Quando entra em vigor a Resolução BCB Nº 85?

A Resolução BCB Nº 85 entra em vigor em 1º de agosto de 2021.

O que deve ser comunicado ao Banco Central do Brasil sobre a contratação de serviços relevantes?

A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada ao Banco Central do Brasil, contendo informações sobre a denominação da empresa contratada, os serviços relevantes contratados e a indicação dos países e regiões onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados.

O que deve especificar a política de segurança cibernética?

A política de segurança cibernética deve especificar os objetivos de segurança cibernética da instituição de pagamento, os procedimentos e controles adotados para reduzir a vulnerabilidade a incidentes, os controles específicos para garantir a segurança das informações sensíveis, o registro e análise de incidentes relevantes, as diretrizes para elaboração de cenários de incidentes, a disseminação da cultura de segurança cibernética e as iniciativas para compartilhamento de informações sobre incidentes relevantes.

Quais cláusulas devem constar nos contratos para prestação de serviços relevantes?

Os contratos devem conter cláusulas sobre a indicação dos países e regiões onde os serviços poderão ser prestados, medidas de segurança para transmissão e armazenamento dos dados, manutenção da segregação dos dados e controles de acesso, transferência e exclusão dos dados em caso de extinção do contrato, acesso a informações e relatórios de auditoria, notificação sobre subcontratação de serviços relevantes, permissão de acesso do Banco Central do Brasil aos contratos e informações, adoção de medidas por determinação do Banco Central do Brasil e manutenção da instituição informada sobre eventuais limitações que possam afetar a prestação dos serviços.

Quais são os requisitos para a contratação de serviços prestados no exterior?

A contratação de serviços prestados no exterior deve observar a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados, assegurar que a prestação dos serviços não cause prejuízos ao funcionamento da instituição nem embaraço à atuação do Banco Central do Brasil, definir previamente os países e regiões onde os serviços poderão ser prestados e prever alternativas para a continuidade dos serviços de pagamento no caso de impossibilidade de manutenção ou extinção do contrato.

O que deve conter o plano de ação e de resposta a incidentes?

O plano de ação e de resposta a incidentes deve abranger as ações para adequar as estruturas organizacional e operacional aos princípios e diretrizes da política de segurança cibernética, as rotinas, procedimentos, controles e tecnologias para prevenção e resposta a incidentes, e a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

Resolução BCB N° 85 | Banco Central

Q: Quais fatores a política de segurança cibernética deve ser compatível?

A política de segurança cibernética deve ser compatível com o porte, o perfil de risco e o modelo de negócio da instituição; a natureza das atividades da instituição e a complexidade dos produtos e serviços oferecidos; e a sensibilidade dos dados e das informações sob responsabilidade da instituição.

Q: Quais são os princípios e diretrizes que a política de segurança cibernética deve assegurar?

A política de segurança cibernética deve assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados pelas instituições de pagamento.

Q: O que é a Resolução BCB Nº 85?

A Resolução BCB Nº 85, de 8 de abril de 2021, dispõe sobre a política de segurança cibernética e os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil.

Q: Quem deve ser designado para ser responsável pela política de segurança cibernética?

As instituições de pagamento devem designar um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes. Esse diretor pode desempenhar outras funções na instituição, desde que não haja conflito de interesses.

Q: Quais documentos devem ficar à disposição do Banco Central do Brasil por cinco anos?

Devem ficar à disposição do Banco Central do Brasil por cinco anos o documento relativo à política de segurança cibernética, a ata de reunião do conselho de administração ou diretoria formalizando a opção por política única, o documento relativo ao plano de ação e de resposta a incidentes, o relatório anual sobre a implementação do plano de ação e de resposta a incidentes, a documentação sobre os procedimentos de contratação de serviços, a documentação de serviços prestados no exterior, os contratos de prestação de serviços relevantes e os dados, registros e informações relativas aos mecanismos de acompanhamento e controle.

Resumo executivo

A Resolução BCB nº 85, de 8 de abril de 2021, é uma norma autônoma do Banco Central do Brasil voltada às instituições de pagamento autorizadas a funcionar pelo Banco Central. Ela disciplina dois blocos operacionais centrais: a política de segurança cibernética e os requisitos para contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem. O documento também revoga dispositivos anteriores sobre o mesmo tema e fixa comando transitório para adequação de contratos legados.

A curadoria foi construída em modo de retrato-fonte. Isso significa que o pacote representa o texto original publicado no Diário Oficial da União em 12 de abril de 2021, com vigência em 1º de agosto de 2021, sem consolidar alterações posteriores. O objetivo é preservar a rastreabilidade do documento-fonte e permitir que normas alteradoras sejam processadas em pacotes próprios.

A norma é relevante porque transforma segurança cibernética em um conjunto de obrigações de governança, controles técnicos, resposta a incidentes, continuidade operacional, gestão de terceiros e retenção de evidências. Para instituições de pagamento, ela conecta diretamente a proteção de dados e sistemas à continuidade dos serviços de pagamento e à capacidade de supervisão do Banco Central.

Escopo e sujeitos regulados

O escopo direto alcança instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil. A segmentação dos requisitos foi feita pela categoria específica de instituição de pagamento. A autorização perante o Banco Central é uma condição jurídica que deve ser confirmada no contexto da empresa, pois a tag disponível representa a classe regulada, mas não distingue no próprio slug se a instituição já está autorizada.

A norma não se dirige genericamente a todas as empresas de tecnologia, fintechs em sentido amplo, prestadores de serviços de computação em nuvem ou fornecedores de software. Prestadores e fornecedores aparecem como objeto de governança, due diligence, cláusulas contratuais e monitoramento pela instituição de pagamento contratante. Assim, a aplicabilidade empresarial direta foi roteada para a instituição de pagamento, não para qualquer prestador que forneça tecnologia ao setor financeiro.

