WHITEPAPERS / SERVIçOS FINANCEIROS

DORA, OCC/FFIEC e HIPAA BAA: o que a governança de credenciais de terceiros exige


A violação da Snowflake, ocorrida no mês passado, expôs uma falha fundamental na forma como as empresas de terceirização de processos de negócios (BPO) e os provedores de serviços gerenciados lidam com o acesso de terceiros. Os hackers se infiltraram nos ambientes dos clientes não por meio de sofisticadas explorações de dia zero, mas comprando credenciais roubadas na dark web. O ataque teve sucesso porque os usuários controlavam suas próprias senhas — credenciais que a Snowflake, apesar de utilizar ferramentas de segurança empresarial, não conseguia nem visualizar nem revogar até que o dano já estivesse feito.

Esse incidente cristaliza um desafio regulatório enfrentado pelas empresas de BPO e provedores de serviços gerenciados que operam em múltiplas jurisdições. À medida que a Lei de Resiliência Operacional Digital (DORA) entra em vigor na UE, enquanto as diretrizes do OCC/FFIEC se tornam mais rígidas nos EUA e os Acordos de Associados Comerciais da HIPAA exigem salvaguardas mais fortes, as organizações enfrentam um requisito comum: controle demonstrável sobre as credenciais de acesso de terceiros.

O problema do controle de credenciais em BPO

As empresas de BPO e os provedores de serviços gerenciados operam em uma posição singularmente exposta. Eles precisam de acesso privilegiado a sistemas de clientes que contêm dados regulamentados — registros financeiros, informações de saúde, tecnologia operacional — enquanto permanecem responsáveis perante múltiplas estruturas regulatórias simultaneamente.

As abordagens tradicionais deixam uma lacuna crítica. Quando o funcionário de um provedor de serviços gerenciados cria sua própria senha para acessar o sistema bancário de um cliente, três partes compartilham a responsabilidade, mas nenhuma delas mantém controle completo. O funcionário possui a credencial, o provedor de BPO gerencia a conta, e a instituição financeira é proprietária do sistema. Sob o Artigo 28 da DORA, a diretriz OCC 2013-29 ou o §164.308(b)(1) da HIPAA, esse modelo de controle distribuído não atende às expectativas regulatórias para o gerenciamento de risco de terceiros.

O problema se intensifica em diferentes modelos de prestação de serviços. Um único provedor de BPO pode acessar simultaneamente instituições financeiras da UE (sob a DORA), bancos comunitários dos EUA (sob as diretrizes do FFIEC) e sistemas de saúde (sob a HIPAA), cada um exigindo prova documentada de governança de credenciais que as ferramentas existentes não conseguem fornecer.

A escala do risco de acesso de terceiros

Dados recentes revelam a extensão das violações baseadas em credenciais envolvendo terceiros. O relatório de Custo de uma Violação de Dados de 2024 da IBM constatou que 16% das violações envolveram parceiros de negócios, com um custo médio de US$ 4,88 milhões por incidente. Mais significativamente, o Relatório de Investigações de Violação de Dados de 2024 da Verizon mostrou que 68% das violações envolveram um elemento humano, principalmente por meio de credenciais roubadas.

Para os provedores de BPO, a exposição se multiplica. Pesquisas do Ponemon Institute indicam que as organizações que compartilham dados com mais de 1.000 terceiros — comum entre os principais provedores de BPO — enfrentam custos de violação 51% mais altos que a média. O mesmo estudo constatou que apenas 35% das organizações conseguem identificar todos os terceiros com acesso a dados sensíveis.

A fiscalização regulatória reflete esse risco. O Escritório do Controlador da Moeda emitiu 847 ações de fiscalização em 2023, com o gerenciamento inadequado de risco de terceiros presente em 23% dos casos. Na área da saúde, o Departamento de Saúde e Serviços Humanos relatou que violações envolvendo associados comerciais afetaram 41,4 milhões de indivíduos em 2023, representando 56% de todas as violações de dados de saúde relatadas.

Por que as ferramentas de segurança existentes não são suficientes

Os sistemas de gerenciamento de identidade e acesso (IAM), as plataformas de gerenciamento de acesso privilegiado (PAM), as soluções de single sign-on (SSO), a autenticação multifator (MFA) e as arquiteturas de confiança zero abordam aspectos do controle de acesso. No entanto, a violação da Snowflake demonstra sua limitação coletiva: todas presumem que os usuários criarão e controlarão suas próprias credenciais.

