Manchetes

Anatel remarca leilão de 700 MHz para segunda-feira, dia 4 de maio

Anatel confirma abertura das propostas do 700 MHz para dia 4

Setor de data centers pede velocidade e previsibilidade no Brasil

IA exige redes ópticas mais escaláveis e resilientes, diz Nokia

Ciena vê interconexão óptica como peça-chave para data centers de IA

Data center leva IA soberana para serviço público do Caribe

Fair share e Inteligência Artificial têm movimentações no Congresso

Associações pedem para Justiça barrar medidas sobre Fundação Atlântico na recuperação da Oi

Para nova presidente da Algar, crescimento passa por transformação e reaproximação com o consumidor

Instituto Claro completa 25 anos de atuação em educação e cidadania
Icon-facebook Twitter Instagram Youtube

Banco Central impõe mais governança; responsabilidade e resiliência operacional à segurança cibernética nas instituições financeiras

Mais do que endurecer as regras de segurança cibernética para assegurar a credibilidade das instituições financeiras devido ao aumento dos ataques hackers, o Banco Central levou a cibersegurança para além dos muros da TI ao exigir papéis claros e definições de responsabilidades. A mudança a partir da resolução nº 538 é significativa. O momento é de rever os princípios de segurança, que passam a ser padrão na arquitetura, estendendo-se ao desenvolvimento de sistemas, adoção de novas tecnologias e até mesmo soluções de terceiros (provedores de nuvem, provedores de serviços de tecnologia da informação etc.).

O Banco Central deu um passo relevante para que a cibersegurança deixe de ser um tema da área de TI e tenha a participação direta da alta administração da organização, com definição clara de papéis e responsabilidades. Essa mudança foi determinada pela Resolução nº 538, que está completando 60 dias em vigor. A nova regra está diretamente ligada à crescente digitalização do setor e à implantação do Pix, que ampliou o tráfego na Rede do Sistema Financeiro Nacional (RSFN).

No cerne, a BCB nº 538 endurece as regras de segurança cibernética para Instituições de Pagamento (IPs), corretoras e distribuidoras, tornando-as mais prescritivas e técnicas, exigindo controles rigorosos sobre credenciais, certificados digitais e validação de integridade fim a fim nas transações. 

A iniciativa buscou uniformizar o ambiente regulatório e fortalecer a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamentos do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB). O aprimoramento é uma resposta à crescente digitalização do setor e à implantação do Pix, que ampliou o tráfego na Rede do Sistema Financeiro Nacional (RSFN).

“Serão necessárias mudanças relevantes de política de segurança de informação, adoção de tecnologias e mudanças importantes para o ciclo de vida de desenvolvimento de software”

Fernando Souza, líder de plataforma de automação na IBM

“Isso é especialmente relevante para as fintechs, que operam com alto grau de digitalização e, por isso, estão na linha de frente da adoção de práticas mais avançadas de segurança e governança tecnológica. A resolução fortalece a confiança no ecossistema ao aproximar práticas locais de padrões internacionais e reduzir assimetrias entre instituições com diferentes níveis de maturidade”, avalia Beatriz Krauss, diretora-executiva da Associação Brasileira de Fintechs (ABFintechs).

Fernando Souza, líder de plataforma de automação na IBM, pondera que as regulamentações sempre foram bastante exigentes, mas que a velocidade das inovações no setor trouxe novos riscos. “O que antes era considerado um conjunto de melhores práticas passou a ser uma coleção de itens obrigatórios e auditados dentro da política de cibersegurança dos participantes do sistema financeiro”, afirma. “Serão necessárias mudanças relevantes de política de segurança de informação, adoção de tecnologias e mudanças importantes para o ciclo de vida de desenvolvimento de software”, complementa. 

O prazo para a adequação das instituições às novas regras encerrou-se em 1º de março de 2026. Para as fintechs, a adequação ocorreu por meio de revisão de arquitetura tecnológica, fortalecimento de controles de acesso e consolidação de mecanismos de monitoramento contínuo. “Houve também um esforço relevante de organização interna, conectando áreas de tecnologia, risco e compliance em uma governança mais integrada. Em muitos casos, práticas que já existiam foram formalizadas, padronizadas e documentadas de forma a permitir sua demonstração prática perante auditorias e regulador”, diz Krauss.

