Filie-se

Tire suas dúvidas aqui

  TI  Banco Central exige que bancos isolem ambiente do Pix
TI

Banco Central exige que bancos isolem ambiente do Pix

Novas regras classificam a nuvem como infraestrutura crítica e estabelecem padrões rígidos de cibersegurança e governança

06/01/2026

PinterestLinkedInTumblrRedditVKWhatsApp

O Banco Central e o Conselho Monetário Nacional promoveram mudanças relevantes nas normas que tratam de computação em nuvem e segurança cibernética no sistema financeio. As Resoluções BCB nº 538 e CMN nº 5.274 passaram a enquadrar a nuvem como infraestrutura crítica, sujeita a requisitos técnicos mais detalhados e a um processo de supervisão mais rigoroso por parte do regulador.

O novo arcabouço regulatório reduz a flexibilidade das instituições na definição de controles e passa a exigir a implementação de mecanismos específicos de proteção. Entre eles estão controles de autenticação, criptografia de dados, rastreabilidade de operações, gestão estruturada de vulnerabilidades, realização periódica de testes de intrusão e ações de inteligência cibernética.

Não é só por R$ 35! Fortaleça a sua categoria e acesse benefícios exclusivos

Essas ações incluem, de forma expressa, o acompanhamento de informações disponíveis tanto na internet aberta quanto na deep web e na dark web, ampliando o escopo de vigilância exigido das instituições financeiras.

Novas exigências

Um dos pontos mais sensíveis das novas regras é a determinação de isolamento físico e lógico dos ambientes que suportam o Pix e o Sistema de Transferência de Reservas (STR). Sempre que esses sistemas estiverem hospedados em nuvem, as instituições deverão manter instâncias exclusivas e separadas dos demais ambientes tecnológicos.

As normas também expandem o alcance da regulação ao classificar formalmente a comunicação eletrônica de dados na Rede do Sistema Financeiro Nacional (RSFN) como serviço relevante para fins das regras de contratação de nuvem. A exigência se aplica independentemente do tipo de conexão utilizada e abrange prestadores responsáveis pelo processamento de mensagens no âmbito do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.

As resoluções proíbem que empresas prestadoras de serviços tenham acesso às chaves privadas vinculadas a certificados digitais usados na assinatura de mensagens, especialmente nas operações do Pix. Também são detalhadas obrigações relativas à gestão e à guarda desses certificados.

O Banco Central reforça ainda que práticas como controle de acessos, segmentação de redes e monitoramento de conexões fora do horário comercial devem ser integralmente aplicadas aos ambientes em nuvem.

Cibersegurança

No campo da cibersegurança, os requisitos para testes de intrusão se tornam mais rigorosos. A partir das novas regras, esses testes devem ocorrer ao menos uma vez por ano, ser conduzidos com independência e resultar em documentação formal, incluindo planos de ação para correção das falhas identificadas.

Os resultados desses testes, assim como informações sobre incidentes cibernéticos relevantes e exercícios de continuidade de negócios, passam a integrar os relatórios periódicos enviados à alta administração, aproximando o tema da esfera de governança estratégica das instituições.

As instituições financeiras e de pagamento terão até 1º de março de 2026 para se adequar às novas exigências estabelecidas pelo Banco Central e pelo Conselho Monetário Nacional.

(Com informações de Convergência Digital)
(Foto:

PinterestLinkedInTumblrRedditVKWhatsApp
Saque-aniversário do FGTS 2026 começa a ser pago; veja calendário
Falha no WhatsApp expõe dados de celular de usuários
Leia Mais
Carregar mais