Quais são as disposições gerais sobre a continuidade de negócios?

As instituições devem assegurar que suas políticas para gerenciamento de riscos disponham sobre o tratamento de incidentes relevantes relacionados com o ambiente cibernético, procedimentos para interrupção de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, e cenários de incidentes considerados nos testes de continuidade de negócios.

O que deve ser incluído no plano de ação e de resposta a incidentes?

O plano de ação e de resposta a incidentes deve incluir ações para adequar as estruturas organizacional e operacional aos princípios da política de segurança cibernética, rotinas e procedimentos para prevenção e resposta a incidentes, e a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Quais são as disposições finais da Resolução CMN Nº 4.893?

As instituições devem manter à disposição do Banco Central do Brasil por cinco anos os documentos relativos à política de segurança cibernética, plano de ação e de resposta a incidentes, relatórios anuais, documentação sobre procedimentos de contratação de serviços, contratos de prestação de serviços, e dados e registros dos mecanismos de acompanhamento e controle. O Banco Central do Brasil pode adotar medidas para cumprimento da resolução, estabelecer requisitos e procedimentos para compartilhamento de informações, certificações exigidas, prazos máximos para reinício de atividades, e requisitos técnicos e operacionais.

Quais informações devem ser comunicadas ao Banco Central do Brasil sobre a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem?

As instituições devem comunicar ao Banco Central do Brasil a denominação da empresa contratada, os serviços relevantes contratados, e a indicação dos países e regiões onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados. A comunicação deve ser realizada até dez dias após a contratação dos serviços.

A quem se aplica a Resolução CMN Nº 4.893?

A resolução se aplica às instituições autorizadas a funcionar pelo Banco Central do Brasil, exceto às instituições de pagamento, que devem observar regulamentação específica do Banco Central do Brasil.

Quais são os requisitos mínimos que a política de segurança cibernética deve contemplar?

A política de segurança cibernética deve contemplar, no mínimo, os objetivos de segurança cibernética da instituição, procedimentos e controles para reduzir vulnerabilidades, controles específicos para garantir a segurança das informações sensíveis, registro e análise de incidentes relevantes, diretrizes para elaboração de cenários de incidentes, disseminação da cultura de segurança cibernética e iniciativas para compartilhamento de informações sobre incidentes relevantes.

Resolução CMN N° 4.893 | Banco Central

Q: Quem deve ser designado para ser responsável pela política de segurança cibernética?

As instituições devem designar um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes. Esse diretor pode desempenhar outras funções na instituição, desde que não haja conflito de interesses.

Q: O que é a Resolução CMN Nº 4.893?

A Resolução CMN Nº 4.893, de 26 de fevereiro de 2021, dispõe sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

Q: Quais são os princípios e diretrizes que a política de segurança cibernética deve assegurar?

A política de segurança cibernética deve assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pelas instituições.

Q: O que deve ser previsto nos contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem?

Os contratos devem prever a indicação dos países e regiões onde os serviços serão prestados, medidas de segurança para transmissão e armazenamento dos dados, manutenção da segregação dos dados e controles de acesso, transferência e exclusão dos dados em caso de extinção do contrato, acesso da instituição contratante a informações e relatórios de auditoria, notificação sobre subcontratação de serviços relevantes, permissão de acesso do Banco Central do Brasil aos contratos e informações, adoção de medidas determinadas pelo Banco Central do Brasil, e notificação sobre limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação.

Q: Quais são os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem?

As instituições devem assegurar que suas políticas de gerenciamento de riscos contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, adotando práticas de governança corporativa e gestão proporcionais à relevância do serviço e aos riscos, e verificando a capacidade do prestador de serviço de assegurar o cumprimento da legislação, acesso aos dados, confidencialidade, integridade, disponibilidade e recuperação dos dados, entre outros requisitos.

Resumo executivo

A Resolução CMN nº 4.893, de 26 de fevereiro de 2021, é uma norma autônoma de segurança cibernética e contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem. O documento estrutura um regime operacional para instituições autorizadas a funcionar pelo Banco Central do Brasil, com exclusão expressa das instituições de pagamento no texto original. O núcleo da norma está em três frentes: política de segurança cibernética, plano de ação e resposta a incidentes, e governança de contratação de serviços tecnológicos relevantes, inclusive quando prestados no exterior.

A curadoria foi construída como retrato-fonte do texto original publicado em 2021. Isso significa que os requisitos, status e prazos refletem o documento-fonte analisado, sem consolidar alterações posteriores. O pacote registra também os efeitos de revogação expressos no próprio art. 27, que revoga a Resolução nº 4.658/2018 e a Resolução nº 4.752/2019, por meio de alteracoesRequisitos, sem recriar os requisitos das normas revogadas.

Escopo e sujeitos regulados

O art. 1º delimita o alcance da Resolução: instituições autorizadas a funcionar pelo Banco Central do Brasil. O parágrafo único exclui as instituições de pagamento, que devem observar regulamentação própria emanada pelo Banco Central. Para fins de segmentação na plataforma, a curadoria usa uma lista positiva de tags de entidades financeiras e demais autorizadas disponíveis no dicionário, sem incluir instituições de pagamento. Esse recorte busca evitar o falso positivo mais material indicado pelo próprio texto original.

