Nesta quinta-feira (18), o Banco Central do Brasil (BCB) e o Conselho Monetário Nacional (CMN) aprovaram normativos que destacam a política de segurança cibernética e requisitos para contratação de serviços de processamento e armazenamento de dados e computação em nuvem pelas instituições autorizadas a funcionar pelo BCB.
De acordo com a entidade, o objetivo principal da aprovação está em padronizar o ambiente regulatório, fortalecendo ainda a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamentos do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB). Em outras palavras, é uma resposta à crescente digitalização do setor e à implantação do Pix.
Diante de tamanha mudança de rota, a entidade estipulou o prazo até 1º de março de 2026 para que as instituições financeiras possam se adequar. Em síntese, as medidas integram uma agenda mais ampla de revisão regulatória voltada à segurança e resiliência cibernética, alinhada às melhores práticas internacionais.
Mas, afinal, o que o Banco Central definiu?
Embora várias mudanças tenham sido reveladas, algumas delas sobressaíram-se. Nesse ínterim, o BCB passou a exigir a incorporação de requisitos mínimos adicionais à política de segurança cibernética das instituições, como gestão de certificados digitais, integração segura de sistemas, ações de inteligência cibernética, rastreabilidade de operações, testes de intrusão, controles de acesso, proteção de rede e aplicação regular de correções.
Além disso, haverá uma ampliação do escopo dos controles de segurança para o desenvolvimento de sistemas de informação e adoção de novas tecnologias, incluindo sistemas adquiridos ou desenvolvidos por terceiros. Outro ponto fica a cargo da qualificação do serviço de comunicação eletrônica de dados na RSFN como serviço relevante para fins de contratação.
Confira outras mudanças:
- Reforço dos requisitos de segurança para comunicação eletrônica de dados com a RSFN, especialmente nos ambientes Pix e Sistema de Transferência de Reservas (STR), como autenticação multifatorial, isolamento de ambientes, monitoramento de credenciais e vedação de acesso de terceiros às chaves privadas das instituições;
- Exigência de realização anual de testes de intrusão por profissionais independentes, com documentação dos resultados e planos de ação para correção de vulnerabilidades, mantidos à disposição do Banco Central por cinco anos.
