A transformação digital do Sistema Financeiro Nacional (SFN) acelerou e o Banco Central tem deixado claro que a evolução do setor precisa acontecer com um novo patamar de segurança e resiliência cibernética.
Em 18 de dezembro de 2025, o Banco Central do Brasil (BCB) e o Conselho Monetário Nacional (CMN) aprovaram normativos que atualizam a política de segurança cibernética e reforçam requisitos para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem por instituições autorizadas a funcionar pelo BCB.
A iniciativa busca uniformizar o ambiente regulatório e elevar o nível de proteção das infraestruturas de comunicação de dados e dos sistemas de pagamentos — especialmente no contexto do Pix, que ampliou significativamente o tráfego na Rede do Sistema Financeiro Nacional (RSFN) e aumentou a criticidade de disponibilidade e integridade das transações.
As instituições têm até 1º de março de 2026 para se adaptar às novas exigências.
O que muda nas regras: os principais reforços das resoluções
As alterações constam na Resolução BCB nº 538/2025 e na Resolução CMN nº 5.274/2025, que atualizam normas anteriores de 2021. Na prática, os normativos reforçam o mínimo necessário para políticas de segurança cibernética, aumentam a responsabilidade sobre terceiros e sistemas desenvolvidos fora da instituição e estabelecem requisitos adicionais para ambientes críticos conectados à RSFN — com foco especial em Pix e STR.
Com as novas orientações, a segurança deixa de ser apenas um conjunto de controles isolados e passa a ser formalmente tratada como processo contínuo, com evidência, rastreabilidade e governança ativa.
Novos requisitos mínimos: controles mais completos e com escopo ampliado
As resoluções reforçam que a política de segurança cibernética deve prever um conjunto mínimo de procedimentos e controles, incluindo:
- Autenticação multifator e mecanismos de criptografia;
- Prevenção e detecção de intrusão;
- Prevenção de vazamento de informações e proteção contra malwares;
- Rastreabilidade (logs e trilhas de auditoria);
- Backups e gestão de cópias de segurança;
- Avaliação, testes e correção de vulnerabilidades;
- Controles de acesso e revisão de permissões (inclusive de terceiros);
- Hardening e perfis de configuração segura;
- Proteção de rede (segmentação, firewall e monitoramento);
- Gestão de certificados digitais e guarda de chaves privadas;
- Segurança para integração de sistemas via interfaces eletrônicas (APIs);
- Ações de inteligência de ameaças, incluindo monitoramento de informações na internet, deep web, dark web e grupos privados.
Do ponto de vista operacional, isso aponta para uma maturidade mínima esperada: não basta implementar controle, é preciso mantê-lo, medir, revisar e provar sua efetividade ao longo do tempo.
Segurança também no desenvolvimento e em sistemas de terceiros
Um reforço importante do texto é o avanço na exigência de segurança aplicada ao ciclo de vida do desenvolvimento e à adoção de novas tecnologias. Os controles precisam ser aplicados também em ocasiões como:
- Desenvolvimento de sistemas de informação seguros;
- Adoção de novas tecnologias usadas pela instituição;
- Sistemas adquiridos ou desenvolvidos por terceiros, executados com recursos computacionais internos.
Esse ponto coloca pressão adicional sobre processos como secure coding, validação de integrações e gestão de riscos da cadeia de fornecedores.
Pix e STR no centro: requisitos adicionais para RSFN
As resoluções trazem obrigações adicionais específicas para comunicação eletrônica de dados na RSFN, especialmente nos ambientes Pix e Sistema de Transferência de Reservas (STR). Entre os destaques:
- MFA obrigatório para acesso administrativo aos ambientes Pix e STR;
- Isolamento físico e lógico desses ambientes em relação aos demais sistemas — incluindo instâncias dedicadas e apartadas em casos de uso de nuvem;
- Monitoramento de credenciais e certificados digitais, com controles de guarda reforçados, principalmente no contexto do SPI;
- Implementação de mecanismos de validação de integridade de transações fim a fim, antes da assinatura digital das mensagens;
- Vedação expressa do acesso de terceiros às chaves privadas usadas para assinatura de mensagens.
Pix e STR passam a ser tratados como infraestrutura crítica, com exigências mais rigorosas de integridade, rastreabilidade e proteção contra comprometimento de credenciais e certificados.
Pentest anual: exigência formal com documentação e plano de ação
Outro ponto com impacto direto é a exigência de testes de invasão (pentest) com periodicidade mínima anual. Os normativos determinam que os testes devem ser realizados com independência e imparcialidade por profissional ou empresa especializada, sem prejuízo de testes internos adicionais.
Mais importante: os resultados precisam ser documentados — incluindo vulnerabilidades identificadas e planos de ação para correção. Essa documentação deve ser mantida à disposição do regulador por cinco anos.
Dessa maneira, o Pentest deixa de ser uma prática técnica pontual e passa a integrar o ciclo de governança, priorização e evidência regulatória.
Comunicação eletrônica na RSFN passa a ser “serviço relevante”
As resoluções qualificam o serviço de comunicação eletrônica de dados na RSFN como serviço relevante, para fins das regras sobre contratação de serviços de processamento, armazenamento e computação em nuvem.
Na prática, essa classificação aumenta o grau de exigência em:
- Gestão de riscos da contratação;
- Acompanhamento e controle dos prestadores;
- Evidências e documentação;
- Supervisão regulatória.
As instituições precisam tratar a RSFN e seus prestadores como um elemento central na cadeia de risco — e não apenas como suporte operacional.
O que fazer agora?
Com prazo até 1º de março de 2026, a adaptação não envolve apenas “implantar controles”. Ela exige:
- Revisar políticas, processos e responsabilidades;
- Ajustar arquitetura e segmentação de rede;
- Fortalecer gestão de credenciais, certificados e chaves privadas;
- Estruturar ciclo de vulnerabilidades com correção tempestiva e evidências;
- Implementar rastreabilidade e retenção segura de logs;
- Tornar o pentest anual um processo contínuo, com plano e documentação;
- Amadurecer inteligência e monitoramento do ambiente cibernético.
O maior desafio, muitas vezes, é garantir que tudo isso seja sustentável e auditável.
Como a Clavis pode ajudar instituições a atenderem às novas exigências?
Diante desse cenário, a Clavis apoia instituições na transformação dessas exigências em um plano real de adequação e maturidade operacional, com atuação em frentes como:
- Gap Analysis e diagnóstico acelerado, para mapear rapidamente o que já atende e o que precisa evoluir antes do prazo.
- Gestão de vulnerabilidades e correções com evidência, garantindo ciclos contínuos, rastreabilidade e aderência regulatória.
- Pentest anual com governança, ajudando a estruturar documentação, priorização e plano de ação em padrão auditável.
- Inteligência e monitoramento do ambiente cibernético, incluindo identificação de exposição de credenciais e sinais de ameaça em fontes abertas e restritas.
No fim, é sobre resiliência para continuar inovando
As resoluções aprovadas em dezembro de 2025 reforçam que o SFN precisa operar em um patamar mais elevado de resiliência cibernética, principalmente nos ambientes que sustentam o Pix e o STR.
Para as instituições, a adequação é uma obrigação regulatória, mas também uma oportunidade de fortalecer a base que sustenta inovação digital com segurança.
A questão agora não é apenas ter controles: é demonstrar que eles funcionam, são mantidos e estão integrados à operação.