A norma alcança instituições que executem diretamente seus sistemas e processos, mas também trata de forma intensa a contratação de terceiros. A aplicabilidade dos requisitos de nuvem e processamento depende de uma condição operacional: contratação ou intenção de contratar serviço relevante de processamento, armazenamento de dados ou computação em nuvem. Para serviços prestados no exterior, há camada adicional de requisitos, ligada à existência de convênio de troca de informações, acesso da instituição e do Banco Central aos dados, definição prévia de países e regiões e alternativas de continuidade de negócios.

Política de segurança cibernética

A política de segurança cibernética é o eixo central da norma. Ela deve ser implementada e mantida com base em princípios e diretrizes que busquem assegurar confidencialidade, integridade e disponibilidade de dados e sistemas. A política precisa ser compatível com o porte, perfil de risco, modelo de negócio, natureza das operações, complexidade dos produtos, serviços, atividades e processos, e sensibilidade dos dados e informações sob responsabilidade da instituição.

A curadoria separa o requisito de implementação da política dos requisitos de conteúdo mínimo e controles técnicos. Essa separação é importante porque a instituição pode ter uma política formal, mas ainda falhar em temas específicos exigidos pela norma. O conteúdo mínimo inclui objetivos de segurança, procedimentos e controles para reduzir vulnerabilidades, controles voltados a informações sensíveis e rastreabilidade, registro e análise de incidentes, diretrizes de continuidade, controles de terceiros, classificação de dados, parâmetros de relevância de incidentes, cultura de segurança e iniciativas de compartilhamento de informações.

A norma também admite política única por conglomerado prudencial ou sistema cooperativo de crédito. Quando a instituição não constituir política própria por adotar essa faculdade, deve formalizar a opção em reunião do conselho de administração ou, se inexistente, da diretoria. Por isso, o pacote cria requisito próprio de governança para essa formalização, condicionado à adoção de política única.

Controles, incidentes e cultura

O art. 3º detalha controles mínimos que devem abranger autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, testes e varreduras de vulnerabilidades, proteção contra softwares maliciosos, mecanismos de rastreabilidade, controles de acesso, segmentação de rede e manutenção de cópias de segurança. Esses controles também devem ser aplicados no desenvolvimento de sistemas seguros e na adoção de novas tecnologias. Por terem natureza técnica e impacto direto na resiliência, foram tratados como requisito operacional próprio.

A gestão de incidentes relevantes também foi extraída como requisito próprio. A instituição deve registrar incidentes, analisar causa e impacto e controlar efeitos, inclusive quando as informações forem recebidas de prestadores de serviços. Essa exigência se conecta ao relatório anual, aos testes de continuidade, à comunicação de crises ao Banco Central e às iniciativas de compartilhamento de informações sobre incidentes relevantes.

A cultura de segurança cibernética aparece como componente obrigatório da política. A norma menciona capacitação e avaliação periódica de pessoal, prestação de informações a clientes e usuários sobre precauções no uso de produtos e serviços financeiros e comprometimento da alta administração com melhoria contínua. A curadoria tratou esse bloco como obrigação operacional de disseminação de cultura, com evidências como plano de capacitação, materiais de orientação e registros de apoio da alta administração.

Divulgação, plano de resposta e governança

A Resolução exige divulgação da política aos funcionários e às empresas prestadoras de serviços a terceiros, em linguagem clara, acessível e compatível com as funções e a sensibilidade das informações. Também exige divulgação pública de resumo contendo as linhas gerais da política de segurança cibernética. A curadoria separa essas duas obrigações porque possuem destinatários, evidências e controles diferentes: a primeira é interna e voltada a execução; a segunda é externa e de transparência pública.

O plano de ação e resposta a incidentes deve implementar a política e abranger ações de adequação organizacional e operacional, rotinas, procedimentos, controles, tecnologias e área responsável pelo registro e controle dos efeitos de incidentes relevantes. A norma exige ainda diretor responsável pela política e pela execução do plano, permitindo acúmulo de funções desde que não haja conflito de interesses. Esses comandos foram extraídos como requisitos próprios porque envolvem governança, accountability e evidências distintas.

O relatório anual sobre a implementação do plano tem data-base de 31 de dezembro e deve abordar efetividade das ações, resultados de rotinas, procedimentos, controles e tecnologias, incidentes relevantes e testes de continuidade de negócios. Esse relatório deve ser submetido ao comitê de risco, quando existente, e apresentado ao conselho de administração ou à diretoria até 31 de março do ano seguinte. Por haver conteúdo anual e prazo de apresentação à governança, a curadoria criou requisitos e recorrências separados para elaboração do relatório e submissão à instância competente.

Contratação de processamento, armazenamento e nuvem

A Resolução trata serviços relevantes de processamento, armazenamento de dados e computação em nuvem como tema de gerenciamento de riscos e terceirização. As políticas, estratégias e estruturas de risco devem contemplar critérios de decisão para essa contratação, tanto no País quanto no exterior. Antes da contratação, a instituição deve adotar práticas de governança proporcionais à relevância do serviço e aos riscos, além de verificar a capacidade do potencial prestador em cumprir legislação e regulamentação, assegurar acesso a dados, preservar confidencialidade, integridade, disponibilidade e recuperação, aderir a certificações exigidas, disponibilizar relatórios de auditoria especializada, prover informações e recursos de gestão, segregar dados de clientes e manter controles de acesso adequados.