O art. 18 delimita uma exceção importante: os arts. 11 a 17, relativos à contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem, não se aplicam à contratação de sistemas operados por câmaras, prestadores de serviços de compensação e liquidação ou entidades que exerçam atividades de registro ou depósito centralizado. Essa exceção foi mantida como ponto de cobertura e deve ser considerada quando a instituição classificar contratos no seu inventário.

Política de segurança cibernética

O primeiro bloco material está nos arts. 2º a 10. A instituição deve implementar e manter política de segurança cibernética voltada à confidencialidade, integridade e disponibilidade dos dados e sistemas de informação utilizados. A política deve ser compatível com porte, perfil de risco, modelo de negócio, natureza das atividades, complexidade dos produtos e serviços e sensibilidade dos dados e informações sob responsabilidade da instituição.

A política não pode ser apenas uma declaração principiológica. Ela deve especificar objetivos, procedimentos e controles, incluindo controles de rastreabilidade, segurança de informações sensíveis, registro e análise de incidentes, diretrizes para testes de continuidade, tratamento de terceiros, classificação de dados, parâmetros de relevância de incidentes, mecanismos de cultura de segurança e iniciativas de compartilhamento de informações sobre incidentes relevantes.

A Resolução também detalha controles técnicos que devem estar cobertos pela política: autenticação, criptografia, prevenção e detecção de intrusão, prevenção de vazamento de informações, testes e varreduras periódicas para vulnerabilidades, proteção contra softwares maliciosos, rastreabilidade, controles de acesso, segmentação de rede e manutenção de cópias de segurança. Esses controles devem alcançar inclusive o desenvolvimento de sistemas de informação seguros e a adoção de novas tecnologias usadas nas atividades da instituição.

Um ponto de governança específico foi extraído para instituições integrantes de conglomerado prudencial. Elas podem adotar política única do conglomerado, desde que compatível com a Resolução. Se não constituírem política própria por esse motivo, devem formalizar a opção em reunião do conselho de administração ou, se inexistente, da diretoria. Esse comando é condicional e exige evidência societária ou de governança.

Divulgação, plano de resposta e governança executiva

A política deve ser divulgada a funcionários e empresas prestadoras de serviços a terceiros em linguagem clara, acessível e com detalhamento compatível com as funções desempenhadas e a sensibilidade das informações. Também deve haver divulgação pública de resumo contendo as linhas gerais da política de segurança cibernética. A norma não define canal específico para o resumo público; por isso, a curadoria trata esse item como entregável público, sem inventar meio de divulgação.

O plano de ação e de resposta a incidentes é outro eixo central. Ele deve implementar a política e abranger ações para adequar estruturas organizacional e operacional, rotinas, procedimentos, controles, tecnologias de prevenção e resposta, além da área responsável pelo registro e controle dos efeitos de incidentes relevantes. O plano foi tratado como requisito próprio porque possui conteúdo mínimo, evidências e controles diferentes da política.

A instituição deve designar diretor responsável pela política e pela execução do plano. O diretor pode acumular funções se não houver conflito de interesses. Esse requisito foi classificado como governança de alta criticidade por estabelecer responsabilização executiva formal para segurança cibernética.

A norma também exige relatório anual, com data-base de 31 de dezembro, sobre a implementação do plano de ação e resposta a incidentes. O relatório deve abordar efetividade das ações, resultados da implementação das rotinas e tecnologias, incidentes relevantes do período e resultados dos testes de continuidade dos serviços de pagamento com cenários de indisponibilidade ocasionada por incidentes. O relatório deve ser apresentado ao conselho de administração ou, na inexistência, à diretoria até 31 de março do ano seguinte. Por ter data-base, prazo de apresentação e conteúdo mínimo, foi criada recorrência anual.

A política e o plano devem ser aprovados pelo conselho de administração ou pela diretoria. Além disso, devem ser documentados e revisados, no mínimo, anualmente. A revisão anual foi tratada como recorrência normativa real, mas sem data fixa, porque o documento-fonte não estabelece dia ou mês específico para a revisão.

Contratação de serviços relevantes de dados e nuvem

O segundo bloco material está nos arts. 11 a 18. A instituição deve assegurar que suas políticas, estratégias e estruturas de gerenciamento de riscos contemplem, nos critérios de decisão quanto à terceirização, a contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem, no País ou no exterior. A contratação tecnológica passa a ser tema de governança de riscos e não apenas de suprimentos ou tecnologia.

Antes da contratação, a instituição deve adotar procedimentos proporcionais à relevância do serviço e aos riscos. A avaliação deve considerar criticidade do serviço e sensibilidade dos dados e informações processados, armazenados e gerenciados pelo contratado. A documentação desses procedimentos é obrigação expressa e foi tratada como evidência central de due diligence pré-contratual.

A verificação da capacidade do prestador é ampla. Ela inclui cumprimento da legislação e regulamentação, acesso da instituição aos dados, confidencialidade, integridade, disponibilidade e recuperação dos dados, aderência a certificações exigidas pela instituição, acesso a relatórios de auditoria independente, recursos de gestão para monitoramento, identificação e segregação dos dados de usuários finais e qualidade dos controles de acesso. Para aplicativos executados pela internet, a instituição deve assegurar controles do prestador para mitigar vulnerabilidades em novas versões. A instituição também deve possuir recursos e competências para gerir os serviços contratados.

A Resolução define serviços de computação em nuvem como disponibilidade virtual sob demanda de processamento, armazenamento, infraestrutura, implantação ou execução de aplicativos. Esse dispositivo foi tratado como definição, não como requisito próprio, pois serve para delimitar o alcance dos requisitos de contratação.

