Instrução CVM Nº 612 DE 21/08/2019


 Publicado no DOU em 22 ago 2019


Altera, acrescenta e revoga dispositivos à Instrução CVM nº 505, de 27 de setembro de 2011 , e revoga a Instrução CVM nº 380, de 23 de dezembro de 2002 .


Gestor de Documentos Fiscais

(Revogado pela Resolução CVM Nº 35 DE 26/05/2021, com efetos a partir de 01/07/2021):

O Presidente da Comissão de Valores Mobiliários - CVM torna público que o Colegiado, em reunião realizada em 31 de julho de 2019, com fundamento no disposto no art. 18 , inciso II, alíneas "a" e "c" da Lei nº 6.385, de 7 de dezembro de 1976 , aprovou a seguinte Instrução:

Art. 1º Os arts. 1º , 3º a 5º , 12 a 18 , 20 , 21 , 24 , 25 , 27 , 28 , 31 a 36 e 38 , os títulos das subseções que antecedem os arts. 14 e 15 e o título do capítulo e da seção que antecedem o art. 24 da Instrução CVM nº 505, de 27 de setembro de 2011 , passam a vigorar com a seguinte redação:

" Art. 1º .....

.....

II - REVOGADO.

.....

V - ordem: ato prévio pelo qual o cliente determina que um intermediário negocie ou registre operação com valor mobiliário, nos termos do art. 12, em seu nome e nas condições que especificar;

VI - .....

a) administradores, funcionários, operadores e demais prepostos do intermediário que desempenhem atividades de intermediação ou de suporte operacional;

.....

VII - oferta: ato pelo qual o intermediário manifesta a intenção de realizar um negócio com valor mobiliário, para si, para seus clientes ou outras pessoas com quem mantenha relação contratual, registrando os termos e condições necessários no sistema de negociação de entidade administradora de mercados organizados;

VIII - sistema de conta-corrente: sistema para registro das movimentações financeiras dos clientes junto ao intermediário;

IX - entidade autorreguladora: entidade responsável pela autorregulação dos mercados organizados de que trata a regulamentação que disciplina os mercados regulamentados de valores mobiliários;

X - órgãos de administração do intermediário: órgãos assim definidos no seu estatuto ou contrato social;

XI - diretor responsável pelo cumprimento das normas estabelecidas por esta Instrução: diretor estatutário responsável pelo previsto no inciso I do art. 4º;

XII - diretor de controles internos: diretor estatutário responsável pelas atividades previstas no inciso II do art. 4º;

XIII - planos de continuidade de negócios: planos escritos de ação que definem os procedimentos e sistemas necessários para dar continuidade ou restaurar a operação do intermediário em caso de interrupção de processos críticos de negócios;

XIV - processos críticos de negócio: processos e atividades operacionais cuja interrupção ou indisponibilidade não programados podem provocar impacto negativo significativo nos negócios do intermediário, observado o disposto no § 1º do art. 35-A;

XV - sistemas críticos: termo definido no art. 35-B;

XVI - incidente relevante de segurança cibernética: incidente que afete processos críticos de negócios, ou dados ou informações sensíveis, e tenha impacto significativo sobre os clientes;

XVII - serviços relevantes: serviços relacionados aos processos críticos de negócio a que se refere o art. 35-A; e

XVIII - dado ou informação sensível: dado ou informação assim classificado pelo intermediário, observado o disposto no parágrafo único do art. 35-E.

Parágrafo único. As referências desta Instrução ao termo cliente contemplam os atos provenientes de seu procurador, representante legal ou pessoa por ele autorizada, conforme seu cadastro." (NR)

" Art. 3º .....

§ 1º .....

.....

III - estar disponíveis para consulta das pessoas mencionadas no art. 1º, inciso VI, alíneas "a" a "c", da CVM, das entidades administradoras dos mercados organizados em que o intermediário seja autorizado a operar e da entidade autorreguladora, se for o caso.

.....

§ 4º Sem prejuízo da responsabilidade dos diretores referidos nos incisos I e II do caput do art. 4º, cabe aos órgãos de administração dos intermediários:

I - aprovar as regras e procedimentos de que trata o caput; e

II - supervisionar o cumprimento e efetividade dos procedimentos e controles internos de que trata o caput." (NR)

" Art. 4º .....

.....

