Pular para o conteúdo
Governança e Conformidade

O que é a Regra de Salvaguardas da FTC?

A Regra de Salvaguardas da FTC é uma norma dos Estados Unidos que obriga instituições financeiras não bancárias a manter um programa formal de segurança da informação para proteger os dados dos clientes. Ela nasceu da lei Gramm-Leach-Bliley e lista, de forma objetiva, o que esse programa precisa ter: um responsável nomeado, avaliação de risco por escrito, autenticação de múltiplos fatores, criptografia e um plano de resposta a incidentes. Aplica-se a qualquer empresa que ofereça produtos ou serviços financeiros a consumidores sob a jurisdição da FTC, esteja ela onde estiver.

Zamak TechnologiesAtualizado em 11 de julho de 2026

Como a Regra de Salvaguardas funciona

A Regra de Salvaguardas não é uma sugestão de boas práticas; é uma exigência com elementos obrigatórios. A Seção 314.4 define nove componentes que o programa de segurança da informação precisa conter, e a empresa responde por mantê-los vivos, não apenas por tê-los no papel.

1

Nomeie um responsável

O programa precisa de um Qualified Individual, uma pessoa formalmente encarregada de implementar e supervisionar a segurança da informação. Sem dono, o programa não existe de fato.

2

Avalie o risco por escrito

A empresa documenta onde estão os dados dos clientes e a que ameaças eles estão expostos. É essa avaliação que justifica cada controle adotado.

3

Implemente os controles exigidos

A norma cita explicitamente autenticação de múltiplos fatores, criptografia dos dados em trânsito e em repouso, controle de acesso e monitoramento. Não são opcionais.

4

Teste, treine e reporte

O programa precisa ser testado (por teste de invasão ou monitoramento contínuo), a equipe precisa ser treinada, e o responsável reporta ao conselho ou à alta direção pelo menos uma vez por ano.

Fonte: Federal Trade Commission, Regra de Salvaguardas (16 CFR Parte 314), sob a lei Gramm-Leach-Bliley (GLBA).

Como saber se a norma se aplica a você

  • Você oferece crédito, empréstimo, financiamento ou parcelamento próprio. 'Instituição financeira' aqui é amplo: não é só banco, e muita empresa nem se dá conta de que se encaixa.
  • Você é revenda de automóveis, imobiliária, contabilidade ou consultoria fiscal que lida com dados financeiros de clientes. Todas já foram enquadradas como instituições financeiras não bancárias.
  • Você guarda dado pessoal financeiro de consumidor: número de documento, conta, renda, histórico de pagamento. É exatamente o dado que a norma existe para proteger.
  • Você atende clientes sob a jurisdição da FTC, mesmo a partir de outro país. A obrigação acompanha o serviço financeiro prestado ao consumidor, não o endereço da sua sede.

Os elementos obrigatórios, agrupados

  • Responsabilidade e risco Um Qualified Individual nomeado e uma avaliação de risco escrita e periódica. É a base que orienta todo o resto do programa.
  • Controles técnicos Autenticação de múltiplos fatores, criptografia em trânsito e em repouso, controle de acesso e descarte seguro. Os controles que a norma cita pelo nome.
  • Vigilância contínua Monitoramento ou teste de invasão para verificar se as defesas funcionam de verdade, e supervisão dos prestadores de serviço que também tocam o dado.
  • Resposta e prontidão Um plano de resposta a incidentes escrito e treinamento de segurança para a equipe. Saber o que fazer antes que o incidente aconteça, não durante.
  • Prestação de contas Relatório ao conselho ou à alta direção pelo menos uma vez por ano, e a notificação obrigatória ao regulador quando uma violação atinge 500 pessoas ou mais.

O que está em jogo para o negócio

9
elementos obrigatórios que o programa de segurança da informação precisa conter (Seção 314.4)
30 dias
prazo máximo para notificar o regulador após descobrir uma violação com 500+ pessoas, em vigor desde maio de 2024
$ 4,44 mi
custo médio global de uma violação de dados, IBM 2025

A Regra de Salvaguardas passou a ter dentes. Desde 13 de maio de 2024, uma instituição financeira não bancária precisa notificar o regulador em até 30 dias após descobrir uma violação que afete 500 pessoas ou mais, e essa notificação é pública. Antes disso, um incidente podia ser tratado em silêncio; agora, o mesmo incidente vira registro visível a clientes, parceiros e concorrentes. O programa exigido tem nove elementos obrigatórios, e a fiscalização já aplicou penalidades a empresas que os ignoraram. Some-se a isso o custo de fundo: uma violação de dados ainda custa, em média, $ 4,44 milhões no mundo (IBM, 2025), e o setor financeiro está entre os mais caros de todos. Para muitas empresas que nem se viam como 'instituição financeira', a surpresa é dupla: descobrir que estão no alcance e descobrir que o prazo de adequação já passou.