A instituição contratante permanece responsável pela confiabilidade, integridade, disponibilidade, segurança, sigilo e cumprimento regulatório em relação aos serviços contratados. Essa responsabilidade foi mantida como requisito autônomo porque impede que a terceirização seja interpretada como transferência da responsabilidade regulatória.

Comunicações ao Banco Central e contratação no exterior

A contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem deve ser comunicada ao Banco Central. A comunicação deve conter a denominação da empresa contratada, os serviços relevantes contratados e, no caso de contratação no exterior, a indicação dos países e regiões onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados. A comunicação deve ocorrer até dez dias após a contratação. Alterações contratuais que modifiquem essas informações também devem ser comunicadas até dez dias após a alteração contratual.

Contratações no exterior exigem atenção adicional. A norma exige existência de convênio para troca de informações entre o Banco Central e as autoridades supervisoras dos países onde os serviços poderão ser prestados, além de assegurar que a prestação não prejudique o funcionamento regular da instituição nem embarace a atuação do Banco Central. A instituição deve definir previamente países e regiões envolvidos e prever alternativas para continuidade dos serviços de pagamento em caso de impossibilidade de manutenção ou extinção do contrato.

Na inexistência de convênio, a instituição deve solicitar autorização ao Banco Central para a contratação ou para alterações contratuais que modifiquem informações exigidas, observando antecedência mínima de sessenta dias. Esse item foi tratado como entrega regulatória condicional e de alta criticidade por envolver autorização prévia e prazo mínimo.

A instituição também deve assegurar que a legislação e a regulamentação dos países e regiões envolvidos não restrinjam nem impeçam o acesso da instituição e do Banco Central aos dados e informações. A comprovação dos requisitos de contratação no exterior deve ser documentada. Essa documentação foi extraída como requisito próprio por ser evidência essencial em auditoria e supervisão.

Cláusulas contratuais e regime de resolução

Os contratos de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem conter cláusulas mínimas sobre localização de serviços e dados, segurança na transmissão e armazenamento, segregação de dados, controles de acesso, acesso da instituição a informações e relatórios, notificação de subcontratação relevante, acesso do Banco Central, adoção de medidas determinadas pelo Banco Central e obrigação de o prestador manter a instituição informada sobre limitações que possam afetar a prestação dos serviços ou o cumprimento regulatório.

A curadoria separou três requisitos contratuais: cláusulas gerais obrigatórias, cláusulas de extinção do contrato e cláusulas para regime de resolução. Essa separação foi adotada porque cada grupo possui evidências e riscos próprios. A saída contratual exige transferência dos dados ao novo prestador ou à instituição contratante e exclusão dos dados pelo prestador substituído após confirmação da integridade e disponibilidade dos dados recebidos. Já o regime de resolução exige acesso pleno do responsável aos documentos e dados em poder do prestador e notificação prévia de interrupção com pelo menos trinta dias, inclusive em caso de inadimplência da instituição.

Esses requisitos devem ser refletidos em minutas padrão, matrizes de aderência contratual, revisões jurídicas e tecnológicas e planos de saída. A ausência de cláusulas pode gerar risco regulatório, operacional, jurídico e de continuidade.

Continuidade, crise, monitoramento e auditoria

A norma exige que as políticas da estrutura de gerenciamento de riscos disponham sobre continuidade dos serviços de pagamento, tratamento de incidentes cibernéticos, interrupção de serviços relevantes de dados e nuvem, substituição de empresa contratada, restabelecimento da operação normal e cenários de incidentes usados em testes de continuidade.

Os procedimentos de gerenciamento de riscos devem especificar tratamento para mitigar efeitos dos incidentes e interrupções, prazo estipulado para reinício ou normalização das atividades ou serviços relevantes e comunicação tempestiva ao Banco Central quando ocorrências configurem situação de crise. A instituição deve estabelecer e documentar os critérios que configuram crise. Essa documentação é importante porque define quando a comunicação ao Banco Central deve ser acionada.

Também devem existir mecanismos de acompanhamento e controle para assegurar a implementação e efetividade da política, do plano e dos requisitos de contratação. Esses mecanismos devem incluir processos, testes, trilhas de auditoria, métricas, indicadores e identificação e correção de deficiências. Notificações sobre subcontratação relevante recebidas de prestadores devem ser consideradas na definição desses mecanismos. A auditoria interna deve submeter os mecanismos a testes periódicos compatíveis com os controles internos da instituição.

Compartilhamento de informações e retenção documental

Sem prejuízo do dever de sigilo e da livre concorrência, a instituição deve desenvolver iniciativas para compartilhar informações sobre incidentes relevantes, abrangendo também informações recebidas de prestadores de serviços a terceiros. As informações compartilhadas devem estar disponíveis ao Banco Central. Esse requisito deve ser executado com cuidado para equilibrar colaboração setorial, sigilo, segurança, proteção de informações sensíveis e restrições concorrenciais.

O art. 23 cria obrigação de retenção por cinco anos de documentos e registros centrais. Devem ficar à disposição do Banco Central a política, a ata de formalização da política única do conglomerado quando aplicável, o plano de ação e resposta a incidentes, o relatório anual, documentação dos procedimentos prévios de contratação, documentação dos requisitos de serviços no exterior, contratos, registros dos mecanismos de acompanhamento e controle e critérios de situação de crise. Para contratos, o prazo conta da extinção do contrato. Para registros dos mecanismos de acompanhamento e controle, conta da implementação desses mecanismos.

