A PwC ajuda-o a avaliar o seu nível de compliance com os controlos SWIFT

SWIFT Customer Security Program

d

Garanta a conformidade com o SWIFT CSP e fortaleça a Cibersegurança da sua instituição. A PwC apoia a sua organização na avaliação independente dos controlos exigidos pelo SWIFT CSCF, ajudando a mitigar riscos e a proteger as suas transações financeiras. Precisa de ajuda? Fale com os nossos especialistas em Cibersegurança.

Avaliação anual SWIFT: como garantir a conformidade com o SWIFT CSP?

De acordo com os requisitos do SWIFT Customer Security Control Framework (CSCF), todas as instituições que utilizam a rede SWIFT devem garantir a conformidade anual e realizar uma avaliação independente no âmbito do SWIFT Customer Security Programme (CSP). Esta avaliação deve ser submetida até 31 de dezembro através da aplicação KYSA da SWIFT.

Nos últimos anos, diversas instituições de pagamento foram vítimas de fraudes cibernéticas originadas nos seus próprios ambientes locais SWIFT. Esses incidentes reforçam a importância da cooperação entre todos os utilizadores da SWIFTNet para combater ameaças crescentes à segurança cibernética.

Embora cada cliente SWIFT seja responsável pela segurança do seu ambiente local, a proteção da rede como um todo é uma responsabilidade coletiva. A SWIFT, como entidade central, assumiu um papel ativo no reforço da segurança, promovendo práticas robustas de Cibersegurança no setor financeiro, criando o programa CSP (Customer Security Program).
 

“As instituições que utilizam SWIFT devem estar em conformidade e submeter a avaliação independente do SWIFT CSP até 31 de dezembro de cada ano. Saiba como a equipa de Cibersegurança da PwC o pode ajudar neste processo.”

Tiago David Marques,Cybersecurity & Privacy Senior Manager, PwC Portugal

Faça o download da brochura SWIFT CSCF

Descubra como reforçar a segurança da sua instituição e garantir a conformidade com o SWIFT CSP. Conheça em detalhe as últimas alterações à Customer Security Control Framework.

  


O que é o SWIFT CSP?

Lançado em 2016, o SWIFT Customer Security Program (CSP) foi criado para fortalecer a segurança das transações financeiras dos seus clientes. O programa estabelece uma framework de controlos de segurança baseada em normas internacionais e melhores práticas de mercado e procura, pragmaticamente, elevar o nível da segurança cibernética em todos os clientes.

Conheça em detalhe o programa que reforça a segurança das transações financeiras na rede SWIFT:

O CSP estabelece um conjunto de controlos de segurança obrigatórios e opcionais baseados em frameworks e standards do setor, como NIST, ISO 27000 e PCI-DSS, conhecido como Customer Security Controls Framework (CSCF), projetado para ajudar os clientes a proteger os ambientes locais e promover um ecossistema financeiro mais seguro, com esta baseline de segurança.

Para padronizar o nível de segurança de todos os utilizadores da rede SWIFT e reduzir o risco de ataques cibernéticos e minimizar o impacto financeiro de transações fraudulentas.

O programa aplica-se a todos os proprietários de um SWIFT BIC (“Bank Identifier Code”), incluindo: bancos, seguradoras, entidades de Asset and Investment Management, Government Banking, Tax, Revenue, entre outras instítuições possuidoras de um BIC Code SWIFT.

As avaliações independentes anuais, devem ser realizadas por empresas externas independente ou por àrea independentes da primeira linha de defesa que envia a autoavaliação.
 

Anualmente é publicado um novo CSCF (Customer Security Controls Framework), que deve ser o referencial utilizado para implementação dos controlos listados, assim como na avaliação independente do ano seguinte.

As entidades abrangidas pelo programa devem realizar uma avaliação independente e demonstrar compliance com os controlos mandatórios, até ao final de cada ano.

As avaliações independentes devem ser realizadas presencialmente ou remotamente, com a abrangência da zona segura SWIFT e dependente do tipo de arquitectura implementada na organização.

