Banco Central reforça segurança da nuvem e manda isolar Pix
Banco Central – O Banco Central e o Conselho Monetário Nacional promoveram mudanças relevantes nas normas que tratam de computação em nuvem e segurança cibernética no sistema financeiro. As Resoluções BCB nº 538 e CMN nº 5.274 passaram a enquadrar a nuvem como infraestrutura crítica, sujeita a requisitos técnicos mais detalhados e a um processo de supervisão mais rigoroso por parte do regulador.
O novo arcabouço regulatório reduz a flexibilidade das instituições na definição de controles e passa a exigir a implementação de mecanismos específicos de proteção. Entre eles estão controles de autenticação, criptografia de dados, rastreabilidade de operações, gestão estruturada de vulnerabilidades, realização periódica de testes de intrusão e ações de inteligência cibernética.
LEIA: FGTS libera saque-aniversário de 2026; veja quem tem recebe e o calendário
Essas ações incluem, de forma expressa, o acompanhamento de informações disponíveis tanto na internet aberta quanto na deep web e na dark web, ampliando o escopo de vigilância exigido das instituições financeiras.
Um dos pontos mais sensíveis das novas regras é a determinação de isolamento físico e lógico dos ambientes que suportam o Pix e o Sistema de Transferência de Reservas (STR). Sempre que esses sistemas estiverem hospedados em nuvem, as instituições deverão manter instâncias exclusivas e separadas dos demais ambientes tecnológicos.
As normas também expandem o alcance da regulação ao classificar formalmente a comunicação eletrônica de dados na Rede do Sistema Financeiro Nacional (RSFN) como serviço relevante para fins das regras de contratação de nuvem. A exigência se aplica independentemente do tipo de conexão utilizada e abrange prestadores responsáveis pelo processamento de mensagens no âmbito do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.
As resoluções proíbem que empresas prestadoras de serviços tenham acesso às chaves privadas vinculadas a certificados digitais usados na assinatura de mensagens, especialmente nas operações do Pix. Também são detalhadas obrigações relativas à gestão e à guarda desses certificados.
O Banco Central reforça ainda que práticas como controle de acessos, segmentação de redes e monitoramento de conexões fora do horário comercial devem ser integralmente aplicadas aos ambientes em nuvem.
No campo da cibersegurança, os requisitos para testes de intrusão se tornam mais rigorosos. A partir das novas regras, esses testes devem ocorrer ao menos uma vez por ano, ser conduzidos com independência e resultar em documentação formal, incluindo planos de ação para correção das falhas identificadas.
Os resultados desses testes, assim como informações sobre incidentes cibernéticos relevantes e exercícios de continuidade de negócios, passam a integrar os relatórios periódicos enviados à alta administração, aproximando o tema da esfera de governança estratégica das instituições.
As instituições financeiras e de pagamento terão até 1º de março de 2026 para se adequar às novas exigências estabelecidas pelo Banco Central e pelo Conselho Monetário Nacional.
(Com informações de Convergência Digital)
(Foto: Reprodução/Agência Brasil/Marcello Casal)
Sentimento de insatisfação na carreira nem sempre está ligado apenas ao cansaço, explicam especialistas
Criminosos estão comprometendo ferramentas usadas por desenvolvedores, criando ciclo de infecções capaz de atingir milhares…
Estudos apontam mudanças em áreas do cérebro ligadas à aprendizagem, memória e tomada de decisões