§ 3º-A Sem prejuízo do disposto no inciso II do caput e no § 2º deste artigo, o intermediário pode atribuir a um diretor específico a responsabilidade pelo cumprimento das obrigações previstas nos Capítulos VIII -A e VIII -B desta Instrução, desde que:

I - o desempenho das funções acumuladas pelo diretor não enseje conflito de interesses; e

II - a responsabilidade atribuída a cada diretor conste da política de segurança da informação prevista no art. 35-D.

.....

§ 5º O diretor de controles internos deve encaminhar relatório aos órgãos de administração do intermediário, até o último dia útil do mês de abril de cada ano, contendo, no mínimo:

I - descrição detalhada e atualizada:

a) dos controles internos implantados, informando os tipos de controles existentes e as atividades e operações abrangidas;

b) da metodologia aplicada para a escolha e realização dos exames, indicando, por exemplo, mecanismos de monitoramento, parâmetros utilizados para verificação de anormalidades ou falhas, bem como critérios estabelecidos para a seleção de amostras; e


c) dos procedimentos realizados para análise das deficiências encontradas;II - detalhamento dos testes realizados e das conclusões obtidas quanto à eficiência e eficácia dos controles internos para garantir o cumprimento do disposto nos Capítulos III a IX desta Instrução envolvendo:

a) as atividades de cadastro de clientes, transmissão e execução de ordens, especificação de comitentes, operações com pessoas vinculadas, repasse de operações, pagamento e recebimento de valores, normas de conduta e manutenção de arquivos, abrangendo tanto a atuação do intermediário no mercado de bolsa quanto no mercado de balcão organizado; e

b) monitoramento da infraestrutura de tecnologia da informação, previsto nos Capítulos VIII -A e VIII -B, com destaque para o programa de segurança cibernética de que trata o art. 35-H;

III - recomendações quanto às eventuais deficiências que tenham sido identificadas no exercício de referência do relatório pelo intermediário, pela CVM, pela entidade administradora do mercado em que esteja autorizado a operar e pela entidade autorreguladora, com o estabelecimento de planos de ação e de cronogramas de saneamento para correção, quando for o caso;

IV - avaliação de riscos para o intermediário em relação aos seus controles internos e quanto à sua vulnerabilidade a ataques cibernéticos; e

V - manifestação do diretor responsável pelo cumprimento das normas estabelecidas por esta Instrução a respeito das deficiências encontradas, contendo, no mínimo:

a) em relação a cada uma das deficiências que tenham sido identificadas no exercício anterior, incluindo as identificadas pela CVM, pela entidade administradora do mercado em que esteja autorizado a operar

e pela entidade autorreguladora, informação sobre o andamento ou sobre a eventual conclusão das ações planejadas para saná-las;

b) em relação às deficiências apontadas nos relatórios anteriores, informar se os cronogramas de saneamento foram implementados e o resultado das ações adotadas para sanar as deficiências;

c) avaliação fundamentada sobre a evolução do intermediário no cumprimento das exigências desta Instrução durante o período de competência do relatório; e

d) avaliação sobre a adequação do plano de continuidade de negócios, indicando as necessidades de aperfeiçoamento, quando necessário.

§ 6º Todas as atividades mencionadas no inciso II do § 5º devem constar no relatório anual, ainda que não sejam aplicáveis aos processos internos do intermediário, sejam de pequena relevância ou ofereçam baixo risco no contexto das atividades do intermediário, devendo ser apenas apresentado o motivo que justifica a ausência de menção às conclusões dos testes realizados nesses casos.

§ 7º Caso o intermediário tenha atribuído a responsabilidade pelo cumprimento das obrigações previstas nos Capítulos VIII -A e VIII -B desta Instrução a diretor específico, na forma do § 3º-A, o relatório de que trata o § 5º deverá incluir também sua manifestação nos termos das alíneas "a", "b", "c" e "d" do inciso V do § 5º do art. 4º.

§ 8º O relatório de que trata o § 5º deve ficar disponível na sede do intermediário para consulta da CVM, da entidade administradora do mercado em que esteja autorizado a operar e da entidade autorreguladora, se for o caso, não sendo necessário seu envio, exceto quando solicitado pela CVM e pelas entidades mencionadas neste parágrafo." (NR)

" Art. 5º .....

.....

§ 3º REVOGADO.