A avaliação prévia deve ser documentada e considerar criticidade do serviço e sensibilidade dos dados. Também há exigência de recursos e competências internas para gerir adequadamente os serviços. A curadoria reúne esses comandos em requisito de due diligence e documentação prévia de prestador, com controles de criticidade, dossiê de avaliação e matriz de responsabilidades internas.

Para aplicativos executados pela internet, há requisito específico de assegurar que o prestador adote controles capazes de mitigar efeitos de vulnerabilidades na liberação de novas versões. Esse ponto foi separado porque depende de um tipo específico de serviço e envolve práticas de release, homologação, testes, correção de vulnerabilidades e gestão de mudanças.

Comunicação ao Banco Central e serviços no exterior

A contratação de serviços relevantes deve ser comunicada ao Banco Central em até dez dias após a contratação, com denominação da empresa contratada, serviços relevantes contratados e, no caso de contratação no exterior, indicação dos países e regiões onde serviços poderão ser prestados e dados armazenados, processados ou gerenciados. Alterações contratuais que modifiquem essas informações também devem ser comunicadas ao Banco Central em até dez dias após a alteração contratual. Como o texto original não especifica canal, sistema ou formulário, o pacote não inventa referência operacional; os controles sugerem protocolo ou registro de envio conforme o canal efetivamente aplicável à instituição.

Para serviços no exterior, a norma exige existência de convênio de troca de informações entre o Banco Central e autoridades supervisoras, ausência de prejuízo ao funcionamento da instituição e de embaraço à atuação do Banco Central, definição prévia de países e regiões e alternativas de continuidade dos negócios. A instituição deve assegurar que legislação e regulamentação locais não restrinjam nem impeçam acesso da instituição e do Banco Central aos dados e informações. Quando não existir convênio, deve solicitar autorização ao Banco Central com antecedência mínima de sessenta dias antes da contratação ou alteração contratual relevante.

Contratos, continuidade e efetividade

Os contratos de serviços relevantes devem conter cláusulas sobre localidades de prestação e tratamento de dados, medidas de segurança, segregação de dados e controles de acesso, transferência e exclusão de dados na extinção contratual, acesso da instituição a informações, certificações, relatórios de auditoria e recursos de gestão, notificação de subcontratação, acesso do Banco Central a documentos, dados, backups e códigos de acesso, adoção de medidas determinadas pelo Banco Central e obrigação de informação sobre limitações que possam afetar a prestação ou cumprimento regulatório.

A norma também exige cláusulas específicas para regime de resolução, incluindo acesso pleno do responsável pelo regime de resolução e notificação prévia de interrupção com pelo menos trinta dias de antecedência, inclusive em caso de inadimplência, com aceitação de eventual prazo adicional de trinta dias. Essas cláusulas foram tratadas separadamente porque possuem finalidade crítica própria.

No campo de continuidade, a instituição deve tratar incidentes cibernéticos, interrupção de serviços relevantes contratados, substituição de prestador, restabelecimento da operação normal e cenários de testes. Os procedimentos também devem definir tratamento para mitigar efeitos de incidentes e interrupções, prazo de reinício ou normalização e comunicação tempestiva ao Banco Central quando a ocorrência configurar situação de crise. Os critérios de crise devem ser documentados.

Retenção, disposições transitórias e decisões de cobertura

O art. 23 estabelece retenção por cinco anos de documentos essenciais: política, ata de opção por política única, plano, relatório anual, documentação de contratação, documentação de serviços no exterior, contratos, registros dos mecanismos de controle e critérios de crise. Para contratos, o prazo é contado da extinção; para mecanismos de acompanhamento e controle, da implementação.

O art. 25 é transitório e exigiu adequação de contratos de serviços relevantes já existentes em 26 de abril de 2018, com prazo máximo até 31 de dezembro de 2021. O pacote registra esse requisito como encerrado, porque o próprio documento-fonte contém prazo final expresso. Ele continua útil para auditoria histórica e evidência pretérita, mas não deve ser tratado como obrigação recorrente atual.

Alguns dispositivos foram mantidos como pontos de documento sem requisito autônomo. O art. 13 define serviços de computação em nuvem e foi usado como suporte interpretativo para requisitos de contratação. O art. 18 delimita exceção para sistemas operados por câmaras, prestadores de compensação e liquidação ou entidades de registro ou depósito centralizado. O art. 24 trata de competência do Banco Central para adotar medidas e estabelecer requisitos, sem impor ação empresarial imediata no texto original. O art. 28 define a vigência geral, absorvida nos requisitos ativos.

Pontos de atenção para implantação

A implantação prática tende a exigir coordenação entre segurança da informação, tecnologia, riscos, compliance, jurídico, suprimentos, continuidade de negócios, diretoria e auditoria interna. Os pontos mais sensíveis são: calibragem da política ao perfil da instituição; evidência de controles mínimos; gestão de incidentes e critérios de crise; due diligence de prestadores; cláusulas contratuais obrigatórias; comunicação ao Banco Central; contratação no exterior; retenção documental; e testes de efetividade.

Também merece atenção a fronteira entre escopo institucional e condição operacional. Nem toda instituição terá contratação relevante de nuvem no exterior, mas toda instituição alcançada pela Resolução deve manter política, plano, governança e mecanismos de controle compatíveis. Já requisitos de comunicação, autorização e cláusulas contratuais são disparados por contratação ou alteração de serviço relevante.

