Altera a Resolução BCB 85 para atualizar requisitos de segurança cibernética e contratação de serviços de computação em nuvem para instituições financeiras.
A Resolução BCB nº 538/2025 reforça o padrão de segurança cibernética para instituições alcançadas pela Resolução BCB nº 85/2021.
📌 Amplia controles mínimos e exige evidências técnicas auditáveis.
⚠️ Dá atenção especial a RSFN, Pix, STR, interfaces eletrônicas e terceiros.
🧾 Exige testes de intrusão, planos de ação, relatório anual e retenção documental.
🔎 Pacote marcado como revisar pela limitação de captura automatizada do texto integral oficial.
A Resolução BCB nº 538/2025 é uma norma alteradora. Seu papel é modificar a Resolução BCB nº 85/2021, que disciplina a política de segurança cibernética e os requisitos para contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem por instituições alcançadas pela regulação do Banco Central. O pacote foi construído como retrato da norma alteradora: ele não replica todos os requisitos da Resolução BCB nº 85/2021, mas destaca os comandos novos ou materialmente alterados que nasceram da Resolução BCB nº 538/2025.
O efeito operacional central é elevar o grau de prescrição, evidência e auditabilidade dos controles de segurança cibernética. A alteração deixa menos espaço para políticas apenas principiológicas e exige que as instituições demonstrem controles técnicos e organizacionais em temas como rastreabilidade, vulnerabilidades, acessos, configuração segura, proteção de rede, certificados digitais, interfaces eletrônicas, inteligência cibernética, infraestrutura crítica de pagamentos e testes de intrusão.
A norma também cria impactos de governança relevantes: resultados de testes devem alimentar relatórios e planos de ação; evidências de crises, testes e correções devem permanecer disponíveis ao Banco Central; prestadores envolvidos em mensagens ou conectividade crítica não afastam a responsabilidade da instituição; e o prazo de adequação divulgado pelo Banco Central foi 1º de março de 2026.
A Resolução BCB nº 538/2025 altera a Resolução BCB nº 85/2021. O escopo material está ligado às instituições de pagamento, sociedades corretoras de títulos e valores mobiliários, sociedades distribuidoras de títulos e valores mobiliários e sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil, conforme a ementa oficial identificada para a norma alteradora.
A segmentação do pacote usa uma combinação de tags específicas disponíveis para instituições de pagamento, corretoras e distribuidoras, mas também utiliza uma tag setorial financeira ampla para reduzir falso negativo em relação às sociedades corretoras de câmbio, pois o dicionário fornecido não traz tag granular específica para essa categoria. Esse ponto foi registrado no manifest como limitação de roteamento. Na prática, a aplicabilidade não decorre de qualquer atuação genérica em finanças: depende de enquadramento como entidade autorizada e alcançada pela Resolução BCB nº 85/2021.
O primeiro bloco relevante é a atualização da política de segurança cibernética. A instituição deve revisar o documento formal, a matriz de controles e a governança de segurança para incorporar os controles mínimos ampliados. O requisito não é apenas documental: cada controle deve ter dono, processo, evidência, forma de monitoramento e conexão com gestão de riscos.
O segundo bloco alcança desenvolvimento seguro, novas tecnologias e sistemas de terceiros. A norma evita que sistemas adquiridos, desenvolvidos por terceiros ou implantados em recursos computacionais da própria instituição fiquem fora do perímetro de controle. Isso exige revisão de SDLC, homologação, gestão de mudanças, due diligence de fornecedores, cláusulas contratuais e evidências de segurança por projeto ou sistema.
O terceiro bloco trata de rastreabilidade. A instituição precisa manter mecanismos suficientes para reconstruir transações, operações e eventos relevantes. Esse comando impacta arquitetura de logs, integridade dos registros, retenção, correlação de eventos, SIEM, trilhas de auditoria e capacidade investigativa. A rastreabilidade precisa ser testável, especialmente em sistemas críticos de pagamento e comunicação com infraestrutura financeira.
O quarto bloco reúne controles técnicos de base: avaliação e correção de vulnerabilidades, controles de acesso, perfis de configuração segura, proteção de rede e gestão de certificados digitais. Embora cada tema tenha disciplina própria, eles foram consolidados em um requisito operacional porque compartilham ciclo técnico, evidências e área primária. A empresa deve manter inventário, varreduras, priorização de riscos, revisão de acessos, hardening, segmentação ou proteção de rede e ciclo de vida de certificados.
O quinto bloco trata de interfaces eletrônicas e inteligência cibernética. As integrações por APIs, conectores e interfaces entre sistemas passam a exigir requisitos próprios de segurança. Em paralelo, ações de inteligência no ambiente cibernético tornam-se parte do conjunto mínimo: monitorar exposições, credenciais, menções relevantes e ameaças externas passa a ser evidência de postura preventiva.