Transição, revogações e decisões de cobertura

O art. 24 estabeleceu prazo transitório para adequação de contratos relevantes já existentes em 1º de setembro de 2019. A adequação deveria ocorrer até 31 de dezembro de 2021. Esse item foi mantido como requisito histórico, ativo como registro de auditoria, mas com status operacional encerrado. Ele não deve ser tratado como obrigação recorrente atual, salvo para revisão de evidências pretéritas ou contratos legados.

O art. 25 prevê que o Banco Central pode vetar ou impor restrições à contratação de serviços de dados e nuvem quando constatar inobservância da Resolução ou limitação à sua atuação, estabelecendo prazo para adequação. Embora o dispositivo descreva competência do regulador, foi criado requisito operacional condicionado porque, quando houver veto, restrição ou prazo, a instituição precisará tratar a determinação, adequar contrato, prestador ou serviço e manter evidências de execução.

O art. 26 revoga os arts. 1º a 26 da Circular nº 3.909/2018 e a Circular nº 3.969/2019. Essas revogações foram registradas em alteracoesRequisitos, sem recriar os requisitos das normas revogadas. O art. 27 fixa a vigência em 1º de agosto de 2021 e foi usado como vigência geral dos requisitos ativos.

Impactos para compliance, tecnologia, riscos e contratos

Na prática, a norma exige atuação coordenada de tecnologia e segurança da informação, riscos e controles, compliance regulatório, contratos, jurídico, operações, produtos e administração. Tecnologia tende a liderar controles técnicos, desenvolvimento seguro, gestão de vulnerabilidades, resposta a incidentes e monitoramento de prestadores. Riscos e controles coordenam criticidade, continuidade, métricas, testes, indicadores, deficiências e cenários de crise. Compliance acompanha prazos, comunicação ao Banco Central, retenção documental e evidências. Jurídico e contratos são essenciais nas cláusulas obrigatórias, serviços no exterior, regime de resolução, subcontratação, acesso a dados e planos de saída.

Os pontos mais críticos para auditoria são: política e plano aprovados e revisados; diretor responsável formalizado; relatório anual apresentado no prazo; dossiês pré-contratuais; comunicações ao Banco Central; contratos com cláusulas do art. 17; documentação de contratação no exterior; critérios de crise; evidências de monitoramento e testes; e retenção por cinco anos.

A principal limitação da curadoria é deliberada: o pacote não consolida normas posteriores nem atualiza o estado atual do texto além do documento-fonte. Para visão consolidada ou estado vigente atual, seria necessário processar normas alteradoras em pastas próprias ou solicitar uma extração consolidada.

RESOLUÇÃO BCB Nº 85, DE 8 DE ABRIL DE 2021

Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil. ~~(Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)~~

Dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários, pelas sociedades corretoras de câmbio e pelas sociedades prestadoras de serviços de ativos virtuais autorizadas a funcionar pelo Banco Central do Brasil. (Redação dada pela Resolução BCB nº 552, de 3/3/2026.)

A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 8 de abril de 2021, com base nos arts. 9º, 10 e 15 da Lei nº 12.865, de 9 de outubro de 2013, e tendo em vista o art. 14 da Resolução nº 4.282, de 4 de novembro de 2013,

R E S O L V E :

CAPÍTULO I
DO OBJETO E DO ÂMBITO DE APLICAÇÃO

Art. 1º Esta Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil. ~~(Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)~~

Art. 1º Esta Resolução dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas sociedades distribuidoras de títulos e valores mobiliários, pelas sociedades corretoras de câmbio e pelas sociedades prestadoras de serviços de ativos virtuais autorizadas a funcionar pelo Banco Central do Brasil. (Redação dada pela Resolução BCB nº 552, de 3/3/2026.)

CAPÍTULO II
DA POLÍTICA DE SEGURANÇA CIBERNÉTICA

Seção I
Da Implementação da Política de Segurança Cibernética

Art. 2º As instituições de pagamento devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.

Art. 2º As instituições mencionadas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

§ 1º A política mencionada no caput deve ser compatível com:

I - o porte, o perfil de risco e o modelo de negócio da instituição;

II - a natureza das atividades da instituição e a complexidade dos produtos e serviços oferecidos; e

III - a sensibilidade dos dados e das informações sob responsabilidade da instituição.

§ 2º As instituições de pagamento integrantes de conglomerado prudencial podem adotar política de segurança cibernética única do conglomerado prudencial, nos termos da regulamentação em vigor, desde que compatível com o disposto neste Capítulo.

§ 2º As instituições integrantes de conglomerado prudencial podem adotar política de segurança cibernética única do conglomerado prudencial, nos termos da regulamentação em vigor, desde que compatível com o disposto neste Capítulo. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

§ 3º As instituições de pagamento que não constituírem política de segurança cibernética própria em decorrência do disposto no § 2º devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição.

§ 3º As instituições que não constituírem política de segurança cibernética própria em decorrência do disposto no § 2º devem formalizar a opção por essa faculdade em reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

Art. 3º A política de segurança cibernética deve especificar, no mínimo:

~~I - os objetivos de segurança cibernética da instituição de pagamento;~~

I - os objetivos de segurança cibernética da instituição; (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

~~II - os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição de pagamento a incidentes e atender aos demais objetivos de segurança cibernética;~~

II - os procedimentos e os controles adotados para reduzir a vulnerabilidade da instituição a incidentes e atender aos demais objetivos de segurança cibernética; (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

III - os controles específicos, incluindo os voltados para a rastreabilidade da informação, que busquem garantir a segurança das informações sensíveis;

~~IV - o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição de pagamento;~~

IV - o registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes relevantes para as atividades da instituição; (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

V - as diretrizes para:

~~a) a elaboração de cenários de incidentes considerados nos testes de continuidade dos serviços de pagamento prestados;~~

a) a elaboração de cenários de incidentes considerados nos testes de continuidade de negócios; (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

b) a definição de procedimentos e de controles voltados à prevenção e ao tratamento dos incidentes a serem adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis ou que sejam relevantes para a condução das atividades operacionais da instituição de pagamento;

c) a classificação dos dados e das informações quanto à relevância; e

d) a definição dos parâmetros a serem utilizados na avaliação da relevância dos incidentes;

~~VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição de pagamento, incluindo:~~

VI - os mecanismos para disseminação da cultura de segurança cibernética na instituição, incluindo: (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

a) a implementação de programas de capacitação e de avaliação periódica de pessoal;

~~b) a prestação de informações a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e~~

b) a prestação de informações a clientes e a usuários finais sobre precauções na utilização de produtos e serviços oferecidos; e (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

c) o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados com a segurança cibernética; e

VII - as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com as instituições de pagamento e com as demais instituições autorizadas a funcionar pelo Banco Central do Brasil.

VII - as iniciativas para compartilhamento de informações sobre os incidentes relevantes, mencionados no inciso IV, com as instituições mencionadas no art. 1º e com as demais instituições autorizadas a funcionar pelo Banco Central do Brasil. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

§ 1º Na definição dos objetivos de segurança cibernética referidos no inciso I do caput, deve ser contemplada a capacidade da instituição de pagamento para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

§ 1º Na definição dos objetivos de segurança cibernética referidos no inciso I do caput, deve ser contemplada a capacidade de a instituição prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

§ 2º Os procedimentos e os controles de que trata o inciso II do caput devem abranger a autenticação, a criptografia, a prevenção e a detecção de intrusão, a prevenção de vazamento de informações, a realização periódica de testes e varreduras para detecção de vulnerabilidades, a proteção contra softwares maliciosos, o estabelecimento de mecanismos de rastreabilidade, os controles de acesso e de segmentação da rede de computadores e a manutenção de cópias de segurança dos dados e das informações.

§ 2º Os procedimentos e os controles de que trata o inciso II do caput devem abranger, no mínimo: (Redação dada pela Resolução BCB nº 538, de 18/12/2025.)

I - a autenticação; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

II - os mecanismos de criptografia; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

III - os mecanismos de prevenção e detecção de intrusão; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

IV - os mecanismos de prevenção de vazamentos de informações; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

V - os mecanismos de proteção contra softwares maliciosos; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

VI - os mecanismos de rastreabilidade; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

VII - a gestão de cópias de segurança dos dados e das informações; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

VIII - a avaliação e a correção de vulnerabilidades dos recursos computacionais e dos sistemas de informação; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

IX - os controles de acesso; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

X - a definição e implementação de perfis de configuração segura de ativos de tecnologia; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

XI - os mecanismos de proteção da rede; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

XII - a gestão de certificados digitais; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

XIII - os requisitos de segurança para a integração de sistemas de informação por meio de interfaces eletrônicas; e (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

XIV - as ações de inteligência no ambiente cibernético, incluindo o monitoramento de informações de interesse da instituição na internet, na Deep Web e na Dark Web, além de grupos privados de comunicação. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 3º Os procedimentos e os controles citados no inciso II do caput devem ser aplicados, inclusive, no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da instituição de pagamento.

§ 3º Os procedimentos e os controles citados no inciso II do caput devem ser aplicados, inclusive: (Redação dada pela Resolução BCB nº 538, de 18/12/2025.)

I - no desenvolvimento de sistemas de informação seguros; e (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

II - na adoção de novas tecnologias empregadas nas atividades da instituição. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 4º O registro, a análise da causa e do impacto, bem como o controle dos efeitos de incidentes, citados no inciso IV do caput, devem abranger inclusive informações recebidas de empresas prestadoras de serviços a terceiros.

§ 5º As diretrizes de que trata a alínea "b" do inciso V do caput devem contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela própria instituição de pagamento.

§ 5º As diretrizes de que trata a alínea “b” do inciso V do caput devem contemplar procedimentos e controles em níveis de complexidade, abrangência e precisão compatíveis com os utilizados pela própria instituição. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

§ 6º A instituição deve verificar o disposto no inciso I do § 3º, no que couber, nos casos de sistemas de informação por ela adquiridos ou desenvolvidos por empresas prestadoras de serviços a terceiros, executados com a utilização de recursos computacionais da própria instituição. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 7º Os mecanismos de rastreabilidade de que trata o inciso VI do § 2º devem abranger a rastreabilidade de transações e operações, contemplando, no mínimo: (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

I - trilhas de auditoria do processamento fim a fim dos dados e das informações, incluindo a definição e a geração de logs que possibilitem identificar falhas de processamento ou comportamentos atípicos, bem como subsidiar análises; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

II - definição de tempo de retenção de informações de acordo com o tipo de processamento realizado; e (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

III - retenção segura das trilhas de auditoria. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 8º A avaliação e a correção de vulnerabilidades de que trata o inciso VIII do § 2º deve contemplar, no mínimo: (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

I - testes e análises periódicos para detecção de vulnerabilidades em sistemas de informação; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

II - varreduras periódicas dos recursos tecnológicos com o objetivo de identificar dispositivos indevidamente conectados à rede corporativa que possam estabelecer conexão com ativos de tecnologia externos à instituição; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

III - análises periódicas dos recursos tecnológicos com o objetivo de identificar vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia da instituição; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

IV - testes de intrusão; e (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

V - correção tempestiva das vulnerabilidades identificadas. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 9º Os controles de acesso de que trata o inciso IX do § 2º devem incluir, no mínimo: (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

I - mecanismos para limitar o acesso à rede corporativa a usuários credenciados e a dispositivos autorizados; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