Resolução Nº 4.893

RESOLUÇÃO CMN Nº 4.893, DE 26 DE FEVEREIRO DE 2021

Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 25 de fevereiro de 2021, com base nos arts. 4º, inciso VIII, da referida Lei, 9º da Lei nº 4.728, de 14 de julho de 1965, 7º e 23, alínea "a", da Lei nº 6.099, de 12 de setembro de 1974, 1º, inciso II, da Lei nº 10.194, de 14 de fevereiro de 2001, e 1º, § 1º, da Lei Complementar nº 130, de 17 de abril de 2009,

R E S O L V E U :

CAPÍTULO I
DO OBJETO E DO ÂMBITO DE APLICAÇÃO

Art. 1º Esta Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.

Parágrafo único. O disposto nesta Resolução não se aplica às instituições de pagamento, que devem observar a regulamentação emanada do Banco Central do Brasil, no exercício de suas atribuições legais.

Parágrafo único. O disposto nesta Resolução não se aplica às administradoras de consórcio, às instituições de pagamento, às sociedades corretoras de títulos e valores mobiliários, às sociedades distribuidoras de títulos e valores mobiliários e às sociedades corretoras de câmbio, que devem observar a regulamentação emanada do Banco Central do Brasil no exercício de suas atribuições legais. (Redação dada, a partir de 1º/3/2024, pela Resolução CMN nº 5.117, de 25/1/2024.)

CAPÍTULO II
DA POLÍTICA DE SEGURANÇA CIBERNÉTICA

Seção I
Da Implementação da Política de Segurança Cibernética

Art. 2º As instituições referidas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

§ 1º A política mencionada no caput deve ser compatível com:

I - o porte, o perfil de risco e o modelo de negócio da instituição;

II - a natureza das operações e a complexidade dos produtos, serviços, atividades e processos da instituição; e

III - a sensibilidade dos dados e das informações sob responsabilidade da instituição.

§ 2º Admite-se a adoção de política de segurança cibernética única por:

I - conglomerado prudencial; e

II - sistema cooperativo de crédito.

§ 3º As instituições que não constituírem política de segurança cibernética própria em decorrência do disposto no § 2º devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição.

Art. 3º A política de segurança cibernética deve contemplar, no mínimo:

I - os objetivos de segurança cibernética da instituição;

II - os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética;

III - os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;

IV - o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição;

V - as diretrizes para:

a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios;

b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição;

c) a classificação dos dados e das informações quanto à relevância; e

d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;

VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo:

a) a implementação de programas de capacitação e de avaliação periódica de pessoal;

b) a prestação de informações a clientes e usuários sobre precauções na utilização de produtos e serviços financeiros; e

c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética; e

VII - as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com as demais instituições referidas no art. 1º.

§ 1º Na definição dos objetivos de segurança cibernética referidos no inciso I do caput, deve ser contemplada a capacidade da instituição para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

§ 2º Os procedimentos e os controles de que trata o inciso II do caput devem abranger, no mínimo, a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.

§ 2º Os procedimentos e os controles de que trata o inciso II do caput devem abranger, no mínimo: (Redação dada pela Resolução CMN nº 5.274, de 18/12/2025.)

I - a autenticação; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - os mecanismos de criptografia; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

III - os mecanismos de prevenção e detecção de intrusão; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

IV - os mecanismos de prevenção de vazamentos de informações; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

V - os mecanismos de proteção contra softwares maliciosos; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

VI - os mecanismos de rastreabilidade; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

VII - a gestão de cópias de segurança dos dados e das informações; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

VIII - a avaliação e a correção de vulnerabilidades dos recursos computacionais e dos sistemas de informação; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

IX - os controles de acesso; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

X - a definição e implementação de perfis de configuração segura de ativos de tecnologia; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

XI - os mecanismos de proteção da rede; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

XII - a gestão de certificados digitais; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

XIII - os requisitos de segurança para a integração de sistemas de informação por meio de interfaces eletrônicas; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

XIV - as ações de inteligência no ambiente cibernético, incluindo o monitoramento de informações de interesse da instituição na internet, na Deep Web e na Dark Web, além de grupos privados de comunicação. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 3º Os procedimentos e os controles citados no inciso II do caput devem ser aplicados, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da instituição.

§ 3º Os procedimentos e os controles citados no inciso II do caput devem ser aplicados, inclusive: (Redação dada pela Resolução CMN nº 5.274, de 18/12/2025.)

I - no desenvolvimento de sistemas de informação seguros; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - na adoção de novas tecnologias empregadas nas atividades da instituição. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 4º O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes, citados no inciso IV do caput, devem abranger inclusive informações recebidas de empresas prestadoras de serviços a terceiros.

§ 5º As diretrizes de que trata o inciso V, alínea "b", do caput, devem contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela própria instituição.

