A PwC ajuda-o a avaliar o seu nível de compliance com os controlos SWIFT

SWIFT Customer Security Program

Garanta a conformidade com o SWIFT CSP e fortaleça a Cibersegurança da sua instituição. A PwC apoia a sua organização na avaliação independente dos controlos exigidos pelo SWIFT CSCF, ajudando a mitigar riscos e a proteger as suas transações financeiras. Precisa de ajuda? Fale com os nossos especialistas em Cibersegurança.

Avaliação anual SWIFT: como garantir a conformidade com o SWIFT CSP?

De acordo com os requisitos do SWIFT Customer Security Control Framework (CSCF), todas as instituições que utilizam a rede SWIFT devem garantir a conformidade anual e realizar uma avaliação independente no âmbito do SWIFT Customer Security Programme (CSP). Esta avaliação deve ser submetida até 31 de dezembro através da aplicação KYSA da SWIFT.

Nos últimos anos, diversas instituições de pagamento foram vítimas de fraudes cibernéticas originadas nos seus próprios ambientes locais SWIFT. Esses incidentes reforçam a importância da cooperação entre todos os utilizadores da SWIFTNet para combater ameaças crescentes à Cibersegurança.

Embora cada cliente SWIFT seja responsável pela segurança do seu ambiente local, a proteção da rede como um todo é uma responsabilidade coletiva. A SWIFT, como entidade central, assumiu um papel ativo no reforço da segurança, promovendo práticas robustas de Cibersegurança no setor financeiro, criando o programa CSP (Customer Security Program).

“As instituições que utilizam SWIFT devem estar em conformidade e submeter a avaliação independente do SWIFT CSP até 31 de dezembro de cada ano. Saiba como a equipa de Cibersegurança da PwC o pode ajudar neste processo.”

Tiago David Marques,Cybersecurity & Privacy Senior Manager, PwC Portugal

Faça o download da brochura SWIFT CSCF

Descubra como reforçar a segurança da sua instituição e garantir a conformidade com o SWIFT CSP. Conheça em detalhe as últimas alterações à Customer Security Control Framework (CSCF v2026).

O que é o SWIFT CSP?

Lançado em 2016, o SWIFT Customer Security Program (CSP) foi criado para fortalecer a segurança das transações financeiras dos seus clientes. O programa estabelece uma framework de controlos de segurança baseada em normas internacionais e melhores práticas de mercado e procura, pragmaticamente, elevar o nível da segurança bancária em todos os clientes.

Conheça em detalhe o programa que reforça a segurança das transações financeiras na rede SWIFT:

O CSP estabelece um conjunto de controlos de segurança obrigatórios e opcionais baseados em frameworks e standards do setor, como NIST, ISO 27000 e PCI-DSS, conhecido como Customer Security Controls Framework (CSCF), projetado para ajudar os clientes a proteger os ambientes locais e promover um ecossistema financeiro mais seguro, com esta baseline de segurança.

Para padronizar o nível de segurança de todos os utilizadores da rede SWIFT e reduzir o risco de ataques cibernéticos e minimizar o impacto financeiro de transações fraudulentas.

O programa aplica-se a todos os proprietários de um SWIFT BIC (“Bank Identifier Code”), incluindo: bancos, seguradoras, entidades de Asset and Investment Management, Government Banking, Tax, Revenue, entre outras instítuições possuidoras de um BIC Code SWIFT.

As avaliações independentes anuais, devem ser realizadas por empresas externas independente ou por àrea independentes da primeira linha de defesa que envia a autoavaliação.

Anualmente é publicado um novo CSCF (Customer Security Controls Framework), que deve ser o referencial utilizado para implementação dos controlos listados, assim como na avaliação independente do ano seguinte.

As entidades abrangidas pelo programa devem realizar uma avaliação independente e demonstrar compliance com os controlos mandatórios, até ao final de cada ano.

As avaliações independentes devem ser realizadas presencialmente ou remotamente, com a abrangência da zona segura SWIFT e dependente do tipo de arquitectura implementada na organização.

Garanta a conformidade com o SWIFT CSP

A PwC apoia a sua organização na avaliação SWIFT: cumpra todos os requisitos de segurança através da CSCF

Antecipe a sua avaliação SWIFT CSP para identificar e corrigir eventuais problemas de não conformidade antes do prazo final de 31 de dezembro. Está ciente do seu status atual de conformidade com os controlos do CSCF? Precisa de um prestador de serviços externo qualificado para realizar o Independent Assessment?

A PwC é fornecedora acreditada de serviços de avaliação SWIFT CSP, com vasta experiência em segurança cibernética e conformidade regulatória. Realizamos avaliações completas tanto do Customer Security Programme (CSP) quanto do Shared Infrastructure Programme (SIP) fornecendo uma visão abrangente do seu ambiente SWIFT e recomendações práticas para atingir a conformidade com o CSCF.