Como a resolução estabelece um patamar mínimo de segurança independentemente do porte da instituição, as instituições devem pensar em conformidade e segurança como decisão arquitetural, e não mais como uma disciplina isolada e focada em políticas. Até porque a norma requer a transição de um modelo declaratório para um modelo baseado em evidências. 

“Isso exigiu não apenas tecnologia, mas consistência operacional, com definição clara de métricas, rotinas de validação e capacidade de demonstrar funcionamento contínuo dos controles”, acrescenta a executiva. Outros pontos críticos foram a integração entre sistemas existentes, as novas exigências de rastreabilidade e monitoramento e a tradução de requisitos regulatórios em implementações técnicas objetivas, especialmente em estruturas mais enxutas.

Além disso, instituições de menor porte enfrentaram restrições de orçamento e escassez de profissionais especializados. Parte dessas dificuldades foi superada com o uso de soluções gerenciadas, serviços em nuvem e parcerias tecnológicas que reduziram a complexidade de implementação.  

A evidência técnica vem sendo demonstrada por meio de registros auditáveis, relatórios de testes periódicos, simulações de incidentes e indicadores operacionais como tempo de detecção e resposta. “A capacidade de apresentar evidências de forma contínua, e não apenas em momentos específicos, passou a ser um elemento central. Isso mostra que os controles estão ativos, funcionando e sendo monitorados de forma consistente”, acrescenta Krauss.

Tecnologia como aliada

Com relação a ferramentas, Fernando Souza aponta como possíveis desafios os custos elevados para montar um centro de operações de segurança (SOC, na sigla em inglês para security operation center), a implementação de soluções de segurança para empresas (SIEM, de security incident event management) e o gerenciamento de identidades e acesso (IAM, de identity access management) – além do fornecimento das evidências técnicas desses controles.

O especialista também explica que as entidades precisam fazer a adequação das equipes de desenvolvimento e operações para a nova realidade, em que as práticas e soluções e de segurança serão centrais para a permanência no Sistema Financeiro Nacional, a tempo de atender à resolução.

O Banco Central não espera que as fintechs repliquem a estrutura dos grandes bancos, o que inviabilizaria a adaptação. “O uso de soluções integradas e automação será crucial nessa adaptação; do contrário, o princípio-base da resolução, que é fornecer as evidências dos mecanismos de segurança, vai se tornar um desafio operacional enorme”, pontua o líder de plataforma de automação na IBM.

De acordo com ele, a cibersegurança deixa de ser um tema da área de TI e passa a ter valor na alta administração da empresa, com definição clara de papéis e responsabilidades. “Os princípios de segurança passam a ser padrão na arquitetura, estendendo-se ao desenvolvimento de sistemas, adoção de novas tecnologias e até mesmo soluções de terceiros (provedores de nuvem, provedores de serviços de tecnologia da informação etc.)”, detalha Souza.

“A capacidade de apresentar evidências de forma contínua, e não apenas em momentos específicos, passou a ser um elemento central. Isso mostra que os controles estão ativos, funcionando e sendo monitorados de forma consistente”

Beatriz Krauss, diretora-executiva da Associação Brasileira de Fintechs (ABFintechs).

O caminho predominante das fintechs foi a construção de uma base estruturante, evitando soluções pontuais. “Isso incluiu a evolução de processos de gestão de identidade e acesso, revisão de perfis de privilégio, automação de controles e integração da segurança ao ciclo de desenvolvimento. As instituições que trataram a adequação como uma transformação conseguiram estabelecer uma base escalável, preparada para suportar crescimento, novos produtos e aumento de volume operacional”, diz a diretora-executiva da ABFintechs.