§ 4º Os intermediários devem identificar as pessoas autorizadas a emitir ordens em nome de mais de um comitente e informar às entidades administradoras de mercado organizado nas quais operem nos termos e padrões por elas estabelecidos."(NR)

" Art. 12 . O intermediário somente pode executar negócio ou registrar operação com valores mobiliários para um cliente mediante sua ordem prévia, e nas condições estabelecidas, ressalvadas as exceções previstas em Lei ou nas normas editadas pela CVM e pela entidade administradora de mercado organizado em que o intermediário seja autorizado a operar.

§ 1º A ordem pode ser transmitida:

I - por telefone ou outros sistemas de transmissão de voz;

II - por escrito, incluindo as ordens recebidas presencialmente, por correio eletrônico ou por outros sistemas de mensagens eletrônicas; ou

III - por sistemas eletrônicos de negociação de acesso direto ao mercado (direct market access - DMA).

§ 2º Todas as ordens devem ser registradas, identificando-se o horário do seu recebimento, o cliente que as tenha emitido e as condições para a sua execução.

§ 3º O cadastro do cliente deve identificar as formas de transmissão de ordens autorizadas pelo cliente.

§ 4º O intermediário deve identificar e registrar o emissor da ordem, seja ela transmitida pelo cliente, por seu procurador, representante legal, ou por pessoa autorizada pelo cliente, por ocasião de sua transmissão nos termos dos incisos I e II do § 1º deste artigo."(NR)

" Art. 13 . .....

Parágrafo único. Sem prejuízo de outros procedimentos e controles adotados em função do art. 35-F, o intermediário deve possuir procedimentos específicos de arquivamento dos registros de dados e de voz relativos às ordens transmitidas que garantam:

I - a confidencialidade, autenticidade, integridade e disponibilidade das informações;

II - o atendimento ao disposto no parágrafo único do art. 5º-A; e

III - a manutenção de cópias de segurança em ambiente distinto do destinado ao armazenamento das informações a que se refere o caput, em condições seguras de armazenamento, acesso e preservação."(NR)

"Subseção I Gravação de Ordens

Art. 14 . O intermediário que atue em mercado organizado deve manter sistema de gravação de todos os diálogos mantidos com seus clientes, inclusive por intermédio de prepostos, de forma a gravar as ordens transmitidas por telefone ou outros sistemas de transmissão de voz.

..... "(NR)

"Subseção III Ordens Transmitidas por Sistemas de Negociação de Acesso Direto ao Mercado

Art. 15 . O intermediário pode receber ordens de seus clientes por meio de sistemas eletrônicos de negociação de acesso direto ao mercado de acordo com as condições e regras estabelecidas pelas entidades administradoras de mercados organizados.

§ 1º O intermediário que receba ordens de seus clientes nas condições previstas no caput deve:

I - adotar procedimentos para buscar a identificação da origem das ordens e assegurar o rastreamento de seu emissor; e

II - manter sistema de controle de gerenciamento de riscos pré-operacionais, incluindo o estabelecimento e monitoramento de limites operacionais e parâmetros para identificar transmissão de ordens decorrente de erro.

§ 2º Os sistemas de controles de gerenciamento de risco devem permitir o monitoramento, o controle e a adoção de medidas visando adequar as ordens que excedam os limites operacionais estabelecidos pelo intermediário para cada cliente."(NR)

" Art. 16 . O intermediário e o administrador de carteira não residentes somente podem ser usuários de terminais de sistemas eletrônicos de negociação de acesso direto ao mercado se atenderem aos seguintes requisitos:

..... "(NR)

" Art. 17 . As entidades administradoras de mercados organizados devem adotar regulamento sobre o funcionamento dos sistemas eletrônicos de negociação de acesso direto ao mercado.

.....

§ 2º Nas regras de que trata o caput, as entidades administradoras de mercado organizado devem estabelecer que os intermediários que não sejam pessoas autorizadas a operar se submetam, por meio de disposição contratual expressa, ao seu poder de autorregulação, em relação às regras sobre a utilização de sistemas eletrônicos de negociação de acesso direto ao mercado."(NR)

" Art. 18 . As operações decorrentes de ordens transmitidas por meio de sistemas eletrônicos de negociação de acesso direto ao mercado devem ser supervisionadas pelas entidades administradoras de mercado organizado e pela entidade autorreguladora nos termos da regulamentação específica.

Parágrafo único. A entidade autorreguladora deve incluir as operações de que trata o caput no seu programa de trabalho."(NR)

" Art. 20 . .....

