Em 18 de dezembro de 2025 o Banco Central publicou duas novas regulamentações que reforçam os controles de segurança exigidos das empresas do setor financeiro, a Resolução CMN n° 5.274 e a BCB n° 538.
As duas resoluções são similares, quase idênticas - a principal diferença é para quem se aplicam, mas podemos considerar que as duas abrangem praticamente todo o mercado financeiro nacional.
As resoluções CMN n° 5.274 e BCB n° 538 substituem as anteriores, respectivamente a Resolução CMN nº 4.893, de 26 de fevereiro de 2021 e a Resolução BCB nº 85, de 8 de abril de 2021, que dispõem sobre exigências mínimas para a política de segurança cibernética das organizações e, também, sobre os requisitos para a contratação de serviços de computação em nuvem. A 4.893, por sua vez, substituiu a Resolução nº 4.658, de 26 de abril de 2018, que na época era muito famosa por ter sido o primeiro marco normativo do setor financeiro que permitiu às empresas adotarem serviços de computação em nuvem. E foi isso que permitiu, do ponto de vista tecnológico, o boom das Fintechs e Bancos digitais que vivemos desde então.
Basicamente a Resolução CMN n° 5.274 e a BCB n° 538 trazem novos requisitos de segurança para as instituições financeiras, além dos que já eram exigidos até então. Elas detalham alguns requisitos já existentes e incluem exigências novas, que devem ser previstas nas políticas de segurança e evidenciadas em auditorias e relatórios periódicos.
O objetivo, claro, é aumentar a segurança do sistema financeito através de práticas mais rigorosas por parte das empresas. E, assim, tentar frear a onda crescente de fraudes milionárias que pipocaram desde meados de 2025.
Vou listar abaixo alguns dos principais pontos dessas resoluções:
- Art. 3º § 2º - Nova lista com os procedimentos e controles que devem constar na política de segurança cibernética (os marcados em negrito são novos!):
I - a autenticação;
II - os mecanismos de criptografia;
III - os mecanismos de prevenção e detecção de intrusão;
IV - os mecanismos de prevenção de vazamentos de informações;
V - os mecanismos de proteção contra softwares maliciosos;
VI - os mecanismos de rastreabilidade;
VII - a gestão de cópias de segurança dos dados e das informações;
VIII - a avaliação e a correção de vulnerabilidades dos recursos computacionais e dos sistemas de informação; (antes estava como "realização periódica de testes e varreduras para detecção de vulnerabilidades")
IX - os controles de acesso;
X - a definição e implementação de perfis de configuração segura de ativos de tecnologia;
XI - os mecanismos de proteção da rede; (antes estava como "segmentação de rede")
XII - a gestão de certificados digitais;
XIII - os requisitos de segurança para a integração de sistemas de informação por meio de interfaces eletrônicas;
XIV - as ações de inteligência no ambiente cibernético, incluindo o monitoramento de informações de interesse da instituição na internet, na Deep Web e na Dark Web, além de grupos privados de comunicação.
- Art. 3º § 6º - Os controles de segurança também se aplicam nos casos de "sistemas de informação por ela adquiridos ou desenvolvidos por empresas prestadoras de serviços a terceiros";
- Art. 3º § 7º - Exigências mais detalhadas para os "mecanismos de rastreabilidade" e tempo de retenção dos dados;
- Art. 3º § 8º - Exigências mais detalhadas para as atividades de "avaliação e a correção de vulnerabilidades";
- Art. 3º § 9º - O detalhamento das novas exigências para controle de acesso;
- Art. 3º § 10º - Detalhamento das novas exigências para perfis de configuração segura;
- Art. 3º § 11º - Exigências mais detalhadas para os mecanismos de proteção da rede;
- Art. 3º § 12º - Detalhamento das novas exigências para gestão de certificados digitais;
- Art. 3º-A - Traz novos requisitos de segurança:
- I - no caso de comunicação eletrônica de dados na Rede do Sistema Financeiro Nacional (RSFN): controles de MFA, isolamento físico e lógico dos ambientes PIX e STR, monitoramento e guarde de credenciais e certificados digitais, além de "implementação de mecanismos de validação da integridade fim a fim das transações" e "vedação do acesso de empresas prestadoras de serviços a terceiros às chaves privadas associadas a certificados digitais";
- II - no caso de conexão como participante de Sistemas do Mercado Financeiro (SMF): implementação de controles de segurança para prevenção, detecção e resposta a fraudes;
- Art. 8º - O relatório anual sobre a implementação do plano de ação e de resposta a incidentes também deve contemplar, a partir de agora, os resultados dos testes de continuidade de negócios e os resultados dos testes de intrusão e dos testes para detecção de vulnerabilidades, além dos planos de ação estabelecidos para as suas correções;
- Art. 22-A. - Exigências mais detalhadas para os testes de intrusão;
- Art. 22-B. - Reforço de que os requisitos de segurança para conexão com a RSFN se aplicam independente da forma de conexão e mesmo quando "o prestador de serviços fornece serviço de processamento de mensagens no âmbito do SFN e do Sistema de Pagamentos Brasileiro – SPB";
- Art. 23. - Inclui na lista de informações que devem ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos: a documentação de casos que configurem uma situação de crise e os resultados da execução de testes de intrusão e os planos de ação;
- Art. 24. - Inclui que o Banco Central poderá estabelecer "a especificação dos requisitos de segurança para integração de sistemas de informação por meio de interfaces eletrônicas".
Como podemos ver, as resoluções incluíram novos requisitos de segurança e também trouxe um maior detalhamento dos requisitos que já eram exigidos anteriormente.
Também chamou muito a atenção do mercado que o BC incluiu uma exigência de que as instituições financeiras tenham serviços de cyber threat intelligence (CTI), que são importantíssimos para prevenção de ataques e de fraudes. Por isso mesmo, em 20 de janeiro deste ano a Apura apresentou um webinar sobre o assunto: Sistema Financeiro em Foco: a atuação da Apura frente às resoluções do Bacen e CMN.
Para saber mais:
Nenhum comentário:
Postar um comentário