II - revisão periódica e tempestiva das permissões de acesso, em especial de colaboradores terceirizados com acesso aos recursos computacionais da instituição; e (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

III - implementação de múltiplos fatores de autenticação para acesso à rede corporativa a partir de ambientes externos à instituição. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 10. A definição e implementação de perfis de configuração segura de que trata o inciso X do § 2º devem prever, no mínimo: (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

I - a gestão do ciclo de vida dos recursos computacionais da instituição; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

II - a aplicação regular de correções de segurança; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

III - a configuração adequada dos serviços a serem suportados pelos recursos computacionais; e (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

IV - a alteração de senhas e de outros padrões que possam ser utilizados para acessos indevidos aos recursos computacionais. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 11. Os mecanismos de proteção da rede de que trata o inciso XI do § 2º devem contemplar, no mínimo: (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

I - a segmentação de rede de computadores, resguardando, em especial, o ambiente de produção e os recursos computacionais que suportam processos críticos de negócio; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

II - o estabelecimento de regras de firewall, assim como o monitoramento de conexões, evitando tentativas de conexão com sistemas de informação provenientes de ativos de tecnologia localizados fora da rede corporativa da instituição; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

III - a definição de critérios para o estabelecimento e o monitoramento de conexões com ambientes externos, em especial em horário noturno e em dias não úteis; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

IV - as medidas para identificar e prevenir conexões indevidas com ambientes externos à instituição oriundas de recursos tecnológicos da instituição; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

V - a implementação e manutenção de processos e ferramentas para identificação, análise, tratamento e controle de eventos atípicos no ambiente de produção da instituição, abrangendo, como exemplos, o estabelecimento de virtual private networks – VPN e tentativas de acesso privilegiado a recursos computacionais, especialmente em horário noturno e em dias não úteis; e (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

VI - o estabelecimento de medidas para restringir o acesso a redes corporativas apenas a dispositivos ou ativos de tecnologia devidamente autorizados. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 12. A gestão de certificados digitais de que trata o inciso XII do § 2º deve prever, no mínimo: (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

I - o monitoramento do uso de certificados e assinaturas digitais, contemplando a implementação dos mecanismos de rastreabilidade de que trata o § 7º; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

II - os procedimentos para a guarda de informações, abrangendo os controles de acesso físico e lógico a chaves privadas sob responsabilidade da instituição; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

III - procedimentos e ferramentas para evitar o compartilhamento indevido das chaves privadas associadas a certificados digitais da instituição; e (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

IV - a validação tempestiva de certificados revogados perante as autoridades certificadoras. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

Art. 3º-A As instituições referidas no art. 1º devem estabelecer os seguintes requisitos de segurança adicionais, como parte integrante dos procedimentos e controles previstos em sua política de segurança cibernética de que trata o art. 3º: (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

I - no caso de comunicação eletrônica de dados na Rede do Sistema Financeiro Nacional – RSFN: (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

a) uso de múltiplos fatores de autenticação para o acesso administrativo aos ambientes Pix e Sistema de Transferência de Reservas – STR; (Incluída pela Resolução BCB nº 538, de 18/12/2025.)

b) isolamento físico e lógico do ambiente Pix dos demais sistemas da instituição, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de serviços de computação em nuvem contratados; (Incluída pela Resolução BCB nº 538, de 18/12/2025.)

c) isolamento físico e lógico do ambiente STR dos demais sistemas da instituição, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de serviços de computação em nuvem contratados; (Incluída pela Resolução BCB nº 538, de 18/12/2025.)

d) monitoramento do uso de credenciais e certificados digitais, bem como estabelecimento de controles para a guarda dessas informações, especialmente as utilizadas no âmbito do Sistema de Pagamentos Instantâneos – SPI; (Incluída pela Resolução BCB nº 538, de 18/12/2025.)

e) implementação de mecanismos de validação da integridade fim a fim das transações pela instituição antes da assinatura digital das mensagens associadas, assegurando que os dados não tenham sido corrompidos ou manipulados durante o processo de geração dessas mensagens; e (Incluída pela Resolução BCB nº 538, de 18/12/2025.)

f) vedação do acesso de empresas prestadoras de serviços a terceiros às chaves privadas associadas a certificados digitais utilizados pela instituição para a assinatura de mensagens; e (Incluída pela Resolução BCB nº 538, de 18/12/2025.)

II - no caso de conexão como participante de Sistemas do Mercado Financeiro – SMF autorizados a operar, a implementação de controles de segurança para prevenção, detecção e resposta a fraudes a serem observados pela instituição. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

Parágrafo único. As instituições devem observar este artigo de forma compatível com o disposto: (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

I - nesta Resolução; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

II - na regulamentação em vigor; e (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

III - em todos os requisitos técnicos da RSFN previstos no Catálogo de Serviços do SFN, no Manual de Redes do SFN e no Manual de Segurança do SFN, publicados pelo Banco Central do Brasil. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

Seção II
Da Divulgação da Política de Segurança Cibernética

Art. 4º A política de segurança cibernética deve ser divulgada aos funcionários da instituição de pagamento e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações.