.....

§ 4º As regras de que trata o caput e suas alterações devem ser previamente informadas aos clientes e estar disponíveis na página do intermediário na rede mundial de computadores, nos aplicativos e em outras interfaces oferecidas a seus clientes, em local de fácil acesso."(NR)

" Art. 21 . O intermediário deve arquivar na entidade administradora do mercado em que esteja autorizado a operar e na entidade autorreguladora as regras de que trata o art. 20, bem como eventuais alterações de tais regras, previamente à entrada em vigor, na forma e nos prazos estabelecidos por essas entidades.

..... "(NR)

"CAPÍTULO V PESSOAS VINCULADAS"(NR)

Seção I Revogado.

Art. 24 . REVOGADO

" Art. 25 . .....

§ 1º .....

.....

II - às pessoas vinculadas ao intermediário, em relação às operações em mercado organizado em que o intermediário não seja pessoa autorizada a operar;

III - às pessoas vinculadas ao intermediário, em relação às operações em que o intermediário não participe da distribuição dos valores mobiliários ofertados publicamente; e

IV - às negociações intermediadas por instituição contratualmente obrigada a prestar informações ao intermediário sobre operações efetuadas por pessoas vinculadas, e que detenha autorização expressa das pessoas vinculadas para tal fornecimento de informações.

....." (NR)

" Art. 27 . O pagamento, a qualquer título, de valores a intermediários por clientes deve ser feito por meio de transferência bancária, arranjo de pagamento autorizado pelo Banco Central do Brasil ou cheque de titularidade do cliente." (NR)

" Art. 28 . O pagamento de valores a clientes por intermediários deve ser feito por meio de transferência bancária, arranjo de pagamento autorizado pelo Banco Central do Brasil ou cheque de titularidade do intermediário.

....." (NR)

" Art. 31 . .....

Parágrafo único.....

.....

III - estabelecer mecanismos para informar ao cliente que o intermediário e as pessoas a ele vinculadas estão agindo em conflito de interesses e as fontes desse conflito, antes de efetuar uma operação."(NR)

" Art. 32 . .....

.....

III - manter sistema de conta-corrente para registro de todas as movimentações financeiras de seus clientes;

IV - informar à CVM sempre que verifique a ocorrência ou indícios de violação da legislação que incumba à CVM fiscalizar, no prazo máximo de 5 (cinco) dias úteis da ocorrência ou identificação, sem prejuízo da comunicação às entidades administradoras dos mercados organizados em que seja autorizado a operar ou à entidade autorreguladora, mantendo registro das evidências encontradas;

.....

VII - diferenciar nas notas de corretagem, faturas e avisos de lançamento enviados aos clientes, os valores decorrentes de corretagem daqueles relativos a outros serviços prestados pelo intermediário e das taxas e emolumentos cobrados pelas entidades administradoras de mercado organizado ou por outros terceiros, se for o caso;

VIII - suprir seus clientes com informações e documentos relativos aos negócios realizados na forma e prazos estabelecidos em suas regras internas;

IX - monitorar continuamente as operações por ele intermediadas, de maneira a identificar as que visem proporcionar vantagem indevida ou lucro para uma das partes, ou causar dano a terceiros, conforme regulação específica;

X - garantir a implementação do plano de continuidade e da política de segurança da informação, nos termos dos Capítulos VIII -A e VIII -B;

XI - manter controle da identificação das pessoas que tenham acesso aos seus fóruns de comunicação digital; e

XII - colocar em sua página na rede mundial de computadores, aplicativos ou outras formas de interação com o cliente um atalho para a página da CVM na rede mundial de computadores e aviso em destaque, com o seguinte conteúdo: "Toda transmissão de ordem por meio digital está sujeita a interrupções ou atrasos, podendo impedir ou prejudicar o envio de ordens ou a recepção de informações atualizadas".

§ 1º A estrutura de tecnologia da informação deve ser compatível com o volume, natureza e complexidade de suas operações, de forma a preservar o atendimento aos clientes inclusive em períodos de picos de demanda.

§ 2º O disposto no § 1º também se aplica aos sistemas eletrônicos de negociação de acesso direto ao mercado e a outras interfaces disponibilizadas a clientes.