§ 6º A instituição deve verificar o disposto no inciso I do § 3º, no que couber, nos casos de sistemas de informação por ela adquiridos ou desenvolvidos por empresas prestadoras de serviços a terceiros, executados com a utilização de recursos computacionais da própria instituição. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 7º Os mecanismos de rastreabilidade de que trata o inciso VI do § 2º devem abranger a rastreabilidade de transações e operações, contemplando, no mínimo: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

I - trilhas de auditoria do processamento fim a fim dos dados e das informações, incluindo a definição e a geração de logs que possibilitem identificar falhas de processamento ou comportamentos atípicos, bem como subsidiar análises; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - definição de tempo de retenção de informações de acordo com o tipo de processamento realizado; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

III - retenção segura das trilhas de auditoria. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 8º A avaliação e a correção de vulnerabilidades de que trata o inciso VIII do § 2º deve contemplar, no mínimo: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

I - testes e análises periódicos para detecção de vulnerabilidades em sistemas de informação; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - varreduras periódicas dos recursos tecnológicos com o objetivo de identificar dispositivos indevidamente conectados à rede corporativa que possam estabelecer conexão com ativos de tecnologia externos à instituição; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

III - análises periódicas dos recursos tecnológicos com o objetivo de identificar vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia da instituição; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

IV - testes de intrusão; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

V - correção tempestiva das vulnerabilidades identificadas. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 9º Os controles de acesso de que trata o inciso IX do § 2º devem incluir, no mínimo: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

I - mecanismos para limitar o acesso à rede corporativa a usuários credenciados e a dispositivos autorizados; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - revisão periódica e tempestiva das permissões de acesso, em especial de colaboradores terceirizados com acesso aos recursos computacionais da instituição; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

III - implementação de múltiplos fatores de autenticação para acesso à rede corporativa a partir de ambientes externos à instituição. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 10. A definição e implementação de perfis de configuração segura de que trata o inciso X do § 2º devem prever, no mínimo: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

I - a gestão do ciclo de vida dos recursos computacionais da instituição; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - a aplicação regular de correções de segurança; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

III - a configuração adequada dos serviços a serem suportados pelos recursos computacionais; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

IV - a alteração de senhas e de outros padrões que possam ser utilizados para acessos indevidos aos recursos computacionais. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 11. Os mecanismos de proteção da rede de que trata o inciso XI do § 2º devem contemplar, no mínimo: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

I - a segmentação de rede de computadores, resguardando, em especial, o ambiente de produção e os recursos computacionais que suportam processos críticos de negócio; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - o estabelecimento de regras de firewall, assim como o monitoramento de conexões, evitando tentativas de conexão com sistemas de informação provenientes de ativos de tecnologia localizados fora da rede corporativa da instituição; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

III - a definição de critérios para o estabelecimento e o monitoramento de conexões com ambientes externos, em especial em horário noturno e em dias não úteis; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

IV - as medidas para identificar e prevenir conexões indevidas com ambientes externos à instituição oriundas de recursos tecnológicos da instituição; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

V - a implementação e manutenção de processos e ferramentas para identificação, análise, tratamento e controle de eventos atípicos no ambiente de produção da instituição, abrangendo, como exemplos, o estabelecimento de virtual private networks – VPN e tentativas de acesso privilegiado a recursos computacionais, especialmente em horário noturno e em dias não úteis; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

VI - o estabelecimento de medidas para restringir o acesso a redes corporativas apenas a dispositivos ou ativos de tecnologia devidamente autorizados. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 12. A gestão de certificados digitais de que trata o inciso XII do § 2º deve prever, no mínimo: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

I - o monitoramento do uso de certificados e assinaturas digitais, contemplando a implementação dos mecanismos de rastreabilidade de que trata o § 7º; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - os procedimentos para a guarda de informações, abrangendo os controles de acesso físico e lógico a chaves privadas sob responsabilidade da instituição; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

III - procedimentos e ferramentas para evitar o compartilhamento indevido das chaves privadas associadas a certificados digitais da instituição; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

IV - a validação tempestiva de certificados revogados perante as autoridades certificadoras. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

Art. 3º-A As instituições referidas no art. 1º devem estabelecer os seguintes requisitos de segurança adicionais, como parte integrante dos procedimentos e controles previstos em sua política de segurança cibernética de que trata o art. 3º: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

I - no caso de comunicação eletrônica de dados na Rede do Sistema Financeiro Nacional – RSFN: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

a) uso de múltiplos fatores de autenticação para o acesso administrativo aos ambientes Pix e Sistema de Transferência de Reservas – STR; (Incluída pela Resolução CMN nº 5.274, de 18/12/2025.)

b) isolamento físico e lógico do ambiente Pix dos demais sistemas da instituição, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de serviços de computação em nuvem contratados; (Incluída pela Resolução CMN nº 5.274, de 18/12/2025.)

c) isolamento físico e lógico do ambiente STR dos demais sistemas da instituição, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de serviços de computação em nuvem contratados; (Incluída pela Resolução CMN nº 5.274, de 18/12/2025.)

d) monitoramento do uso de credenciais e certificados digitais, bem como estabelecimento de controles para a guarda dessas informações, especialmente as utilizadas no âmbito do Sistema de Pagamentos Instantâneos – SPI; (Incluída pela Resolução CMN nº 5.274, de 18/12/2025.)

e) implementação de mecanismos de validação da integridade fim a fim das transações pela instituição antes da assinatura digital das mensagens associadas, assegurando que os dados não tenham sido corrompidos ou manipulados durante o processo de geração dessas mensagens; e (Incluída pela Resolução CMN nº 5.274, de 18/12/2025.)

f) vedação do acesso de empresas prestadoras de serviços a terceiros às chaves privadas associadas a certificados digitais utilizados pela instituição para a assinatura de mensagens; e (Incluída pela Resolução CMN nº 5.274, de 18/12/2025.)