Art. 4º A política de segurança cibernética deve ser divulgada aos funcionários da instituição mencionada no art. 1º e às empresas prestadoras de serviços a terceiros, mediante linguagem clara, acessível e em nível de detalhamento compatível com as funções desempenhadas e com a sensibilidade das informações. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

~~Art. 5º As instituições de pagamento devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética.~~

Art. 5º As instituições mencionadas no art. 1º devem divulgar ao público resumo contendo as linhas gerais da política de segurança cibernética. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

Seção III
Do Plano de Ação e de Resposta a Incidentes

~~Art. 6º As instituições de pagamento devem estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética.~~

Art. 6º As instituições mencionadas no art. 1º devem estabelecer plano de ação e de resposta a incidentes visando à implementação da política de segurança cibernética. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

Parágrafo único. O plano mencionado no caput deve abranger, no mínimo:

I - as ações a serem desenvolvidas pela instituição para adequar suas estruturas organizacional e operacional aos princípios e às diretrizes da política de segurança cibernética;

II - as rotinas, os procedimentos, os controles e as tecnologias a serem utilizados na prevenção e na resposta a incidentes, em conformidade com as diretrizes da política de segurança cibernética; e

III - a área responsável pelo registro e controle dos efeitos de incidentes relevantes.

~~Art. 7º As instituições de pagamento devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes.~~

Art. 7º As instituições mencionadas no art. 1º devem designar diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de resposta a incidentes. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

Parágrafo único. O diretor mencionado no caput pode desempenhar outras funções na instituição, desde que não haja conflito de interesses.

Art. 8º As instituições de pagamento devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, mencionado no art. 6º, com data-base de 31 de dezembro.

Art. 8º As instituições mencionadas no art. 1º devem elaborar relatório anual sobre a implementação do plano de ação e de resposta a incidentes, mencionado no art. 6º, com data-base de 31 de dezembro. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

§ 1º O relatório de que trata o caput deve abordar, no mínimo:

I - a efetividade da implementação das ações descritas no art. 6º, parágrafo único, inciso I;

II - o resumo dos resultados obtidos na implementação das rotinas, dos procedimentos, dos controles e das tecnologias a serem utilizados na prevenção e na resposta a incidentes descritos no art. 6º, parágrafo único, inciso II;

~~III - os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; e~~

III - os incidentes relevantes relacionados com o ambiente cibernético ocorridos no período; (Redação dada pela Resolução BCB nº 538, de 18/12/2025.)

~~IV - os resultados dos testes de continuidade dos serviços de pagamento prestados, considerando cenários de indisponibilidade ocasionada por incidentes.~~

~~IV - os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes.~~ ~~(Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)~~

IV - os resultados dos testes de continuidade de negócios, considerando cenários de indisponibilidade ocasionada por incidentes; e (Redação dada pela Resolução BCB nº 538, de 18/12/2025.)

V - os resultados dos testes de intrusão e dos testes, varreduras e análises periódicas para detecção de vulnerabilidades de que trata o art. 3º, § 8º, e os planos de ação estabelecidos para as suas correções, observado o disposto no art. 22-A, caput, inciso III. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 2º O relatório mencionado no caput deve ser apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base.

§ 2º O relatório mencionado no caput deve ser: (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

I - submetido ao comitê de risco, quando existente; e (Incluído, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

II - apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 31 de março do ano seguinte ao da data-base. (Incluído, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

Art. 9º A política de segurança cibernética referida no art. 2º e o plano de ação e de resposta a incidentes mencionado no art. 6º devem ser aprovados pelo conselho de administração ou, na sua inexistência, pela diretoria da instituição de pagamento.

Art. 10. A política de segurança cibernética e o plano de ação e de resposta a incidentes devem ser documentados e revisados, no mínimo, anualmente.

CAPÍTULO III
DA CONTRATAÇÃO DE SERVIÇOS DE PROCESSAMENTO E ARMAZENAMENTO DE DADOS E DE COMPUTAÇÃO EM NUVEM

Art. 11. As instituições de pagamento devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no País ou no exterior.

Art. 11. As instituições mencionadas no art. 1º devem assegurar que suas políticas, estratégias e estruturas para gerenciamento de riscos previstas na regulamentação em vigor, especificamente no tocante aos critérios de decisão quanto à terceirização de serviços, contemplem a contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, no país ou no exterior. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

Art. 12. As instituições de pagamento, previamente à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, devem adotar procedimentos que contemplem:

Art. 12. As instituições mencionadas no art. 1º, previamente à contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem, devem adotar procedimentos que contemplem: (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

I - a adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que estejam expostas; e

II - a verificação da capacidade do potencial prestador de serviço de assegurar:

a) o cumprimento da legislação e da regulamentação em vigor;

b) o acesso da instituição aos dados e às informações a serem processados ou armazenados pelo prestador de serviço;

c) a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço;

d) a sua aderência a certificações exigidas pela instituição para a prestação do serviço a ser contratado;

e) o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente contratada pelo prestador de serviço, relativos aos procedimentos e aos controles utilizados na prestação dos serviços a serem contratados;

f) o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados;

~~g) a identificação e a segregação dos dados dos usuários finais da instituição por meio de controles físicos ou lógicos; e~~

g) a identificação e a segregação dos dados dos clientes e dos usuários finais da instituição por meio de controles físicos ou lógicos; e (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

~~h) a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos usuários finais da instituição.~~

h) a qualidade dos controles de acesso voltados à proteção dos dados e das informações dos clientes e dos usuários finais da instituição. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

§ 1º Na avaliação da relevância do serviço a ser contratado, mencionada no inciso I do caput, a instituição contratante deve considerar a criticidade do serviço e a sensibilidade dos dados e das informações a serem processados, armazenados e gerenciados pelo contratado, levando em conta, inclusive, a classificação realizada nos termos do art. 3º, inciso V, alínea "c".

§ 2º Os procedimentos de que trata o caput, inclusive as informações relativas à verificação mencionada no inciso II, devem ser documentados.

§ 3º No caso da execução de aplicativos por meio da internet, referidos no art. 13, inciso III, a instituição deve assegurar que o potencial prestador dos serviços adote controles que mitiguem os efeitos de eventuais vulnerabilidades na liberação de novas versões do aplicativo.