§ 3º Os sistemas tecnológicos utilizados pelo intermediário devem:

I - ser passíveis de auditoria; e

II - submetidos a testes em periodicidade adequada, fixada na política de que trata o art. 35-D, para verificar o seu funcionamento em cenários de estresse."(NR)

" Art. 33 . O intermediário deve divulgar, em sua página na rede mundial de computadores, antes do início de suas operações, as regras internas elaboradas para o cumprimento desta Seção e suas alterações, exceto no que diz respeito aos planos previstos nos arts. 35-A e 35-H."(NR)

" Art. 34 . Os intermediários devem manter as regras internas adotadas para o cumprimento do disposto nesta Seção e no Capítulo II e suas alterações à disposição da entidade administradora de mercado organizado em que estejam autorizados a operar e da entidade autorreguladora.

§ 1º Cabe à entidade administradora de mercado organizado em que o intermediário estiver autorizado a operar e à entidade autorreguladora definir o conteúdo mínimo das regras internas adotadas por cada intermediário e fiscalizá-las."

....." (NR)

" Art. 35 . .....

.....

VI - cobrar dos clientes corretagem ou qualquer outra comissão referente a negociações com valores mobiliários durante o período de sua distribuição pública, com exceção de negociação em mercados organizados com valores mobiliários já negociados em tal mercado e desde que o cliente seja devidamente informado sobre a distribuição pública em curso;

VII - manter vínculo empregatício ou contrato de prestação de serviço com analistas, agentes autônomos, consultores ou gestores de valores mobiliários que não estejam expressamente autorizados pela CVM para o exercício dessas atividades, devendo promover o fim do vínculo empregatício ou contratual tão logo tome conhecimento do descredenciamento das referidas pessoas;

VIII - executar transferências de recursos entre contas-correntes de clientes de titularidade diferente, ressalvadas as exceções previstas em Lei ou nas normas editadas pela CVM e pela entidade administradora de mercado organizado em que o intermediário seja autorizado a operar;

IX - realizar movimentações financeiras ou transferências de custódia sem que esteja autorizado pelo cliente, ressalvadas as exceções previstas em Lei ou nas normas editadas pela CVM e pela entidade administradora de mercado organizado em que o intermediário seja autorizado a operar;

X - permitir a presença de clientes, em qualquer hipótese, no ambiente da mesa de operações; e

XI - aplicar, na constituição e operação de sua carteira, recursos de clientes.

Parágrafo único. A vedação de aceitação e execução de ordem de clientes que estejam com cadastro desatualizado não se aplica nos casos de pedidos de encerramento de conta, ou de alienação ou resgate de valores mobiliários." (NR)

" Art. 36 . Os intermediários devem manter, pelo prazo mínimo de 5 (cinco) anos contados do recebimento ou da geração pelo intermediário, ou por prazo superior por determinação expressa da CVM, todos os documentos e informações exigidos por esta Instrução, bem como toda a correspondência, interna e externa, todos os papéis de trabalho, relatórios e pareceres relacionados com o exercício de suas funções, sejam eles físicos ou eletrônicos, assim como a íntegra das gravações referidas no art. 14, as trilhas de auditoria referidas no art. 5º-A e no inciso II do parágrafo único do art. 13, e os registros das origens das ordens referidos no inciso I do § 1º do art. 15.

§ 1º As imagens digitalizadas são admitidas em substituição aos documentos originais, desde que o processo seja realizado de acordo com a Lei nº 12.682, de 9 de julho de 2012 , que dispõe sobre a elaboração e o arquivamento de documentos públicos e privados em meios eletromagnéticos.

§ 2º O documento de origem pode ser descartado após sua digitalização, exceto se apresentar danos materiais que prejudiquem sua legibilidade."(NR)

" Art. 38 . Considera-se infração grave, para efeito do disposto no § 3º do art. 11 da Lei nº 6.385, de 1976 , a infração às normas contidas nos arts. 2º a 5º; 12 a 14; 19 a 23; 29 a 32; 35, 35-A a 35-I e 36."(NR)

Art. 2 º A Instrução CVM nº 505, de 2011 , passa a vigorar acrescida dos artigos 5º-A , 14-A , e dos Capítulos VIII -A e VIII -B, com a seguinte redação:

" Art. 5º-A . O cadastro de clientes mantido pelo intermediário deve permitir a identificação da data e do conteúdo de todas as alterações e atualizações realizadas.