II - no caso de conexão como participante de Sistemas do Mercado Financeiro – SMF autorizados a operar, a implementação de controles de segurança para prevenção, detecção e resposta a fraudes, a serem observados pela instituição. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

Parágrafo único. As instituições devem observar este artigo de forma compatível com o disposto: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

I - nesta Resolução; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - na regulamentação em vigor; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

III - em todos os requisitos técnicos da RSFN previstos no Catálogo de Serviços do SFN, no Manual de Redes do SFN e no Manual de Segurança do SFN, publicados pelo Banco Central do Brasil. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

Seção II
Da Divulgação da Política de Segurança Cibernética

Art. 4º A política de segurança cibernética deve ser divulgada aos funcionários da instituição e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

Art. 5º As instituições devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.

Seção III
Do Plano de Ação e de Resposta a Incidentes

Art. 6º As instituições referidas no art. 1º devem estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética.

Parágrafo único. O plano mencionado no caput deve abranger, no mínimo:

I - as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;

II - as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética; e

III - a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Art. 7º As instituições referidas no art. 1º devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.

Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na instituição, desde que não haja conflito de interesses.

Art. 8º As instituições referidas no art. 1º devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, mencionado no art. 6º, com data-base de 31 de dezembro.

§ 1º O relatório de que trata o caput deve abordar, no mínimo:

I - a efetividade da implementação das ações descritas no art. 6º, parágrafo único, inciso I;

II - o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes descritos no art. 6º, parágrafo único, inciso II;

~~III - os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e~~

III - os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; (Redação dada pela Resolução CMN nº 5.274, de 18/12/2025.)

~~IV - os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes.~~

IV - os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes; e (Redação dada pela Resolução CMN nº 5.274, de 18/12/2025.)

V - os resultados dos testes de intrusão e dos testes, varreduras e análises periódicas para detecção de vulnerabilidades de que trata o art. 3º, § 8º, e os planos de ação estabelecidos para as suas correções, observado o disposto no art. 22-A, caput, inciso III. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 2º O relatório mencionado no caput deve ser:

I - submetido ao comitê de risco, quando existente; e

II - apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base.

Art. 9º A política de segurança cibernética referida no art. 2º e o plano de ação e de resposta a incidentes mencionado no art. 6º devem ser aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição.

Art. 10. A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser documentados e revisados, no mínimo, anualmente.

CAPÍTULO III
DA CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM

Art. 11. As instituições referidas no art. 1º devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.

Art. 12. As instituições mencionadas no art. 1º, previamente à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, devem adotar procedimentos que contemplem:

I - a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas; e

II - a verificação da capacidade do potencial prestador de serviço de assegurar:

a) o cumprimento da legislação e da regulamentação em vigor;

b) o acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;

c) a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;

d) a sua aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado;

e) o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;

f) o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

g) a identificação e a segregação dos dados dos clientes da instituição por meio de controles físicos ou lógicos; e

h) a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes da instituição.

§ 1º Na avaliação da relevância do serviço a ser contratado, mencionada no inciso I do caput, a instituição contratante deve considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado, levando em conta, inclusive, a classificação realizada nos termos do art. 3º, inciso V, alínea "c".

§ 2º Os procedimentos de que trata o caput, inclusive as informações relativas à verificação mencionada no inciso II, devem ser documentados.

§ 3º No caso da execução de aplicativos por meio da internet, referidos no inciso III do art. 13, a instituição deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

§ 4º A instituição deve possuir recursos e competências necessários para a adequada gestão dos serviços a serem contratados, inclusive para análise de informações e uso de recursos providos nos termos da alínea "f" do inciso II do caput.

Art. 13. Para os fins do disposto nesta Resolução, os serviços de computação em nuvem abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

I - processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;

II - implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou

III - execução, por meio da internet, de aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.

Art. 14. A instituição contratante dos serviços mencionados no art. 12 é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.

Art. 15. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada pelas instituições referidas no art. 1º ao Banco Central do Brasil.

§ 1º A comunicação mencionada no caput deve conter as seguintes informações:

I - a denominação da empresa contratada;

II - os serviços relevantes contratados; e

III - a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados, definida nos termos do inciso III do art. 16, no caso de contratação no exterior.

§ 2º A comunicação de que trata o caput deve ser realizada até dez dias após a contratação dos serviços.

§ 3º As alterações contratuais que impliquem modificação das informações de que trata o § 1º devem ser comunicadas ao Banco Central do Brasil até dez dias após a alteração contratual.

Art. 16. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior deve observar os seguintes requisitos:

I - a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados;

II - a instituição contratante deve assegurar que a prestação dos serviços referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;

III - a instituição contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e

IV - a instituição contratante deve prever alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.

§ 1º No caso de inexistência de convênio nos termos do inciso I do caput, a instituição contratante deverá solicitar autorização do Banco Central do Brasil para:

I - a contratação do serviço, no prazo mínimo de sessenta dias antes da contratação, observado o disposto no art. 15, § 1º, desta Resolução; e

II - as alterações contratuais que impliquem modificação das informações de que trata o art. 15, § 1º, observando o prazo mínimo de sessenta dias antes da alteração contratual.

§ 2º Para atendimento aos incisos II e III do caput, as instituições deverão assegurar que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso das instituições contratantes e do Banco Central do Brasil aos dados e às informações.