Como uma empresa se adequa na prática

Adequar-se à Regra de Salvaguardas é montar um programa vivo, não preencher um formulário. O caminho é direto quando se segue a ordem certa:

  1. Confirme se você está no alcanceAntes de tudo, verifique se a sua atividade se enquadra como instituição financeira sob a FTC. Muita empresa está no alcance sem saber, e essa é a descoberta que mais atrasa a adequação.
  2. Nomeie o responsável e mapeie o dadoDefina o Qualified Individual e faça o inventário de onde vive o dado do cliente. Sem dono e sem mapa, os controles ficam soltos.
  3. Ligue os controles que a norma citaAutenticação de múltiplos fatores, criptografia e controle de acesso são exigências nomeadas. Começar por elas resolve boa parte do programa e reduz risco real.
  4. Escreva o plano de respostaUm incidente com 500 pessoas dispara um prazo de 30 dias. Ter o plano pronto, com papéis definidos, é o que permite cumprir o prazo sem caos.
  5. Documente e reporte todo anoA evidência de que o programa funciona precisa existir, e o responsável reporta ao conselho anualmente. É o que transforma 'temos segurança' em algo comprovável.

Na prática

Se a sua empresa sofresse hoje um incidente com dados de clientes, você saberia dizer, em 30 dias, exatamente quem foi afetado e o que expor ao regulador? Quando a resposta é 'não temos certeza', o problema não é só o incidente, é o prazo correndo sem um plano.

Como a Zamak apoia a adequação à Regra de Salvaguardas

A Zamak Technologies apoia a adequação à Regra de Salvaguardas ao lado da sua equipe: ajuda a confirmar o alcance, organiza a avaliação de risco, liga os controles que a norma exige e mantém a evidência pronta para o relatório anual, usando uma plataforma de conformidade como um dos roteiros. A governança documenta e comprova a conformidade; ela caminha junto com as defesas técnicas, como autenticação forte e criptografia, que são a camada que efetivamente protege o dado. Um bom ponto de partida é o autodiagnóstico de conformidade, dentro da Governança e Conformidade do Método Zamak.

Perguntas frequentes sobre a Regra de Salvaguardas da FTC

Minha empresa não é um banco. A Regra de Salvaguardas se aplica a mim?
Provavelmente pode se aplicar. A norma vale para instituições financeiras não bancárias, e essa definição é ampla: revendas de veículos, imobiliárias, escritórios de contabilidade, financeiras e muitas outras já foram enquadradas. Se você lida com dados financeiros de consumidores, vale confirmar o alcance.
O que é o Qualified Individual?
É a pessoa formalmente nomeada para implementar e supervisionar o programa de segurança da informação da empresa. Não precisa ser um funcionário sênior nem interno, mas precisa existir, ter responsabilidade clara e reportar à direção.
O que mudou em maio de 2024?
Entrou em vigor a exigência de notificar o regulador em até 30 dias após descobrir uma violação que afete 500 pessoas ou mais. Isso tornou público um tipo de incidente que antes podia ser tratado internamente, e elevou o custo de não estar preparado.
A Regra de Salvaguardas exige MFA e criptografia?
Sim. A norma cita explicitamente a autenticação de múltiplos fatores e a criptografia dos dados dos clientes, em trânsito e em repouso, como controles obrigatórios, salvo justificativa formal de um controle equivalente aprovado pelo responsável.
Qual a relação da Regra de Salvaguardas com a GLBA?
A GLBA, a lei Gramm-Leach-Bliley, é a lei que criou a obrigação de proteger dados financeiros de consumidores. A Regra de Salvaguardas é o regulamento da FTC que detalha, na prática, o que o programa de segurança precisa conter para cumprir a lei.
Empresa pequena precisa cumprir tudo?
O alcance de alguns requisitos varia conforme o porte e a quantidade de dados, mas a obrigação de ter um programa existe. Para a maioria das empresas pequenas, faz sentido conduzir a adequação como serviço, sem montar uma estrutura de conformidade própria.