Os sistemas de PAM se destacam no gerenciamento de contas privilegiadas, mas normalmente dependem de cofres de senhas que os usuários acessam com suas próprias credenciais. O SSO reduz a proliferação de senhas, mas ainda exige que os usuários se autentiquem com senhas criadas por eles mesmos. O MFA adiciona camadas de segurança, mas não consegue impedir o comprometimento das credenciais subjacentes que os usuários geram e memorizam.

As estruturas de confiança zero exigem verificação contínua, mas frequentemente implementam isso por meio de ferramentas que, em última análise, dependem de fatores de autenticação controlados pelo usuário. Quando os reguladores exigem que as organizações demonstrem controle sobre o acesso de terceiros, essas soluções não conseguem fornecer a garantia necessária, pois a credencial fundamental — a própria senha — permanece fora do controle organizacional.

Isso cria uma lacuna de conformidade. O Artigo 30 da DORA exige que as entidades financeiras "identifiquem e avaliem o risco de TIC" decorrente de arranjos com terceiros. As diretrizes do OCC exigem que os bancos "entendam e controlem os riscos" provenientes de prestadores de serviços. A HIPAA exige que as entidades cobertas "garantam que qualquer agente ao qual conceda acesso... salvaguardará as informações".

Atender a esses requisitos exige mais do que monitorar ou gerenciar o acesso — exige controlar as próprias credenciais.

A solução estrutural: propriedade organizacional das credenciais

A resposta está em reverter a premissa fundamental sobre a propriedade das credenciais. Em vez de os usuários criarem e controlarem suas próprias senhas, as organizações precisam gerar, distribuir e revogar todas as credenciais usadas para acessar seus sistemas ou os sistemas de seus clientes.

Essa abordagem trata identidade e acesso como conceitos separados. A verificação de identidade confirma quem alguém é; o controle de acesso determina o que essa pessoa pode fazer. Ao manter controle exclusivo sobre as credenciais, as organizações podem fornecer aos reguladores prova demonstrável de que o acesso de terceiros permanece sob gerenciamento direto.

A tecnologia patenteada da MyCena exemplifica essa abordagem. A plataforma gera credenciais criptografadas que as organizações distribuem diretamente para os dispositivos dos usuários, sem que os usuários nunca as vejam ou armazenem. Quando o acesso é necessário, o sistema se autentica automaticamente usando a credencial criptografada. Os usuários não conseguem capturar a tela, copiar ou de outra forma extrair a senha, tornando o phishing impossível e garantindo controle organizacional completo.

Esse modelo aborda diretamente os requisitos regulatórios. Sob a DORA, ele oferece os "mecanismos de autenticação forte" exigidos pelo Artigo 25. Para a conformidade com o OCC/FFIEC, ele fornece os "controles de acesso fortes" exigidos pelas diretrizes existentes. Sob a HIPAA, ele permite que os associados comerciais "implementem procedimentos para se proteger contra... acesso não autorizado", conforme exigido pelo §164.308(b)(1).

Imperativos de implementação para provedores de BPO

As empresas de BPO e os provedores de serviços gerenciados precisam avaliar seus modelos de governança de credenciais em relação aos requisitos regulatórios que estão surgindo. A conformidade com a DORA se torna obrigatória em 17 de janeiro de 2025, enquanto os procedimentos de exame do OCC já incorporam avaliações de gerenciamento de credenciais de terceiros.

A avaliação deve se concentrar no controle, e não no monitoramento. A organização consegue provar que gera todas as credenciais usadas por seus funcionários para acessar sistemas de clientes? Consegue demonstrar capacidades de revogação imediata, independentes da cooperação do usuário? Consegue fornecer trilhas de auditoria mostrando que as credenciais nunca foram expostas aos usuários?

As organizações que não conseguem responder afirmativamente a essas perguntas enfrentam riscos regulatórios e comerciais. Os clientes exigem cada vez mais prova de governança de credenciais como parte do gerenciamento de fornecedores. Os reguladores esperam controles demonstráveis, e não apenas declarações de política.

A solução exige ir além das ferramentas de segurança tradicionais, em direção a plataformas que garantam a propriedade organizacional das credenciais. A implementação técnica importa menos do que o princípio fundamental: em um sistema devidamente governado, os usuários nunca veem, armazenam ou controlam as credenciais que fornecem acesso a sistemas sensíveis.

Essa mudança do gerenciamento de credenciais para a propriedade de credenciais representa a próxima evolução no gerenciamento de risco de terceiros — uma evolução que as estruturas regulatórias exigem cada vez mais e que o cenário de ameaças torna essencial.

MyCena
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.