No segundo mês em que a resolução de fato está em vigor, Fernando Souza considera que, mesmo em grandes instituições, que tradicionalmente já faziam as validações, o desafio está em justamente pensar no uso de uma arquitetura audit-ready. “O Banco Central não vai perguntar se você tem os controles; vai pedir para mostrar que eles estão funcionando. Isso é uma mudança significativa para instituições de todos os tamanhos”, avalia o executivo. 

Gestão da identidade como chave

Trata-se de uma evolução constante, com a disciplina de gestão de acesso sendo chave para o cumprimento da resolução. Cada acesso precisa ser autenticado, autorizado e verificável, sendo necessário diferenciar identidades humanas e não-humanas, como APIs, microsserviços e contas de serviço. 

“O princípio do privilégio mínimo, o uso de múltiplo fator de autenticação e a integração do IAM com logs e eventos de segurança são cruciais no cenário atual, em que o BaaS (banking as a service) e o consumo de APIs está amplamente disseminado. Essa mudança estabelece a identidade como o novo perímetro de segurança, e não mais a rede”, explica Souza. 

Ele ressalta que as empresas que entenderem a gestão de identidades como um componente arquitetural – e não apenas como um item regulatório – terão vantagem competitiva. “A gestão de identidade é um requisito crítico para escalar, torna-se a base da rastreabilidade e reduz drasticamente o risco sistêmico de todo o sistema financeiro. Em tempos em que as identidades não-humanas estão em crescimento exponencial por conta inclusive de agentes de IA, não vejo um futuro no qual a gestão de identidades não será by default e by design nas instituições financeiras”, completa. 

Beatriz Krauss, da ABFintechs, concorda que a resolução reforçou o papel central da identidade como elemento de controle de risco. “Houve avanço na gestão do ciclo de vida de acessos, maior rigor na concessão e revisão de privilégios e uso mais inteligente de dados para tomada de decisão”, diz. Com isso, a tecnologia deixou de ser apenas um instrumento de conformidade e passou a sustentar processos críticos, influenciando diretamente a prevenção de fraudes, a segurança das operações e a experiência do usuário.

A executiva considera que o modelo, quando implementado de forma estruturada, não apenas sustenta a operação atual como cria condições para um crescimento seguro, uma vez que prima pela padronização de controles, e a automação e a visibilidade operacional aumentam a previsibilidade e reduzem riscos à medida que a instituição escala. “O principal ponto de atenção é garantir que esse modelo seja continuamente revisado e atualizado, acompanhando a evolução tecnológica e o cenário de ameaças”, conclui.

Tags

Compartilhe

Picture of Admin AcessoWi-Fi.com

Admin AcessoWi-Fi.com

Administrador AcessoWi-Fi.com
Anatel remarca leilão de 700 MHz para segunda-feira, dia 4 de maio
Anatel confirma abertura das propostas do 700 MHz para dia 4
Anatel confirma abertura das propostas do 700 MHz para dia 4
Setor de data centers pede velocidade e previsibilidade no Brasil
Setor de data centers pede velocidade e previsibilidade no Brasil
IA exige redes ópticas mais escaláveis e resilientes, diz Nokia
IA exige redes ópticas mais escaláveis e resilientes, diz Nokia
Ciena vê interconexão óptica como peça-chave para data centers de IA
Ciena vê interconexão óptica como peça-chave para data centers de IA
Data center leva IA soberana para serviço público do Caribe
Data center leva IA soberana para serviço público do Caribe
Fair share e Inteligência Artificial têm movimentações no Congresso
Fair share e Inteligência Artificial têm movimentações no Congresso
Associações pedem para Justiça barrar medidas sobre Fundação Atlântico na recuperação da Oi
Associações pedem para Justiça barrar medidas sobre Fundação Atlântico na recuperação da Oi
Para nova presidente da Algar, crescimento passa por transformação e reaproximação com o consumidor
Para nova presidente da Algar, crescimento passa por transformação e reaproximação com o consumidor
Instituto Claro completa 25 anos de atuação em educação e cidadania
Instituto Claro completa 25 anos de atuação em educação e cidadania
Related Posts