§ 3º A comprovação do atendimento aos requisitos de que tratam os incisos I a IV do caput e o cumprimento da exigência de que trata o § 2º devem ser documentados.

Art. 17. Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem prever:

I - a indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;

II - a adoção de medidas de segurança para a transmissão e armazenamento dos dados citados no inciso I do caput;

III - a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes;

IV - a obrigatoriedade, em caso de extinção do contrato, de:

a) transferência dos dados citados no inciso I do caput ao novo prestador de serviços ou à instituição contratante; e

b) exclusão dos dados citados no inciso I do caput pela empresa contratada substituída, após a transferência dos dados prevista na alínea "a" e a confirmação da integridade e da disponibilidade dos dados recebidos;

V - o acesso da instituição contratante a:

a) informações fornecidas pela empresa contratada, visando a verificar o cumprimento do disposto nos incisos I a III do caput;

b) informações relativas às certificações e aos relatórios de auditoria especializada, citados no art. 12, inciso II, alíneas "d" e "e"; e

c) informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados, citados no art. 12, inciso II, alínea "f";

VI - a obrigação de a empresa contratada notificar a instituição contratante sobre a subcontratação de serviços relevantes para a instituição;

VII - a permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações;

VIII - a adoção de medidas pela instituição contratante, em decorrência de determinação do Banco Central do Brasil; e

IX - a obrigação de a empresa contratada manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

Parágrafo único. Os contratos mencionados no caput devem prever, para o caso da decretação de regime de resolução da instituição contratante pelo Banco Central do Brasil:

I - a obrigação de a empresa contratada conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso citados no inciso VII do caput que estejam em poder da empresa contratada; e

II - a obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção de a empresa contratada interromper a prestação de serviços, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:

a) a empresa contratada obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e

b) a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da contratante.

Art. 18. O disposto nos arts. 11 a 17 não se aplica à contratação de sistemas operados por câmaras, por prestadores de serviços de compensação e de liquidação ou por entidades que exerçam atividades de registro ou de depósito centralizado.

CAPÍTULO IV
DISPOSIÇÕES GERAIS

Art. 19. As instituições referidas no art. 1º devem assegurar que suas políticas para gerenciamento de riscos previstas na regulamentação em vigor disponham, no tocante à continuidade de negócios, sobre:

I - o tratamento dos incidentes relevantes relacionados com o ambiente cibernético de que trata o art. 3º, inciso IV;

II - os procedimentos a serem seguidos no caso da interrupção de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada e o reestabelecimento da operação normal da instituição; e

III - os cenários de incidentes considerados nos testes de continuidade de negócios de que trata o art. 3º, inciso V, alínea "a".

Art. 20. Os procedimentos adotados pelas instituições para gerenciamento de riscos previstos na regulamentação em vigor devem contemplar, no tocante à continuidade de negócios:

I - o tratamento previsto para mitigar os efeitos dos incidentes relevantes de que trata o inciso IV do art. 3º e da interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados;

II - o prazo estipulado para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos, citados no inciso I do caput; e

III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes citados no inciso I do caput que configurem uma situação de crise pela instituição financeira, bem como das providências para o reinício das suas atividades.

Parágrafo único. As instituições devem estabelecer e documentar os critérios que configurem uma situação de crise de que trata o inciso III do caput.

Art. 21. As instituições de que trata o art. 1º devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo:

I - a definição de processos, testes e trilhas de auditoria;

II - a definição de métricas e indicadores adequados; e

III - a identificação e a correção de eventuais deficiências.

§ 1º As notificações recebidas sobre a subcontratação de serviços relevantes descritas no art. 17, inciso VI, devem ser consideradas na definição dos mecanismos de que trata o caput.

§ 2º Os mecanismos de que trata o caput devem ser submetidos a testes periódicos pela auditoria interna, quando aplicável, compatíveis com os controles internos da instituição.

Art. 22. Sem prejuízo do dever de sigilo e da livre concorrência, as instituições mencionadas no art. 1º devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes de que trata o art. 3º, inciso IV.

§ 1º O compartilhamento de que trata o caput deve abranger informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a terceiros.

§ 2º As informações compartilhadas devem estar disponíveis ao Banco Central do Brasil.

Art. 22-A. As instituições devem assegurar que os testes de intrusão mencionados no art. 3º, § 8º, inciso IV, devem: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

I - ter periodicidade mínima anual; (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - ser realizados com independência e imparcialidade por pessoa natural ou empresa especializada contratada pela instituição para essa finalidade, sem prejuízo da realização de testes por equipes da própria instituição; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

III - ter os resultados de sua execução documentados, especialmente as eventuais vulnerabilidades que forem identificadas e os planos de ação estabelecidos para suas correções. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

Art. 22-B. O serviço prestado para a comunicação eletrônica de dados na RSFN, de que trata o art. 3º-A, caput, inciso I, é considerado relevante para fins da aplicação do disposto nesta Resolução sobre a contratação de serviços de processamento, armazenamento de dados e computação em nuvem. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 1º Aplica-se o disposto no caput independente da forma de conexão com a RSFN. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 2º O serviço de que trata o caput inclui os casos em que o prestador de serviços fornece serviço de processamento de mensagens no âmbito do SFN e do Sistema de Pagamentos Brasileiro – SPB. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

