Escrito por Leonardo Pinheiro
Com a proximidade do prazo final de adequação às exigências do Banco Central, muitas instituições financeiras estão revisitando seus programas de segurança com uma pergunta objetiva: se já seguimos o CIS Controls ou somos certificados na ISO 27001, estamos automaticamente aderentes às normas do Bacen?
A dúvida é legítima e estratégica. CIS e ISO são referências consolidadas no mercado e indicam maturidade técnica e organizacional. Já as normas do Bacen, como a Resolução BCB 538/2025 e regulamentações correlatas, são obrigações regulatórias para instituições autorizadas a funcionar pelo Banco Central do Brasil.
A comparação entre essas três referências não surge porque elas competem entre si. Ela surge porque muitas instituições já estruturaram sua segurança com base em frameworks internacionais e agora precisam entender o que já está coberto e o que ainda precisa ser ajustado para atender integralmente ao regulador antes do encerramento do prazo.
O que o CIS Controls cobre?
O CIS Controls v8 é um framework técnico e operacional. Ele organiza 18 controles priorizados com foco direto na redução de riscos reais, especialmente aqueles explorados com maior frequência por atacantes.
Seu ponto forte está na execução prática. Ele cobre com profundidade temas como gestão contínua de vulnerabilidades, hardening, controle de acesso, monitoramento de rede, backup e testes de invasão (Pentest). Por exemplo, a exigência do Bacen relacionada à gestão de vulnerabilidades encontra aderência no Controle 07 – Continuous Vulnerability Management, enquanto o requisito de Pentest dialoga com o Controle 18 – Penetration Testing.
Instituições maduras em CIS normalmente já possuem boa parte da base técnica exigida pelo Bacen. No entanto, o CIS não é um instrumento regulatório. Ele não estabelece obrigações formais de reporte, não trata requisitos específicos para ambientes como RSFN ou Pix, nem exige que os controles estejam organizados segundo a redação normativa do Banco Central.
O CIS fortalece a segurança operacional, mas não garante, por si só, conformidade regulatória.
O que a ISO 27001 cobre?
A ISO/IEC 27001:2022 parte de uma lógica diferente. Em vez de priorizar controles técnicos específicos, ela estrutura um Sistema de Gestão de Segurança da Informação (SGSI), com foco em governança, gestão de riscos e melhoria contínua.
Instituições certificadas normalmente já possuem política formal de segurança, inventário de ativos, análise de riscos estruturada, gestão de fornecedores e processo documentado de resposta a incidentes. Controles como segurança em redes (A.8.20) e gestão de vulnerabilidades técnicas (A.8.8) demonstram essa base estruturada.
A ISO oferece método, organização e rastreabilidade de processos — algo essencial para auditorias e governança corporativa.
Entretanto, assim como o CIS, ela não foi desenhada especificamente para o Sistema Financeiro Nacional. A norma não detalha exigências regulatórias brasileiras, não menciona requisitos específicos para RSFN ou Pix e não substitui a necessidade de aderência explícita aos artigos da norma Bacen.
A certificação ISO indica maturidade organizacional, mas não é comprovação automática de adequação regulatória.
O que as Normas do Bacen exigem?
As normas do Bacen estabelecem requisitos mínimos obrigatórios para o setor financeiro. Elas tratam de controles técnicos específicos, formalização documental e capacidade de comprovação. Entre os principais blocos exigidos estão:
- Autenticação robusta e MFA;
- Criptografia de dados;
- Mecanismos de prevenção de vazamento (DLP);
- Rastreabilidade e retenção segura de logs;
- Gestão contínua de vulnerabilidades;
- Pentest anual com independência documentada;
- Segmentação e monitoramento de rede;
- Segurança em APIs;
- Monitoramento de internet, Deep e Dark Web;
- Registro formal de incidentes relevantes.
O Bacen exige que o controle exista, funcione, esteja documentado e possa ser demonstrado em eventual inspeção.
Comparativo direto
Para tornar a comparação mais clara, organizamos abaixo duas tabelas com os principais pontos que o CIS Controls e a ISO 27001 já contemplam em relação às exigências do Bacen. Confira a síntese.
