O Banco Central do Brasil revisou a política de segurança cibernética para instituições financeiras autorizadas. As atualizações incluem requisitos mais rígidos para a contratação de serviços de processamento, armazenamento e computação em nuvem, visando fortalecer a proteção dos sistemas do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.
Entre as mudanças, estão a obrigatoriedade de autenticação multifatorial, isolamento de ambientes, gestão de certificados digitais e testes anuais de intrusão realizados por profissionais independentes. Além disso, é proibido o acesso de terceiros às chaves privadas das instituições.
As instituições têm até 1º de março de 2026 para se adequarem às novas normas, alinhadas a práticas internacionais, com foco na segurança e resiliência cibernética. O objetivo é uniformizar o ambiente regulatório e proteger melhor os dados e sistemas financeiros no Brasil.
O Banco Central do Brasil atualizou a política de segurança cibernética e os requisitos para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem pelas instituições financeiras autorizadas pelo órgão. A medida visa uniformizar o ambiente regulatório e reforçar a proteção das infraestruturas e sistemas do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro, especialmente com o aumento do tráfego decorrente da adoção do Pix.
Entre as novidades, estão a inclusão de requisitos mínimos adicionais para segurança cibernética, como gestão de certificados digitais, integração segura de sistemas e ações de inteligência cibernética. Também entram no escopo novos controles para o desenvolvimento de sistemas, incluindo aqueles adquiridos ou desenvolvidos por terceiros.
O BC reforça a segurança na comunicação de dados entre as instituições e a Rede do Sistema Financeiro Nacional, exigindo autenticação multifatorial, isolamento de ambientes e monitoramento rigoroso de credenciais. É proibido o acesso de terceiros às chaves privadas das instituições.
Além disso, as instituições devem realizar testes de intrusão anuais, conduzidos por profissionais independentes, e manter a documentação dos resultados e planos de correção disponíveis para o Banco Central por cinco anos. O serviço de comunicação eletrônica de dados é qualificado como serviço relevante, sujeitando-se a padrões rigorosos de gestão de riscos e supervisão.
O prazo para que as instituições se adequem às novas normas vai até 1º de março de 2026, seguindo uma agenda regulatória focada na segurança e resiliência cibernética e alinhada às práticas internacionais.
Via TI Inside
