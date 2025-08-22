O risco no setor financeiro é sempre alto: A evidência de preocupações relacionadas ao risco vem da pesquisa do Bank of England, que identificou os ataques cibernéticos como os mais relacionados ao risco citado para o sistema financeiro do Reino Unido (79% dos entrevistados). O MaRisk tenta corrigir isso fornecendo uma estrutura para ajudar o setor bancário e as empresas associadas a reduzir os riscos de suas atividades.

Os bancos e o MaRisk

Os bancos alemães sofreram violações de dados significativas nos últimos anos, como, por exemplo, em 2022 o ataque cibernético no Deutsche Bank, que resultou em 60 GB de dados de clientes roubados. Os bancos e outras entidades do setor financeiro estão sob o guarda-chuva regulatório da Lei bancária alemã, BaFin e MaRisk. No âmbito do MaRisk, o documento "requisitos de supervisão para TI nas instituições financeiras" estabelece as medidas necessárias para satisfazer os requisitos de segurança de TI para os bancos. Além disso, o MaRisk exige que os bancos alemães protejam seus fluxos de dados, e uma das mais recentes alterações ao regulamento incluiu a adição de segurança à "negociação doméstica" que exige um padrão mínimo de segurança de TI para garantir a confidencialidade dos dados. Os princípios de Zero Trust de menor privilégio impõem controles de acesso de todos os locais, incluindo escritórios domésticos.

Fornecedores de serviços em nuvem para bancos

"A cadeia de fornecimento de provedores de serviços em nuvem para o setor bancário na Alemanha está sob a regulamentação do MaRisk. Os provedores de serviços em nuvem devem seguir os requisitos de supervisão de TI para ajudar a garantir que um cliente (banco ou outra instituição financeira) implemente o controle de risco para cumprir as exigências. Uma avaliação de riscos deve demonstrar que o gerenciamento de riscos de informações, a segurança das informações e as medidas de resposta a emergências estão em vigor e em conformidade com o MaRisk e o BAIT e a BaFin associados. Os provedores de serviços em nuvem e TI normalmente incluem essas avaliações nos contratos dos clientes. Os provedores de serviços em nuvem devem explorar as abordagens Zero Trust para controles de acesso robustos em uma arquitetura de serviço distribuído.