  


Garanta a conformidade com o SWIFT CSP

A PwC apoia a sua organização na avaliação SWIFT: cumpra todos os requisitos de segurança através da CSCF

Antecipe a sua avaliação SWIFT CSP para identificar e corrigir eventuais problemas de não conformidade antes do prazo final de 31 de dezembro. Está ciente do seu status atual de conformidade com os controlos do CSCF? Precisa de um prestador de serviços externo qualificado para realizar o Independent Assessment?

A PwC é fornecedora acreditada de serviços de avaliação SWIFT CSP, com vasta experiência em segurança cibernética e conformidade regulatória. Realizamos avaliações completas tanto do Customer Security Programme (CSP) quanto do Shared Infrastructure Programme (SIP), fornecendo uma visão abrangente do seu ambiente SWIFT e recomendações práticas para atingir a conformidade com o CSCF.

Conheça em detalhe os tipos de avaliação do SWIFT CSP. Clique abaixo:


Avaliação interna independente:

  • Realizado pela segunda ou terceira linha de defesa (como compliance, gestão de riscos ou auditoria interna) que opera independentemente da primeira linha de defesa (por exemplo, CISO).

  • As pessoas que realizam a avaliação devem ter experiência recente e relevante na avaliação de controlos de segurança relacionados à cibernética.


Avaliação externa independente:

  • Conduzido por uma organização externa independente com experiência em avaliação de segurança cibernética.
  • Avaliadores que possuem certificações de segurança do setor.

   

 

 

 

 

 

 

 

Por que escolher a PwC para efectuar a avaliação SWIFT CSP da sua organização?

Experiência comprovada em avaliações SWIFT CSP

Temos experiência na realização de assessments CSP em clientes com diferentes complexidades e arquiteturas SWIFT. Alguns dos trabalhos realizados foram alvo de auditorias por parte do regulador (SWIFT) que confirmou a qualidade do trabalho desenvolvido.

Metodologia internacionalmente reconhecida

Possuímos uma abordagem metodológica assente na nossa experiência e conhecimento sobre a tecnologia e o programa. A nossa abordagem está alinhada com os principais referenciais da área (e.g. ISO 27001 e NIST), o que permite oferecer um elevado nível de assurance aos nossos clientes.

Conhecimento de excelência em tecnologia SWIFT

A realização de inúmeros trabalhos (para além de assessment CSP) em clientes com infraestrutura SWIFT, faz da PwC uma empresa com elevada experiência nesta tecnologia, bem como em toda a infraestrutura que a suporta.

Equipa altamente qualificada em Cibersegurança

Possuímos matéria humana altamente qualificada com muitos anos de experiência em projetos de segurança, capaz de compreender as necessidades e particularidades da infraestrutura de cada cliente. A equipa de Cibersegurança da PwC presta serviços no âmbito de todos os programas SWIFT.
 

Precisa de fazer a avaliação SWIFT CSP da sua organização?

Entre em contacto com os especialistas da PwC e saiba como podemos ajudar a garantir conformidade e segurança.

     
 


Perguntas frequentes sobre a avaliação SWIFT CSP

O SWIFT Customer Security Program (CSP) visa prevenir e detectar atividades fraudulentas através de uma série de controlos de segurança obrigatórios, de atividades de partilha de informações em toda a comunidade e de recursos avançados de segurança nos seus produtos. A SWIFT definiu o Customer Security Control Framework (CSCF) com o objetivo de incrementar a segurança cibernética da rede de pagamentos SWIFT, aumentando a maturidade cibernética de seus membros.

Todos os proprietários de SWIFT BIC (‘Bank Identifier Code’) – código que identifica uma instituição financeira numa transferência internacional.

De acordo com os requisitos SWIFT CSCF, as Instituições que utilizam SWIFT devem estar em conformidade e submeter a avaliação independente do SWIFT CSP (programa que determina os objetivos de controlo para cumprimento do CSCF) até 31 de dezembro de cada ano.