Conheça em detalhe os tipos de avaliação do SWIFT CSP. Clique abaixo:

Avaliação interna independente:

Realizado pela segunda ou terceira linha de defesa (como compliance, gestão de riscos ou auditoria interna) que opera independentemente da primeira linha de defesa (por exemplo, CISO).
As pessoas que realizam a avaliação devem ter experiência recente e relevante na avaliação de controlos de segurança relacionados à cibernética.

Avaliação externa independente:

Conduzido por uma organização externa independente com experiência em avaliação de segurança cibernética.
Avaliadores que possuem certificações de segurança do setor.

Solicite a avaliação da sua organização

Por que escolher a PwC para efetuar a avaliação SWIFT CSP da sua organização?

Experiência comprovada em avaliações SWIFT CSP

Temos experiência na realização de assessments CSP em clientes com diferentes complexidades e arquiteturas SWIFT. Alguns dos trabalhos realizados foram alvo de auditorias por parte do regulador (SWIFT) que confirmou a qualidade do trabalho desenvolvido.

Metodologia internacionalmente reconhecida

Possuímos uma abordagem metodológica assente na nossa experiência e conhecimento sobre a tecnologia e o programa. A nossa abordagem está alinhada com os principais referenciais da área (e.g. ISO 27001 e NIST), o que permite oferecer um elevado nível de assurance aos nossos clientes.

Conhecimento de excelência em tecnologia SWIFT

A realização de inúmeros trabalhos (para além de assessment CSP) em clientes com infraestrutura SWIFT, faz da PwC uma empresa com elevada experiência nesta tecnologia, bem como em toda a infraestrutura que a suporta.

Equipa altamente qualificada em Cibersegurança

Temos uma equipa altamente qualificada com muitos anos de experiência em projetos de segurança, capaz de compreender as necessidades e particularidades da infraestrutura de cada cliente. A equipa de Cibersegurança da PwC presta serviços no âmbito de todos os programas SWIFT.

Precisa de fazer a avaliação SWIFT CSP da sua organização?

Entre em contacto com os especialistas da PwC e saiba como podemos ajudar a garantir conformidade e segurança.

Perguntas frequentes sobre SWIFT CSP

O SWIFT Customer Security Program (CSP) visa prevenir e detectar atividades fraudulentas através de uma série de controlos de segurança obrigatórios, de atividades de partilha de informações em toda a comunidade e de recursos avançados de segurança nos seus produtos. A SWIFT definiu o Customer Security Control Framework (CSCF) com o objetivo de incrementar a segurança cibernética da rede de pagamentos SWIFT, aumentando a maturidade cibernética de seus membros.

O CSCF exige às entidades que estas se certifiquem como estando em conformidade com um conjunto de controlos de segurança divididos em controlos obrigatórios e opcionais, dependendo do tipo de arquitetura implementada.

Controlos mapeados com os principais standards internacionais – NIST (v1.1 e v2.0), PCI-DSS, ISO27002.

Todos os proprietários de SWIFT BIC (‘Bank Identifier Code’) – código que identifica uma instituição financeira numa transferência internacional.

De acordo com os requisitos SWIFT CSCF, as Instituições que utilizam SWIFT devem estar em conformidade e submeter a avaliação independente do SWIFT CSP (programa que determina os objetivos de controlo para cumprimento do CSCF) até 31 de dezembro de cada ano.

Há duas maneiras através das quais os clientes SWIFT podem obter uma revisão independente:

Avaliação interna: realizada pela equipa/departamento de auditoria interna do cliente ou por uma equipa independente personalizada que opera e atesta a conformidade regulatória.
Avaliação externa independente: auditoria externa, conduzida por organizações como a PwC, que fornecerá uma avaliação independente dos controlos SWIFT CSP.

O SWIFT relata todos os casos de não conformidade e casos de membros não certificados às autoridades regulatórias nacionais.

Entre os riscos do incumprimentos desta obrigação regulatória estão o:

Risco Reputacional: a não conformidade pode resultar em danos à marca e perda de confiança do cliente.
Risco Operacional: o não cumprimento expõe a Instituição ao aumento do risco cibernético inerente aos seus processos de pagamentos.
Risco Regulatório: os reguladores poderão solicitar o envio de informação, realizar auditorias e/ou solicitar acesso local à instalações.

Sempre que tiver conhecimento de que uma organização esteja a passar por um incidente, deve partilhar todas as informações com a SWIFT, o mais rapidamente possível, de maneira a garantir a devida assistência e proteger também outras organizações na rede. Para o efeito, deve seguir as indicações descritas no website da SWIFT, na página dedicada a “Report a security issue – How to report a security issue or vulnerability to Swift”, disponível aqui.