Parágrafo único. Sem prejuízo de outros procedimentos e controles adotados em função do art. 35-B, o intermediário deve garantir que os sistemas eletrônicos de cadastro contenham trilhas de auditoria íntegras e suficientes para assegurar o rastreamento das inclusões, alterações e exclusões, e que permitam identificar, no mínimo:

I - o usuário responsável;

II - a data e horário da ocorrência do evento; e

III - se o evento se trata de inclusão, alteração ou exclusão."(NR)

" Art. 14-A . A ordem recebida presencialmente deve ser documentada, em meio físico ou digital, previamente à sua execução, contendo, no mínimo:

I - data e horário de recebimento;

II - assinatura do cliente;

III - identificação de quem a recebeu;

IV - natureza e tipo de ordem, conforme previsto na regulamentação da entidade administradora de mercado organizado;

V - prazo de validade da ordem; e

VI - descrição do valor mobiliário, das quantidades e, se for o caso, dos preços."(NR)

"CAPÍTULO VIII-A PLANO DE CONTINUIDADE DE NEGÓCIOS

Seção I Regras Gerais

Art. 35-A . O intermediário deve implementar e manter:

I - processo de análise de impacto de negócios de forma a:

a) identificar e classificar os processos críticos de negócio; e

b) avaliar os potenciais efeitos da interrupção dos processos críticos de negócio sobre suas atividades; e

II - planos de continuidade de negócios que estabeleçam procedimentos e prazos estimados para reinício e recuperação das atividades em caso de interrupção dos processos críticos de negócio, bem como ações de comunicação internas e externas necessárias e os casos em que a comunicação deve se estender aos clientes e às entidades administradoras de mercado organizado em que sejam autorizados a operar.

§ 1º Além de outros processos considerados críticos pelo intermediário nos termos do inciso I, os planos de continuidade de negócios devem abranger, no mínimo, os seguintes processos, caso aplicáveis ao intermediário:

I - recepção e execução de ordens, com o objetivo de preservar o atendimento aos clientes;

II - liquidação junto às entidades administradoras de mercados organizados;

III - liquidação de seus clientes; e

IV - conciliação e atualização das posições de seus clientes.

§ 2º O intermediário deve:

I - revisar e realizar testes para monitorar a eficiência e eficácia de seus planos de continuidade de negócios em periodicidade adequada, não superior a um ano; e

II - revisar e alterar seus planos de continuidade de negócios sempre que necessário, tendo em vista, por exemplo, a ocorrência de alteração relevante na localização e na estrutura de suas operações, ou nas atividades desempenhadas.

§ 3º O resultado do teste e da revisão de que trata o § 2º juntamente com a indicação dos pontos de aperfeiçoamento necessários devem ser reportados aos órgãos da administração.

§ 4º Qualquer evento que tenha provocado o acionamento de plano de continuidade de negócios deve ser reportado aos órgãos de administração e à Superintendência de Relações com o Mercado e Intermediários (SMI) pelo intermediário tempestivamente.

§ 5º A comunicação de que trata o § 4º deve incluir:

I - causas do acionamento do plano de continuidade de negócios, indicando os processos críticos afetados;

II - medidas já adotadas pelo intermediário ou as que pretende adotar;

III - tempo consumido na solução do evento ou prazo esperado para que isso ocorra; e

IV - qualquer outra informação considerada importante.

Seção II Sistemas Críticos

Art. 35-B . Sistemas críticos são todos computadores, redes e sistemas eletrônicos e tecnológicos que se vinculam aos processos críticos de negócios e que diretamente executam ou indiretamente fornecem suporte a funcionalidades cujo mau funcionamento ou indisponibilidade pode provocar impacto significativo nos negócios do intermediário.

Art. 35-C . O intermediário deve:

I - desenvolver e implementar políticas e práticas visando garantir a integridade, a segurança e a disponibilidade de seus sistemas críticos; e

II - estabelecer diretrizes para a avaliação da relevância dos incidentes.

§ 1º O intermediário deve, tempestivamente, comunicar à SMI e aos órgãos de administração a ocorrência de incidentes relevantes que afetem seus sistemas críticos e tenham impacto significativo sobre os clientes.