Norma Bacen x CIS Controls
| Artigo na BCB 538 | Exigência da Norma | CIS Control v8 Aderente |
| Art. 3º, §2º, I | Autenticação (Multifator/Robusta) | 05 (Account Management) |
| 06 (Access Control Management) | ||
| Art. 3º, §2º, II | Mecanismos de Criptografia | 03 (Data Protection) |
| Art. 3º, §2º, III | Prevenção e detecção de intrusão | 13 (Network Monitoring and Defense) |
| Art. 3º, §2º, IV | Prevenção de vazamento (DLP) | 03 (Data Protection) |
| Art. 3º, §2º, V | Proteção contra malware | 10 (Malware Defenses) |
| Art. 3º, §2º, VI e §7º | Rastreabilidade e Logs (Audit Trails) | 08 (Audit Log Management) |
| Art. 3º, §2º, VII | Cópias de segurança (Backup) | 11 (Data Recovery) |
| Art. 3º, §2º, VIII e §8º | Gestão de Vulnerabilidades (Scans) | 07 (Continuous Vulnerability Management) |
| Art. 3º, §2º, IX e §9º | Controles de Acesso (Least Privilege) | 06 (Access Control Management) |
| Art. 3º, §2º, X e §10 | Configuração Segura (Hardening) | 04 (Secure Configuration of Assets) |
| Art. 3º, §2º, XI e §11 | Proteção de Rede (Firewall, Segmentação) | 12 (Network Infrastructure Management) |
| Art. 3º, §2º, XII e §12 | Gestão de Certificados Digitais | 03 (Data Protection – Key Mgmt) |
| Art. 3º, §2º, XIII | Segurança em APIs e Interfaces | 16 (Application Software Security) |
| Art. 3º, §2º, XIV | Inteligência (Dark Web, Monitoramento) | 17 (Incident Response Management – Threat Intel) |
| Art. 3º, §3º | Desenvolvimento Seguro (DevSecOps) | 16 (Application Software Security) |
| Art. 3º-A | Requisitos para RSFN/Pix (Isolamento) | 12 (Network Infrastructure – Isolation) |
| Art. 22-A | Testes de Intrusão (Pentest) Anuais | 18 (Penetration Testing) |
| Art. 22-B | Gestão de Terceiros e Nuvem | 15 (Service Provider Management) |
Norma Bacen x ISO 27001
| Artigo na BCB 538 | Exigência da Norma | Controles ISO 27001:2022 Aderentes |
| Art. 3º, §2º, I | Autenticação (Multifator/Robusta) | A.5.17 Informações de autenticação |
| A.8.5 Autenticação Segura | ||
| Art. 3º, §2º, II | Mecanismos de Criptografia | A.8.24 Uso de Criptografia |
| Art. 3º, §2º, III | Prevenção e detecção de intrusão | A.8.16 Atividades de monitoramento |
| A.8.20 Segurança em redes | ||
| Art. 3º, §2º, IV | Prevenção de vazamento (DLP) | A.8.12 Prevenção de vazamento de dados |
| Art. 3º, §2º, V | Proteção contra malware | A.8.7 Proteção contra malware |
| Art. 3º, §2º, VI e §7º | Rastreabilidade e Logs (Audit Trails) | A.5.33 Proteção de registros |
| A.8.15 Log | ||
| A.8.16 Atividades de monitoramento | ||
| Art. 3º, §2º, VII | Cópias de segurança (Backup) | A.8.13 Backup das informações |
| Art. 3º, §2º, VIII e §8º | Gestão de Vulnerabilidades (Scans) | A.8.8 Gestão de vulnerabilidades técnicas |
| Art. 3º, §2º, IX e §9º | Controles de Acesso (Least Privilege) | A.5.15 Controle de Acesso |
| A.5.16 Gestão da identidade | ||
| A.5.17 Informação de autenticação | ||
| A.5.18 Direitos de acesso | ||
| A.8.2 Privilégios de acesso | ||
| Art. 3º, §2º, X e §10 | Configuração Segura (Hardening) | A.8.9 Gestão de configuração |
| A.7.13 Manutenção dos equipamentos | ||
| Art. 3º, §2º, XI e §11 | Proteção de Rede (Firewall, Segmentação) | A.8.20 Segurança em redes |
| A.8.21 Segurança dos serviços de rede | ||
| A.8.22 Segregação de redes | ||
| A.8.23 Filtragem da web | ||
