Por Silvana de Oliveira – Perita Judicial, Grafotécnica, Especialista em Provas Digitais e Investigação Forense.
Em 5 de setembro de 2025, o Banco Central do Brasil (BCB) publicou a Resolução BCB Nº 498 DE 05/09/20251 que disciplina, no âmbito do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB), os requisitos, procedimentos e condições para o credenciamento de Provedores de Serviços de Tecnologia da Informação (PSTI). Essa iniciativa busca consolidar a segurança, a confiabilidade e a continuidade dos serviços de processamento de dados críticos para o funcionamento da Rede do Sistema Financeiro Nacional (RSFN).
Contexto e Objetivos do Credenciamento
O credenciamento de PSTI não configura autorização para a atividade econômica, mas garante que a prestação de serviços de processamento de dados esteja em conformidade com normas de segurança, governança corporativa e gestão de riscos. Segundo a resolução, o PSTI é definido como a entidade apta a prestar serviços às instituições financeiras e demais instituições supervisionadas pelo BCB, com foco na segurança da comunicação eletrônica de dados no SFN.
Entre os objetivos centrais do credenciamento, destacam-se:
- Garantir a integridade, disponibilidade e confidencialidade das informações trafegadas na RSFN.
- Estabelecer padrões de governança corporativa e gestão de riscos compatíveis com o porte e complexidade do PSTI.
- Assegurar mecanismos robustos de continuidade de negócios e gestão de crises operacionais.
- Promover auditoria interna e externa, certificação em segurança da informação e monitoramento contínuo das operações.
Requisitos Essenciais para Credenciamento
O processo de credenciamento estabelece diversos requisitos que vão desde a capacidade técnico-operacional até a solidez econômico-financeira:
- Capacidade Técnica e Operacional: Demonstração de experiência e infraestrutura adequada para operar com segurança, incluindo diretores responsáveis por segurança da informação, riscos, compliance e gestão de crises operacionais.
- Governança Corporativa: Estrutura de decisões transparente, segregação de funções críticas, conselho de administração proporcional e com membros independentes quando necessário, além de políticas formais de segurança, compliance e continuidade de negócios.
- Segurança Cibernética: Implementação de mecanismos de criptografia, prevenção de intrusões, controle de acesso, rastreabilidade de transações, segregação de ambientes críticos (PIX e STR) e monitoramento de ameaças em redes abertas e privadas.
- Capacidade Financeira e Patrimonial: Capital social mínimo de R$ 15 milhões, com possibilidade de exigência superior conforme perfil de risco, assegurado por auditoria independente.
- Auditoria e Certificações: Certificação internacional em segurança da informação, auditoria externa anual em segurança da informação, prevenção à lavagem de dinheiro e cobertura de seguro contra riscos operacionais e fraudes.
Além desses requisitos, os PSTIs devem manter plano de continuidade de negócios, políticas de gestão de crises e fraudes, bem como elaborar planos de saída ordenada para mitigação de impactos sobre instituições contratantes.
Governança Corporativa e Gestão de Riscos
A resolução enfatiza que a governança corporativa deve assegurar decisões estratégicas transparentes, mitigação de conflitos de interesse e gestão de riscos eficaz. O PSTI deve instituir comitês para gestão de crises operacionais e definir diretores críticos para funções estratégicas, como segurança cibernética, riscos, compliance, auditoria e relacionamento regulatório com o BCB.
A gestão de riscos inclui políticas para segurança da informação, continuidade de negócios, fraudes, auditoria interna, controles internos e conformidade, bem como segregação física e lógica de ambientes críticos. A rastreabilidade de transações, testes periódicos de vulnerabilidades e monitoramento constante são exigências centrais.
Prestação de Informações e Monitoramento
O PSTI deve prestar informações regulares e detalhadas ao BCB, incluindo demonstrações financeiras auditadas, relatórios de auditoria interna e externa, incidentes operacionais, alterações societárias e mudanças na arquitetura tecnológica. Esse fluxo de informações garante supervisão contínua e possibilita medidas preventivas ou corretivas rápidas.
Medidas Cautelares e Descredenciamento
O BCB pode adotar medidas cautelares em caso de falhas operacionais, incidentes de segurança, descumprimento de requisitos ou deficiências relevantes nos controles internos. Entre as medidas possíveis estão restrições operacionais, suspensão parcial ou total da conexão à RSFN, reforço em requisitos de segurança e implementação do plano de saída ordenada.
O descredenciamento pode ocorrer a pedido do PSTI ou de ofício pelo BCB, especialmente em casos de descumprimento grave ou recorrente das normas de credenciamento, comprometimento da segurança ou falhas de governança.
Impacto na Cadeia Digital do Sistema Financeiro
O credenciamento de PSTIs tem impacto direto na cadeia de custódia digital do SFN, garantindo rastreabilidade, integridade e segurança das transações financeiras. O alinhamento entre infraestrutura tecnológica, processos internos e requisitos regulatórios fortalece a confiança no SPB, prevenindo fraudes, interrupções e incidentes cibernéticos.
A Resolução do Banco Central do Brasil representa um marco regulatório para o credenciamento de PSTIs, unindo governança corporativa, gestão de riscos e segurança cibernética em um arcabouço legal robusto. A implementação de práticas avançadas de auditoria, continuidade de negócios e monitoramento contínuo garante que o Sistema de Pagamentos Brasileiro mantenha resiliência, confiabilidade e integridade em todas as operações de processamento de dados.
Art. 17. A política de segurança da informação e cibernética de que trata o art. 16 deve contemplar, no mínimo, os seguintes aspectos:
I – mecanismos de criptografia, de prevenção e detecção de intrusão, de prevenção de vazamentos de informações e de proteção contra softwares maliciosos;
II – mecanismos de rastreabilidade de transações;
III – gestão de cópias de segurança dos dados e das informações;
IV – avaliação e correção de vulnerabilidades do ambiente computacional e dos sistemas de informação utilizados na prestação de serviços;
V – controle de acesso;
VI – aplicação regular de correções de segurança;
VII – mecanismos de proteção da rede;
VIII – segregação dos ambientes computacionais, limitando-se o acesso ao ambiente de produção e aos recursos computacionais críticos;
IX – isolamento físico e lógico do ambiente Pix dos demais sistemas da instituição, caso seja também provedor de software como serviço para participante desse ecossistema de pagamentos, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de nuvem pública;
X – isolamento físico e lógico do ambiente Sistema de Transferência de Reservas – STR dos demais sistemas da instituição, caso seja também provedor de software como serviço para participante desse ecossistema de pagamentos, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de nuvem pública;
XI – gestão de certificados digitais;
XII – controles específicos para integração com outras partes por meio de interfaces eletrônicas;
XIII – certificação técnica das soluções de tecnologia da informação utilizadas por instituições financeiras e outras instituições supervisionadas pelo Banco Central do Brasil para integrar, por meio de interfaces eletrônicas, com os serviços providos pelo PSTI; e
XIV – ações de inteligência cibernética, incluindo o monitoramento de informações de interesse (clientes, chaves, credenciais, vulnerabilidades etc.) na Internet, Deep e Dark Web, além de grupos privados de comunicação.
- Resolução BCB Nº 498 DE 05/09/2025 https://www.legisweb.com.br/legislacao/?id=483154 ↩︎
Vimos que você gostou e quer compartilhar. Sem problemas, desde que cite o link da página. Lei de Direitos Autorais, (Lei 9610 de 19/02/1998), sua reprodução total ou parcial é proibida nos termos da Lei
