O que é a Regra de Salvaguardas da FTC?
A Regra de Salvaguardas da FTC é uma norma dos Estados Unidos que obriga instituições financeiras não bancárias a manter um programa formal de segurança da informação para proteger os dados dos clientes. Ela nasceu da lei Gramm-Leach-Bliley e lista, de forma objetiva, o que esse programa precisa ter: um responsável nomeado, avaliação de risco por escrito, autenticação de múltiplos fatores, criptografia e um plano de resposta a incidentes. Aplica-se a qualquer empresa que ofereça produtos ou serviços financeiros a consumidores sob a jurisdição da FTC, esteja ela onde estiver.
Como a Regra de Salvaguardas funciona
A Regra de Salvaguardas não é uma sugestão de boas práticas; é uma exigência com elementos obrigatórios. A Seção 314.4 define nove componentes que o programa de segurança da informação precisa conter, e a empresa responde por mantê-los vivos, não apenas por tê-los no papel.
Nomeie um responsável
O programa precisa de um Qualified Individual, uma pessoa formalmente encarregada de implementar e supervisionar a segurança da informação. Sem dono, o programa não existe de fato.
Avalie o risco por escrito
A empresa documenta onde estão os dados dos clientes e a que ameaças eles estão expostos. É essa avaliação que justifica cada controle adotado.
Implemente os controles exigidos
A norma cita explicitamente autenticação de múltiplos fatores, criptografia dos dados em trânsito e em repouso, controle de acesso e monitoramento. Não são opcionais.
Teste, treine e reporte
O programa precisa ser testado (por teste de invasão ou monitoramento contínuo), a equipe precisa ser treinada, e o responsável reporta ao conselho ou à alta direção pelo menos uma vez por ano.
Fonte: Federal Trade Commission, Regra de Salvaguardas (16 CFR Parte 314), sob a lei Gramm-Leach-Bliley (GLBA).
Como saber se a norma se aplica a você
- Você oferece crédito, empréstimo, financiamento ou parcelamento próprio. 'Instituição financeira' aqui é amplo: não é só banco, e muita empresa nem se dá conta de que se encaixa.
- Você é revenda de automóveis, imobiliária, contabilidade ou consultoria fiscal que lida com dados financeiros de clientes. Todas já foram enquadradas como instituições financeiras não bancárias.
- Você guarda dado pessoal financeiro de consumidor: número de documento, conta, renda, histórico de pagamento. É exatamente o dado que a norma existe para proteger.
- Você atende clientes sob a jurisdição da FTC, mesmo a partir de outro país. A obrigação acompanha o serviço financeiro prestado ao consumidor, não o endereço da sua sede.
Os elementos obrigatórios, agrupados
- Responsabilidade e risco Um Qualified Individual nomeado e uma avaliação de risco escrita e periódica. É a base que orienta todo o resto do programa.
- Controles técnicos Autenticação de múltiplos fatores, criptografia em trânsito e em repouso, controle de acesso e descarte seguro. Os controles que a norma cita pelo nome.
- Vigilância contínua Monitoramento ou teste de invasão para verificar se as defesas funcionam de verdade, e supervisão dos prestadores de serviço que também tocam o dado.
- Resposta e prontidão Um plano de resposta a incidentes escrito e treinamento de segurança para a equipe. Saber o que fazer antes que o incidente aconteça, não durante.
- Prestação de contas Relatório ao conselho ou à alta direção pelo menos uma vez por ano, e a notificação obrigatória ao regulador quando uma violação atinge 500 pessoas ou mais.
O que está em jogo para o negócio
A Regra de Salvaguardas passou a ter dentes. Desde 13 de maio de 2024, uma instituição financeira não bancária precisa notificar o regulador em até 30 dias após descobrir uma violação que afete 500 pessoas ou mais, e essa notificação é pública. Antes disso, um incidente podia ser tratado em silêncio; agora, o mesmo incidente vira registro visível a clientes, parceiros e concorrentes. O programa exigido tem nove elementos obrigatórios, e a fiscalização já aplicou penalidades a empresas que os ignoraram. Some-se a isso o custo de fundo: uma violação de dados ainda custa, em média, $ 4,44 milhões no mundo (IBM, 2025), e o setor financeiro está entre os mais caros de todos. Para muitas empresas que nem se viam como 'instituição financeira', a surpresa é dupla: descobrir que estão no alcance e descobrir que o prazo de adequação já passou.
Como uma empresa se adequa na prática
Adequar-se à Regra de Salvaguardas é montar um programa vivo, não preencher um formulário. O caminho é direto quando se segue a ordem certa:
- Confirme se você está no alcanceAntes de tudo, verifique se a sua atividade se enquadra como instituição financeira sob a FTC. Muita empresa está no alcance sem saber, e essa é a descoberta que mais atrasa a adequação.
- Nomeie o responsável e mapeie o dadoDefina o Qualified Individual e faça o inventário de onde vive o dado do cliente. Sem dono e sem mapa, os controles ficam soltos.
- Ligue os controles que a norma citaAutenticação de múltiplos fatores, criptografia e controle de acesso são exigências nomeadas. Começar por elas resolve boa parte do programa e reduz risco real.
- Escreva o plano de respostaUm incidente com 500 pessoas dispara um prazo de 30 dias. Ter o plano pronto, com papéis definidos, é o que permite cumprir o prazo sem caos.
- Documente e reporte todo anoA evidência de que o programa funciona precisa existir, e o responsável reporta ao conselho anualmente. É o que transforma 'temos segurança' em algo comprovável.
Na prática
Se a sua empresa sofresse hoje um incidente com dados de clientes, você saberia dizer, em 30 dias, exatamente quem foi afetado e o que expor ao regulador? Quando a resposta é 'não temos certeza', o problema não é só o incidente, é o prazo correndo sem um plano.
Como a Zamak apoia a adequação à Regra de Salvaguardas
A Zamak Technologies apoia a adequação à Regra de Salvaguardas ao lado da sua equipe: ajuda a confirmar o alcance, organiza a avaliação de risco, liga os controles que a norma exige e mantém a evidência pronta para o relatório anual, usando uma plataforma de conformidade como um dos roteiros. A governança documenta e comprova a conformidade; ela caminha junto com as defesas técnicas, como autenticação forte e criptografia, que são a camada que efetivamente protege o dado. Um bom ponto de partida é o autodiagnóstico de conformidade, dentro da Governança e Conformidade do Método Zamak.