| A.8.31 Separação dos ambientes de desenvolvimento, teste e produção | ||
| Art. 3º, §2º, XII e §12 | Gestão de Certificados Digitais | A.8.24 Uso de criptografia |
| Art. 3º, §2º, XIII | Segurança em APIs e Interfaces | A.8.26 Requisitos de segurança da Aplicação |
| Art. 3º, §2º, XIV | Inteligência (Dark Web, Monitoramento) | A.5.6 Contato com Grupos de Interesse Especial |
| A.5.7 Inteligência de ameaças | ||
| A.8.16 Atividades de monitoramento | ||
| Art. 3º, §3º | Desenvolvimento Seguro (DevSecOps) | A.8.25 Ciclo de vida de desenvolvimento seguro |
| A.8.26 Requisitos de segurança da Aplicação | ||
| A.8.28 Codificação segura | ||
| A.8.29 Testes de segurança em desenvolvimento e aceitação | ||
| A.8.30 Desenvolvimento Terceirizado | ||
| Art. 3º-A | Requisitos para RSFN/Pix (Isolamento) | A.8.20 Segurança em redes |
| A.8.22 Segregação de redes | ||
| Art. 22-A | Testes de Intrusão (Pentest) Anuais | A.8.8 Gestão de vulnerabilidades técnicas |
| A.8.29 Testes de segurança em desenvolvimento e aceitação | ||
| Art. 22-B | Gestão de Terceiros e Nuvem | A.5.19 Segurança da informação nas relações com fornecedores |
| A.5.20 Segurança da informação para uso de serviços em nuvem |
O CIS e ISO oferecem base técnica e organizacional sólida, equanto o Bacen adiciona camada regulatória específica.
Se já tenho CIS implementado, o que ajustar?
Instituições com maturidade baseada em CIS geralmente precisam:
- Formalizar evidências alinhadas à redação normativa;
- Garantir documentação completa e independência do pentest;
- Implementar e comprovar requisitos específicos para Pix/RSFN;
- Estruturar registro regulatório de incidentes;
- Formalizar processo de monitoramento de ameaças externas.
Se já tenho ISO certificada, o que revisar?
No caso da ISO, os principais pontos de atenção costumam envolver:
- Verificar se o escopo do SGSI cobre ambientes regulados;
- Ajustar controles técnicos específicos exigidos pelo Bacen;
- Confirmar que pentest atende à periodicidade e independência exigidas;
- Organizar evidências com foco em inspeção regulatória.
Conclusão
CIS Controls, ISO 27001 e as normas do Bacen operam em camadas complementares. O CIS fortalece a execução técnica. A ISO estrutura governança e gestão. O Bacen define o padrão regulatório obrigatório para o setor financeiro brasileiro.
Para instituições que já possuem maturidade baseada em frameworks internacionais, o momento atual não exige começar do zero. A proximidade do prazo pede uma análise direcionada às lacunas específicas da norma, com foco em evidência, formalização e aderência explícita aos requisitos regulatórios.
No contexto do Sistema Financeiro Nacional, maturidade técnica é fundamental. Mas é a conformidade regulatória que consolida segurança jurídica e estabilidade operacional.
Nesse cenário, contar com uma visão especializada faz diferença. A Clavis apoia instituições financeiras na adequação às normas do Bacen por meio de análises direcionadas de aderência, mapeamento de lacunas regulatórias, validação técnica de controles e organização de evidências para inspeção.
Mais do que implementar ferramentas, o foco está em alinhar maturidade técnica, governança e exigência normativa, garantindo que a instituição não apenas esteja protegida, mas plenamente preparada para demonstrar conformidade.