O sexto bloco é o mais crítico para instituições com RSFN, Pix, STR ou participação em sistemas do mercado financeiro. A norma exige requisitos adicionais para comunicação eletrônica de dados, isolamento, monitoramento, credenciais, certificados, integridade de transações e prevenção, detecção e resposta a fraude. Esse conjunto deve ser tratado como infraestrutura crítica e receber governança executiva.
Para compliance, o maior impacto é a necessidade de transformar controles técnicos em obrigações acompanháveis. A área não precisa executar todos os controles, mas deve ser capaz de coordenar matriz de aderência, dono interno, evidência, status de correção e reporte à governança. A norma também aumenta a relevância de dossiês regulatórios: política revisada, relatório anual, testes de intrusão, planos de ação, documentação de crises e evidências de retenção passam a compor um trilho de auditoria.
O pacote sugere dez requisitos. Nove estão ativos como obrigações ou procedimentos contínuos; um é histórico, relativo ao prazo de adequação até 1º de março de 2026. Esse item transitório foi marcado como encerrado porque, na data de geração do pacote, o marco já passou. Ele continua útil para auditoria retrospectiva e comprovação de projeto de adequação.
Tecnologia e segurança da informação são os donos operacionais mais frequentes. Riscos e controles participam da priorização, teste, monitoramento e aceitação de risco. Compliance atua como coordenador regulatório, especialmente para matriz de aderência, relatório anual e dossiê de evidências. Suprimentos e contratos entram quando há prestadores de desenvolvimento, nuvem, mensagens ou conectividade crítica. Diretoria ou governança executiva devem participar dos temas estruturantes, como política, infraestrutura crítica, plano de adequação e riscos de alto impacto.
As evidências mais relevantes são: política de segurança cibernética revisada; matriz de controles mínimos; checklist de desenvolvimento seguro; avaliação de sistemas de terceiros; matriz de rastreabilidade; relatórios de vulnerabilidades; revisão de acessos privilegiados; inventário de certificados; padrão de integração segura; relatórios de inteligência cibernética; diagramas de segregação de ambientes críticos; inventário de chaves e credenciais; relatório anual de incidentes e testes; relatório de teste de intrusão independente; planos de ação; dossiês de crises; e dossiê histórico de adequação.
O primeiro ponto de atenção é a fonte. A identificação oficial foi localizada no site do Banco Central, mas a captura automatizada da íntegra oficial retornou página dependente de JavaScript. Por isso, o pacote está marcado como revisar. A curadoria usou a página oficial do normativo, a notícia oficial do Banco Central e referências auxiliares para montar um retrato operacional. Antes de importação produtiva definitiva, recomenda-se confrontar localizadores e redações com o PDF ou texto oficial integral obtido diretamente do BCB.
O segundo ponto é não consolidar indevidamente. Este pacote não atualiza toda a Resolução BCB nº 85/2021 nem substitui uma curadoria completa da norma consolidada. Ele registra os comandos novos ou alterados pela Resolução BCB nº 538/2025 e os efeitos em alteracoesRequisitos.
O terceiro ponto é a granularidade dos controles técnicos. Em uma empresa com alta complexidade, pode ser recomendável dividir o requisito de vulnerabilidades, acessos, configuração, rede e certificados em requisitos separados dentro do workspace, porque cada um pode ter áreas, ferramentas e evidências próprias. No pacote automático, esses temas foram agrupados por relação operacional e para evitar multiplicação excessiva de itens.
O quarto ponto é a terceirização. A norma reforça que terceiros não eliminam responsabilidade da instituição. Isso afeta contratos, SLAs, auditorias, evidências técnicas, direito de acesso a informações, testes, continuidade e resposta a incidentes.
O quinto ponto é infraestrutura crítica. Ambientes Pix, STR, RSFN e sistemas do mercado financeiro devem receber tratamento de maior criticidade. A instituição deve conseguir demonstrar isolamento, controle de credenciais, proteção de chaves, monitoramento, integridade de transações e resposta antifraude.
O mapa de cobertura registra o preâmbulo e a ementa como elementos de identificação, sem requisito próprio. O art. 24 da Resolução BCB nº 85/2021, conforme alterado, foi tratado como alteração de competência do Banco Central para estabelecer especificações complementares; ele não gerou requisito empresarial autônomo neste pacote porque depende de regulamentação técnica posterior ou de ato específico. O prazo de adequação foi tratado como requisito histórico encerrado. Os demais blocos operacionais foram convertidos em requisitos quando havia ação, controle, evidência, entrega, retenção ou governança verificável.
Nenhum item vinculado a este artefato.