CAPÍTULO V
DISPOSIÇÕES FINAIS

Art. 23. Devem ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos:

I - o documento relativo à política de segurança cibernética, de que trata o art. 2º;

II - a ata de reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição, no caso de ser formalizada a opção de que trata o art. 2º, § 2º;

III - o documento relativo ao plano de ação e de resposta a incidentes, de que trata o art. 6º;

IV - o relatório anual, de que trata o art. 8º;

V - a documentação sobre os procedimentos de que trata o art. 12, § 2º;

VI - a documentação de que trata o art. 16, § 3º, no caso de serviços prestados no exterior;

VII - os contratos de que trata o art. 17, contado o prazo referido no caput a partir da extinção do contrato;

VIII - os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle de que trata o art. 21, contado o prazo referido no caput a partir da implementação dos citados mecanismos; e

VIII - os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle de que trata o art. 21, contado o prazo referido no caput a partir da implementação dos citados mecanismos; (Redação dada pela Resolução CMN nº 5.274, de 18/12/2025.)

~~IX - a documentação com os critérios que configurem uma situação de crise de que trata o art. 20, Parágrafo único.~~

IX - a documentação com os critérios que configurem uma situação de crise de que trata o art. 20, parágrafo único; e (Redação dada pela Resolução CMN nº 5.274, de 18/12/2025.)

X - a documentação com os resultados da execução de testes de intrusão e os planos de ação estabelecidos para as correções de vulnerabilidades identificadas de que trata o art. 22-A, caput, inciso III, contado o prazo a partir da data de execução dos testes. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

Art. 24. O Banco Central do Brasil poderá adotar as medidas necessárias para cumprimento do disposto nesta Resolução, bem como estabelecer:

I - os requisitos e os procedimentos para o compartilhamento de informações, nos termos do art. 22;

II - a exigência de certificações e outros requisitos técnicos a serem requeridos das empresas contratadas, pela instituição financeira contratante, na prestação dos serviços de que trata o art. 12;

~~III - os prazos máximos de que trata o art. 20, inciso II para reinício ou normalização das atividades ou dos serviços relevantes interrompidos; e~~

III - os prazos máximos de que trata o art. 20, caput, inciso II, para reinício ou normalização das atividades ou dos serviços relevantes interrompidos; (Redação dada pela Resolução CMN nº 5.274, de 18/12/2025.)

~~IV - os requisitos técnicos e procedimentos operacionais a serem observados pelas instituições para o cumprimento desta Resolução.~~

IV - a especificação dos requisitos de segurança para integração de sistemas de informação por meio de interfaces eletrônicas, de que trata o art. 3º, § 2º, inciso XIII; e (Redação dada pela Resolução CMN nº 5.274, de 18/12/2025.)

V - os requisitos técnicos e procedimentos operacionais a serem observados pelas instituições para o cumprimento desta Resolução. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 1º Na regulamentação de que trata o caput, o Banco Central do Brasil deverá observar os princípios e diretrizes referidos no art. 2º, caput. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

§ 2º Na regulamentação de que trata o inciso IV do caput, o Banco Central do Brasil deverá observar, também, as seguintes diretrizes gerais: (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

I - os requisitos a serem especificados serão aqueles necessários e adequados para subsidiar a integração dos sistemas referida no art. 3º, § 2º, inciso XIII; e (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

II - o conteúdo dispondo sobre os requisitos deverá acompanhar as inovações tecnológicas, a fim de manter sua aptidão como um dos procedimentos e controles para implementação da política de segurança cibernética em cenários futuros. (Incluído pela Resolução CMN nº 5.274, de 18/12/2025.)

Art. 25. As instituições referidas no art. 1º que, em 26 de abril de 2018, já tinham contratado a prestação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem devem adequar o contrato para a prestação de tais serviços:

I - ao cumprimento do disposto no art. 16, incisos I, II, IV e § 2º, no caso de serviços prestados no exterior; e

II - ao disposto nos arts. 15, § 1º, e 17.

Parágrafo único. O prazo previsto para adequação ao disposto no caput não pode ultrapassar 31 de dezembro 2021.

Art. 26. O Banco Central do Brasil poderá vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços.

Art. 27. Ficam revogadas:

I - a Resolução nº 4.658, de 26 de abril de 2018; e

II - a Resolução nº 4.752, de 26 de setembro de 2019.

Art. 28. Esta Resolução entra em vigor em 1º de julho de 2021.

Roberto de Oliveira Campos Neto
Presidente do Banco Central do Brasil

Resolução CMN N° 4.893

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Política de segurança cibernética

Controles, incidentes e cultura

Divulgação, plano de resposta e governança

Contratação de processamento, armazenamento e nuvem

Comunicação ao Banco Central e serviços no exterior

Contratos, continuidade e efetividade

Retenção, disposições transitórias e decisões de cobertura

Pontos de atenção para implantação

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes

Resolução CMN N° 4.893 🛡️ ☁️ 💻

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Política de segurança cibernética

Controles, incidentes e cultura

Divulgação, plano de resposta e governança

Contratação de processamento, armazenamento e nuvem

Comunicação ao Banco Central e serviços no exterior

Contratos, continuidade e efetividade

Retenção, disposições transitórias e decisões de cobertura

Pontos de atenção para implantação

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Resolução CMN N° 4.893