by Matheus Menezes
Bookmark

Novas exigências do Banco Central para segurança cibernética já estão em vigor e ampliam responsabilidades no setor financeiro

As novas regras do Banco Central para segurança cibernética já estão em vigor e trazem mudanças relevantes para instituições financeiras, especialmente no que diz respeito à governança, controle de riscos e proteção de ambientes críticos.

As exigências estão formalizadas na Resolução BCB nº 538/2025 e na Resolução CMN nº 5.274/2025, que reforçam a necessidade de uma abordagem mais estruturada, em que a segurança deixa de ser apenas técnica e passa a exigir processos contínuos, evidências e rastreabilidade.

Segurança passa a ser tratada como processo contínuo

Com as novas exigências, as instituições precisam garantir não apenas a implementação de controles, mas também sua manutenção, monitoramento e comprovação de efetividade.

Isso inclui práticas como:

  • Gestão contínua de vulnerabilidades;
  • Registro e retenção de logs;
  • Controle de acessos e revisões periódicas;
  • Uso de autenticação multifator;
  • Proteção de dados com criptografia;
  • Monitoramento de ameaças.

A exigência passa a ser menos sobre “ter controles” e mais sobre demonstrar que eles funcionam ao longo do tempo.

Maior atenção a terceiros e desenvolvimento de sistemas

Outro ponto reforçado é a responsabilidade sobre sistemas desenvolvidos internamente e por terceiros. As instituições devem garantir requisitos de segurança em todo o ciclo de vida das aplicações, incluindo integrações e uso de novas tecnologias.

Na prática, isso amplia a necessidade de controle sobre:

  • Fornecedores e parceiros;
  • Sistemas adquiridos ou integrados;
  • Processos de desenvolvimento seguro.

Esse cenário aumenta a complexidade da gestão de riscos, especialmente em ambientes híbridos e baseados em nuvem.

Pix e STR passam a exigir controles mais rigorosos

Ambientes conectados à Rede do Sistema Financeiro Nacional (RSFN), como Pix e STR, passam a ter exigências mais restritivas.

Entre os principais pontos estão:

  • Autenticação multifator para acessos administrativos;
  • Isolamento de ambientes críticos;
  • Controle reforçado de credenciais e certificados digitais;
  • Validação de integridade das transações.

Esses sistemas passam a ser tratados como infraestrutura crítica, exigindo maior nível de proteção e monitoramento.

Pentest anual e evidências ganham peso regulatório

As normas também consolidam a obrigatoriedade de testes de invasão com periodicidade mínima anual, com necessidade de documentação formal dos resultados e dos planos de ação.

Isso reforça o papel do pentest como parte da governança de segurança, e não apenas como atividade técnica pontual.

Adequação exige integração entre segurança e governança

Com as regras já em vigor, a adequação passa a exigir uma visão integrada entre Segurança da Informação, gestão de riscos e conformidade.

Para muitas instituições, o desafio está em estruturar processos que sejam sustentáveis, auditáveis e aderentes às exigências regulatórias ao longo do tempo.

Nesse contexto, iniciativas de GRC ganham protagonismo, permitindo organizar controles, evidências e gestão de riscos de forma centralizada.

A Clavis apoia instituições nesse processo por meio de serviços de adequação às normas do Banco Central, incluindo diagnóstico de aderência (Gap Analysis), gestão de vulnerabilidades, execução de pentest com documentação auditável e estruturação de processos de governança e conformidade.

Com o novo cenário regulatório, a capacidade de demonstrar controle e resiliência passa a ser tão relevante quanto a própria implementação de medidas de segurança.

Para saber mais, clique aqui.

Descubra mais sobre SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continue reading