§ 2º A comunicação de que trata o § 1º deste artigo deve incluir:

I - a descrição do incidente, indicando de que forma os clientes foram afetados;

II - avaliação sobre o número de clientes potencialmente afetados;

III - medidas já adotadas pelo intermediário ou as que pretende adotar;

IV - tempo consumido na solução do evento ou prazo esperado para que isso ocorra; e

V - qualquer outra informação considerada importante."(NR)

"CAPÍTULO VIII-B SEGURANÇA DA INFORMAÇÃO

Seção I Abrangência

Art. 35-D . O intermediário deve desenvolver política de segurança da informação abrangendo:

I - o tratamento e controle de dados de clientes;

II - a segurança cibernética;

III - as diretrizes para a avaliação da relevância dos incidentes de segurança, incluindo segurança cibernética, e sobre as situações em que clientes afetados devem ser comunicados; e

IV - a contratação de serviços relevantes prestados por terceiros.

§ 1º Admite-se, no caso de conglomerados financeiros, a adoção de uma única política a que se refere o caput, desde que as instituições que não constituírem política própria formalizem essa opção em reunião de seu conselho de administração ou de sua diretoria.

§ 2º A política de segurança da informação deve:

I - ser compatível com:

a) o porte, o perfil de risco e o modelo de negócio do intermediário;

b) a natureza das operações e a complexidade dos produtos, serviços, atividades e processos do intermediário; e

c) a sensibilidade dos dados e informações sob responsabilidade do intermediário;

II - ser aplicável a funcionários, prepostos e prestadores de serviços; e

III - prever a periodicidade com que funcionários, prepostos e prestadores de serviços serão treinados quanto aos procedimentos previstos nos arts. 35-E e 35-F e quanto ao programa de segurança cibernética.

§ 3º O intermediário pode:

I - restringir o treinamento quanto aos procedimentos previstos nos arts. 35-E e 35-F apenas aos funcionários, prepostos e prestadores de serviços que tenham acesso a dados e informações sensíveis; e

II - deixar de aplicar treinamento quanto aos procedimentos previstos nos arts. 35-E e 35-F aos prestadores de serviço que tenham acesso a dados e informações sensíveis, caso conclua que o prestador de serviço possui procedimentos de segurança da informação e de treinamento adequados e compatíveis com suas políticas.

§ 4º O incidente de segurança cibernética que afete processos críticos de negócios, ou dados ou informações sensíveis, e tenha impacto significativo sobre os clientes deve ser considerado relevante.

Seção II Tratamento e Controle de Dados de Clientes

Art. 35-E . O intermediário deve desenvolver e implementar regras, procedimentos e controles internos adequados visando garantir a confidencialidade, a autenticidade, a integridade e a disponibilidade dos dados e informações sensíveis, contemplando:

I - as diretrizes para a identificação e classificação dos dados e informações sensíveis; e

II - os procedimentos adotados para garantir o registro da ocorrência de incidentes relevantes, suas causas e impactos.

Parágrafo único. O intermediário deve considerar como sensíveis, no mínimo, os dados cadastrais e demais informações que permitem a identificação de clientes, suas operações e posições de custódia.

Art. 35-F . As regras, procedimentos e controles de que trata o art. 35-E devem contemplar:

I - a proteção das informações de cadastro e de operações realizadas pelo cliente contra acesso ou destruição não autorizados, vazamento ou adulteração;

II - a concessão e administração de acessos individualizados a sistemas, bases de dados e redes; e

III - segregação de dados e controle de acesso, de forma a prevenir o risco de acesso não autorizado, de adulteração ou de mau uso das informações.

Art. 35-G . O intermediário deve manter em sua página na rede mundial de computadores orientações para seus clientes sobre suas principais práticas de segurança das informações, abordando, no mínimo:

I - práticas adotadas pelo intermediário quanto:

a) aos controles de acesso lógico aplicados aos clientes; e

b) à proteção da confidencialidade dos dados cadastrais, operações e posição de custódia de seus clientes; e

II - cuidados a serem tomados pelos clientes com a segurança cibernética no acesso aos sistemas providos pelo intermediário.

Parágrafo único. A divulgação de que trata o caput deve ser feita de forma resumida, em linguagem clara e acessível, e com nível de detalhamento compatível com a sensibilidade das informações.