Há duas maneiras através das quais os clientes SWIFT podem obter uma revisão independente:

  • Avaliação interna: realizada pela equipa/departamento de auditoria interna do cliente ou por uma equipa independente personalizada que opera e atesta a conformidade regulatória.
  • Avaliação externa independente: auditoria externa, conduzida por organizações como a PwC, que fornecerá uma avaliação independente dos controlos SWIFT CSP.

O SWIFT relata todos os casos de não conformidade e casos de membros não certificados às autoridades regulatórias nacionais.

Entre os riscos do incumprimentos desta obrigação regulatória estão o:

  • Risco Reputacional: a não conformidade pode resultar em danos à marca e perda de confiança do cliente.
  • Risco Operacional: o não cumprimento expõe a Instituição ao aumento do risco cibernético inerente aos seus processos de pagamentos.
  • Risco Regulatório: os reguladores poderão solicitar o envio de informação, realizar auditorias e/ou solicitar acesso local à instalações.

     

Sempre que tiver conhecimento de que uma organização esteja a passar por um incidente, deve partilhar todas as informações com a SWIFT, o mais rapidamente possível, de maneira a garantir a devida assistência e proteger também outras organizações na rede. Para o efeito, deve seguir as indicações descritas no website da SWIFT, na página dedicada a “Report a security issue – How to report a security issue or vulnerability to Swift”, disponível aqui.

Controlo 2.4
Para apoiar uma promoção gradual do controlo 2.4A (Back Office Data Flow Security) para obrigatório, diversas alterações foram feitas neste controlo com o objetivo de:

  • proteger os servidores que conectam o back office e a zona segura do cliente; e
  • proteger o fluxo entre back office e a zona segura do cliente.

Embora o controlo 2.4A permaneça opcional, a SWIFT recomenda a preparação de um plano de priorização de fluxos identificados entre a zona segura do cliente e o back office de acordo com a postura de segurança do cliente; e uma abordagem baseada no risco.
 


Customer Client Connector
Gradualmente, a SWIFT indica que todos os endpoints de clientes conectados indiretamente à SWIFT sejam classificados como Customer Client Connector – esta alteração, na versão de 2025, irá manter-se ainda como uma mudança opcional, que passará a ser obrigatória com o CSCF v2026.

O Customer Client Connector é um endpoint, que facilita o fluxo entre o utilizador e o fornecedor de serviços. O conceito de Customer Client Connect, está a ser alargado e passará a abranger tanto um servidor como o cliente, ou seja o endpoint de cliente que se liga a um fornecedor de serviços ou à SWIFT.

Com o objetivo de proteger transações financeiras no endpoint do cliente, e alinhar a proteção de todos os tipos de endpoint de aplicações, os utilizadores que operem num Customer Client Connector, que previamente utilizavam uma arquitetura do tipo B, passam a utilizar uma arquitetura A4 em conformidade com o CSCF v2025.

Todos os utilizadores que operem num Customer Client Connector, que previamente utilizavam uma arquitetura do tipo B, passam a utilizar uma arquitetura A4 em conformidade com o CSCF v2025.

No entanto, utilizadores de arquiteturas do tipo B com operadores que usam apenas a interface gráfica da aplicação não devem mudar para uma arquitetura do tipo A4. Segundo o CSCF v2025, este é o único tipo configuração aplicável a uma arquitetura do tipo B.

Siga-nos

Os campos obrigatórios estão assinalados com um asterisco(*)

Ao submeter este formulário assume ter lido a nossa declaração de privacidade, dando o seu consentimento para que façamos o processamento de dados de acordo com a referida declaração (incluindo transferências internacionais). Se, a qualquer momento, mudar de ideias quanto à receção de informação sobre a PwC, poderá enviar-nos um email.

Contacte-nos

António Loureiro

António Loureiro

Risk Assurance Partner, PwC Portugal

Marcelo Ferreira Rodrigues

Marcelo Ferreira Rodrigues

Cybersecurity & Privacy Partner, PwC Portugal

Tiago David Marques

Tiago David Marques

Cybersecurity & Privacy Principal, PwC Portugal

Fechar