  Mesmo os menos informados, conseguem intuir que as instituições financeiras também têm grande dependência umas das outras e que a saúde geral do sistema depende da observação de princípios e procedimentos comuns de operação e proteção.  A dependência crescente das empresas de seus sistemas de informação, combinada com a complexidade exponencial de mantê-los íntegros, disponíveis e protegidos de ameaças físicas e cibernéticas deveria ser suficiente para justificar a busca da definição de políticas consistentes, coerentes e de adesão mandatória por todos aqueles que integram o ecossistema financeiro nacional, regional e internacional.  Entretanto, entre o que aponta o “Senso Comum” e a realidade da maturidade, consciência e responsabilidade dos entes participantes, podem existir gaps importantes que o legislador europeu despertou para a necessidade de tratar.

A magnitude dos investimentos e dos custos de operação de soluções para a disponibilidade de sistemas de informação e comunicação das grandes corporações, financeiras ou não, pode levar organizações menos maduras, responsáveis ou conscientes a negligenciar suas responsabilidades e colocar em risco todo o sistema integrado.  Uma disponibilidade de 99,95% pode até parecer suficiente para alguém que não seja da área, mas vista sob a ótica inversa, ao longo de um ano, ela significa a indisponibilidade do ambiente durante 263 minutos, ou 4,4h no ano.  Se essa indisponibilidade for uniformemente distribuída ao longo dos 365 dias do ano, talvez possa não causar nenhum grande impacto ou mesmo não ser notada, mas imagine essa “ausência de sistema” concentrada por exemplo em um único dia em que o mercado financeiro estivesse particularmente volátil e os usuários não pudessem fazer transações e acompanharem seus ativos.

Ao repassar a jornada de compra com cartão de crédito abaixo, avalie os riscos de você não concluir a compra, e do varejista ou os outros agentes não serem corretamente remunerados caso algum dos sistemas estejam indisponíveis, os dados percam integridade ou alguém falhe na execução dos processos

• Você (1) seleciona as suas mercadorias e as leva para o checkout no caixa do supermercado
• O caixa do supermercado (2), passa a mercadoria pelo leitor de código de barras (3) e balança (4), consulta as promoções do seu cartão de fidelidade (5)
• O sistema do supermercado (6) se comunica com o “a maquininha de cartão” (7),
• A maquininha se comunica pela rede de celular (8) com uma empresa que processa a autorização.
• A entidade autorizadora (9), precisa de informações do emissor (10) e da bandeira do seu cartão (11) para conhecer as regras de uso e antifraude, os limites, saldos e bloqueios
• Se tudo estiver conforme as regras de negócio, a transação de pagamento é autorizada, a maquininha imprime o comprovante da transação, para posterior conciliação, e se comunica com o sistema da loja (6), fazendo o crédito e liberando a sua compra
• O sistema do caixa, passa a informação para os sistemas de BackOffice (12) sobre os SKUs (itens) vendidos para atualização do estoque da loja e total da rede, eventualmente disparando pedidos de reposição para os respectivos fornecedores (13)
• O caixa registra a venda e o recebimento, credita os pontos no seu programa de fidelidade (5), informa a compra para o sistema de Notas Fiscais do Governo Estadual (14) com o seu CPF
• O sistema de adquirência da maquininha (7) irá gerar um crédito para o varejista, nos prazos contratados por ele com a bandeira e o emissor do cartão de crédito
• A instituição financeira que atende ao varejista (15), consolida todos as transações autorizadas através do mecanismo acima e, periodicamente, credita os valores para o varejista e cada um dos envolvidos (adquirente, emissor, bandeira e autorizador) na transação
• O emissor do seu cartão (10), consolida suas compras e emite sua fatura mensalmente para pagamento.
• Você paga sua fatura no vencimento através da instituição financeira da sua preferência (16)
• Se qualquer um dos envolvidos não seguir os processos operacionais, estiver com o sistema indisponível, se o sistema for corrompido, ou se os dados forem alterados indevidamente e se perderem, quais os riscos de a transação não ser concluída, não ser corretamente reconhecida pelos envolvidos e das partes não serem corretamente cobradas ou remuneradas?

Dos entes acima, 7, 8, 9, 10, 11, 15 e 16 estariam obrigados a observar os requisitos e princípios DORA, se a transação estivesse ocorrendo na comunidade europeia. 

A complexidade técnica, quantidade e dependência dos múltiplos envolvidos, explica porque a nova legislação determina a necessidade de cada um dos envolvidos

• mapear e gerenciar os riscos associados a tecnologia de informação e comunicação
• comunicar os incidentes aos demais envolvidos e à entidade reguladora
• testar os vários componentes de processos e tecnologia da solução
• gerenciar não apenas os riscos internos às instituições, mas aqueles associados aos terceiros envolvidos
• compartilhar as informações e a inteligência sobre os riscos cibernéticos identificados.

Considerando toda a dependência que temos de inúmeros sistemas de informação para os mais diversos aspectos das nossas vidas, desde as transações financeiras, passando pelo atendimento de saúde, a distribuição de água, gás e energia elétrica, os transportes, a segurança pública, as telecomunicações e outros serviços, a dúvida não deveria ser sobre a necessidade de uma legislação sobre a resiliência dos serviços financeiros, e sim porque os legisladores abordaram apenas esse aspecto da nossa segurança.  Considerando o nível de integração entre os sistemas financeiros globais, vale também o questionamento de quando o legislador local perceberá a necessidade e urgência de regulação equivalente.

LEIA MAIS > DORA – safeguarding the resilience of finance (europa.eu)

#DORA #DISPONIBILIDADE #TECNOLOGIADAINFORMACAO #EURO #FINANCAS #SEGURANÇA Board Academy Br