Controlo 2.4 passa a ser obrigatório
Para apoiar uma promoção gradual do controlo 2.4 (Back Office Data Flow Security) para obrigatório, diversas alterações foram feitas neste controlo com o objetivo de:

proteger os servidores que conectam o back office e a zona segura do cliente; e
proteger o fluxo entre back office e a zona segura do cliente.

O controlo 2.4 passa agora a obrigatório. A implementação segue uma abordagem faseada, garantindo uma transição estruturada e segura.

O que precisa de proteger?

Servidores de bridging – Os guardiões que suportam a comunicação entre a sua zona segura e os first hops de back-office.
Fluxos entre servidores – Todas as ligações entre servidores de bridging e entre estes e a zona segura, sempre que não exista protecção end-to-end.
Novos fluxos diretos – Ligações diretas entre a zona segura e o first hop de back-office.

Quanto aos fluxos legados, os mesmo mantêm-se, para já, em regime advisory. Contudo, está prevista a sua obrigatoriedade em 2028.

Customer Client Connector
Os Customer Client Connectors passam agora a integrar o âmbito obrigatório de 14 controlos do CSCF, nomeadamente: 1.2, 1.3, 1.4, 2.2, 2.3, 2.6, 2.7, 3.1, 4.1, 4.2, 5.1, 5.4, 6.1 e 6.4.

O que é um Customer Client Connector?
É qualquer aplicação ou componente (como um endpoint que consome APIs, middleware ou cliente de transferência de ficheiros) que se liga indirectamente à Swift através de um prestador de serviços

Utilizadores que anteriormente atestavam como Arquitectura Tipo B poderão ter agora de atestar como A4, caso utilizem um Customer Client Connector.

O Customer Client Connector é um endpoint, que facilita o fluxo entre o utilizador e o fornecedor de serviços. O conceito de Customer Client Connect, está a ser alargado e passará a abranger tanto um servidor como o cliente, ou seja o endpoint de cliente que se liga a um fornecedor de serviços ou à SWIFT.

Com o objetivo de proteger transações financeiras no endpoint do cliente, e alinhar a proteção de todos os tipos de endpoint de aplicações, os utilizadores que operem num Customer Client Connector, que previamente utilizavam uma arquitetura do tipo B, passam a utilizar uma arquitetura A4 em conformidade com o CSCF v2025.

O CSCF v2026 redefine o enquadramento das arquiteturas SWIFT, levando muitos utilizadores que operavam em arquiteturas do tipo B com integrações locais a serem reclassificados para arquitetura A4, devido ao nível acrescido de interação técnica com a SWIFT. Esta mudança implica requisitos de segurança mais robustos e controlos adicionais.

Já as organizações que utilizam arquiteturas do tipo B exclusivamente através de interface gráfica (GUI) – sem automações, middleware ou componentes locais – mantêm-se na arquitetura B, uma vez que o CSCF v2026 continua a considerar este modelo válido para ambientes totalmente GUI‑based.

Os campos obrigatórios estão assinalados com um asterisco(*)

Nome*

Email*

Telefone

Empresa*

Mensagem*

ReCaptcha*

Ao submeter este formulário assume ter lido a nossa declaração de privacidade, dando o seu consentimento para que façamos o processamento de dados de acordo com a referida declaração (incluindo transferências internacionais). Se, a qualquer momento, mudar de ideias quanto à receção de informação sobre a PwC, poderá enviar-nos um email.

Contacte-nos

Marcelo Ferreira Rodrigues

Cybersecurity & Privacy Lead Partner, PwC Portugal

Tiago David Marques

Cybersecurity & Privacy Principal, PwC Portugal

Fechar

© 2015 - 2026 PwC. Todos os direitos reservados. "PwC" refere-se à rede de entidades que são membros da PricewaterhouseCoopers International Limited (PwCIL), cada uma das quais é uma entidade legal distinta e não atuam como agentes da PwCIL, nem das restantes entidades membros da network. A PwCIL não presta serviços a clientes. A PwCIL não assumirá qualquer responsabilidade perante terceiros por atos ou omissões praticados no exercício da atividade profissional das suas firmas membros, nem exerce qualquer controlo sobre, ou os vincula juridicamente. Nenhuma das entidades pertencentes à rede PwC exerce qualquer controlo sobre, nem vincula juridicamente as demais entidades no exercício da sua atividade profissional pelo que não poderão as mesmas ser responsabilizadas, a que título for, perante terceiros por atos ou omissões praticados no exercício das respetivas atividades profissionais.