Seção III Segurança Cibernética

Art. 35-H . A política a que se refere o art. 35-D, inciso II, deve contemplar um programa de segurança cibernética, abrangendo, no mínimo:

I - a identificação e avaliação dos riscos cibernéticos internos e externos a que o intermediário esteja exposto;

II - as medidas que devem ser adotadas para reduzir a vulnerabilidade da instituição contra ataques cibernéticos;

III - procedimentos e controles internos que serão adotados para:

a) verificar a implementação, a aplicação e a eficácia das medidas adotadas na forma do inciso II; e

b) efetuar o monitoramento contínuo e a detecção de ataques cibernéticos em tempo hábil; e

IV - medidas que serão adotadas para tratamento de incidentes cibernéticos e recuperação de dados e sistemas;

V - periodicidade com que o programa de segurança cibernética será testado e revisado, de forma a:

a) avaliar a vulnerabilidade da instituição contra ataques cibernéticos e identificar novos riscos cibernéticos; e

b) verificar a necessidade de aperfeiçoar as regras, procedimentos e controles internos existentes; e

VI - formas de participação em iniciativas que objetivem o compartilhamento de informações sobre ameaças e vunerabilidades relevantes.

Art. 35-I . O intermediário deve comunicar, tempestivamente, aos seus órgãos de administração e à SMI a ocorrência de incidentes de segurança cibernética relevantes.

§ 1º A comunicação de que trata o caput deve incluir:

I - a descrição do incidente, incluindo indicação do dado ou informação sensível afetada;

II - avaliação sobre o número de clientes potencialmente afetados;

III - medidas já adotadas pelo intermediário ou as que pretende adotar;

IV - tempo consumido na solução do evento ou prazo esperado para que isso ocorra; e

V - qualquer outra informação considerada importante.

§ 2º O intermediário deve elaborar e enviar à SMI relatório final contendo no mínimo:

I - descrição do incidente e das medidas tomadas, informando o impacto gerado pelo incidente sobre a operação da instituição e seus reflexos sobre os dados dos clientes; e

II - os aperfeiçoamentos de controles identificados com o objetivo de prevenir, monitorar e detectar a ocorrência de incidentes de segurança cibernética, se for o caso.

§ 3º O intermediário deve ainda manter à disposição da SMI cópia:

I - das comunicações realizadas com seus clientes, se houver; e

II - dos relatórios internos de investigação produzidos pelo intermediário ou por terceiros sobre a análise do incidente e as conclusões dos exames efetuados.

Seção IV Contratação de Serviços Relevantes Prestados por Terceiros

Art. 35-J . No caso de serviços prestados por terceiros, o intermediário deve identificar e relacionar seus prestadores de serviços relevantes, avaliar os controles realizados por estes provedores e se certificar que os contratos de prestação de serviços assegurem:

I - o cumprimento das exigências de manutenção de informações previstas no art. 36;

II - o acesso da instituição aos dados e informações a serem processados ou armazenados pelo prestador de serviços; e

III - a confidencialidade, integridade, disponibilidade e a recuperação dos dados e informações processados ou armazenados pelo prestador de serviços.

§ 1º A contratação de terceiros não afasta a responsabilidade do intermediário pelo registro e arquivamento dos documentos e informações mencionadas no art. 36.

§ 2º O intermediário deve se assegurar de que os contratos referentes à prestação de serviços terceirizados não limitem e nem vedem o acesso da CVM e da entidade autorreguladora:

I - ao conteúdo dos contratos; e

II - a documentos, dados e informações processadas ou armazenadas pelos prestadores de serviço." (NR)

Art. 3º A redação do título da subseção II do Capítulo IV, que antecede o art. 14-A, da Instrução CVM nº 505, de 27 de setembro de 2011 , passa a vigorar com a seguinte redação:

"Subseção II Ordens Transmitidas Presencialmente"(NR)

Art. 4 º Ficam revogados:

I - a Instrução CVM nº 380, de 23 de dezembro de 2002 ; e

II - os arts. 1º , inciso II; 5º , § 3º; o art. 24 ; e a seção I do Capítulo V da Instrução CVM nº 505, de 27 de setembro de 2011 .

(Redação do artigo dada pela Instrução CVM Nº 618 DE 28/01/2020, efeitos a partir de 01/03/2020):

Art. 5º Esta Instrução entra em vigor em 1º de setembro de 2020, com exceção:

I - da nova redação dada ao § 1º do art. 25 da Instrução CVM nº 505, de 27 de setembro de 2011, que passa a se aplicar a partir de 2 de março de 2020; e

II - da nova redação dada aos §§ 5º a 8º do art. 4º da Instrução CVM nº 505, de 27 de setembro de 2011, que passa a se aplicar a partir de 4 de maio de 2020.

MARCELO BARBOSA