§ 4º A instituição deve possuir recursos e competências necessários para a adequada gestão dos serviços a serem contratados, inclusive para análise de informações e uso de recursos providos nos termos da alínea "f" do inciso II do caput.

Art. 13. Para os fins do disposto nesta Resolução, os serviços de computação em nuvem abrangem a disponibilidade à instituição de pagamento contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços:

Art. 13. Para os fins do disposto nesta Resolução, os serviços de computação em nuvem abrangem a disponibilidade à instituição contratante, sob demanda e de maneira virtual, de ao menos um dos seguintes serviços: (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

I - processamento de dados, armazenamento de dados, infraestrutura de redes e outros recursos computacionais que permitam à instituição contratante implantar ou executar softwares, que podem incluir sistemas operacionais e aplicativos desenvolvidos pela instituição ou por ela adquiridos;

II - implantação ou execução de aplicativos desenvolvidos pela instituição contratante, ou por ela adquiridos, utilizando recursos computacionais do prestador de serviços; ou

III - execução, por meio da internet, de aplicativos implantados ou desenvolvidos pelo prestador de serviço, com a utilização de recursos computacionais do próprio prestador de serviços.

Art. 14. A instituição de pagamento contratante dos serviços mencionados no art. 12 é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor.

Art. 14. A instituição contratante dos serviços mencionados no art. 12 é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação aos serviços contratados, bem como pelo cumprimento da legislação e da regulamentação em vigor. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

~~Art. 15. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada pelas instituições de pagamento ao Banco Central do Brasil.~~

Art. 15. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem deve ser comunicada pelas instituições mencionadas no art. 1º ao Banco Central do Brasil. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

§ 1º A comunicação mencionada no caput deve conter as seguintes informações:

I - a denominação da empresa contratada;

II - os serviços relevantes contratados; e

III - a indicação dos países e das regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados, definida nos termos do inciso III do art. 16, no caso de contratação no exterior.

§ 2º A comunicação de que trata o caput deve ser realizada até dez dias após a contratação dos serviços.

§ 3º As alterações contratuais que impliquem modificação das informações de que trata o § 1º devem ser comunicadas ao Banco Central do Brasil até dez dias após a alteração contratual.

Art. 16. A contratação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem prestados no exterior deve observar os seguintes requisitos:

I - a existência de convênio para troca de informações entre o Banco Central do Brasil e as autoridades supervisoras dos países onde os serviços poderão ser prestados;

II - a instituição de pagamento contratante deve assegurar que a prestação dos serviços referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil;

II - a instituição contratante deve assegurar que a prestação dos serviços referidos no caput não cause prejuízos ao seu regular funcionamento nem embaraço à atuação do Banco Central do Brasil; (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

III - a instituição de pagamento contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e

III - a instituição contratante deve definir, previamente à contratação, os países e as regiões em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados; e (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

IV - a instituição de pagamento contratante deve prever alternativas para a continuidade dos serviços de pagamento prestados, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços.

IV - a instituição contratante deve prever alternativas para a continuidade dos negócios, no caso de impossibilidade de manutenção ou extinção do contrato de prestação de serviços. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

~~§ 1º No caso de inexistência de convênio nos termos do inciso I do caput, a instituição de pagamento contratante deverá solicitar autorização do Banco Central do Brasil para:~~

§ 1º No caso de inexistência de convênio nos termos do inciso I do caput, a instituição contratante deverá solicitar autorização do Banco Central do Brasil para: (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

I - a contratação do serviço, no prazo mínimo de sessenta dias antes da contratação, observado o disposto no art. 15, § 1º; e

II - as alterações contratuais que impliquem modificação das informações de que trata o art. 15, § 1º, observando o prazo mínimo de sessenta dias antes da alteração contratual.

§ 2º Para atendimento aos incisos II e III do caput, as instituições deverão assegurar que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso das instituições de pagamento contratantes e do Banco Central do Brasil aos dados e às informações.

§ 2º Para atendimento aos incisos II e III do caput, as instituições deverão assegurar que a legislação e a regulamentação nos países e nas regiões em cada país onde os serviços poderão ser prestados não restringem nem impedem o acesso das instituições contratantes e do Banco Central do Brasil aos dados e às informações. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

§ 3º A comprovação do atendimento aos requisitos de que tratam os incisos I a IV do caput e o cumprimento da exigência de que trata o § 2º devem ser documentados.

Art. 17. Os contratos para prestação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem devem conter cláusulas dispondo sobre:

I - a indicação dos países e da região em cada país onde os serviços poderão ser prestados e os dados poderão ser armazenados, processados e gerenciados;

II - a adoção de medidas de segurança para a transmissão e armazenamento dos dados citados no inciso I;

~~III - a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos usuários finais;~~

III - a manutenção, enquanto o contrato estiver vigente, da segregação dos dados e dos controles de acesso para proteção das informações dos clientes e dos usuários finais; (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

IV - a obrigatoriedade, em caso de extinção do contrato, de:

~~a) transferência dos dados citados no inciso I ao novo prestador de serviços ou à instituição de pagamento contratante; e~~

a) transferência dos dados citados no inciso I ao novo prestador de serviços ou à instituição contratante; e (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

b) exclusão dos dados citados no inciso I pela empresa contratada substituída, após a transferência dos dados prevista na alínea "a" e a confirmação da integridade e da disponibilidade dos dados recebidos;

~~V - o acesso da instituição de pagamento contratante a:~~

V - o acesso da instituição contratante a: (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

a) informações fornecidas pela empresa contratada, visando a verificar o cumprimento do disposto nos incisos I a III;

b) informações relativas às certificações e aos relatórios de auditoria especializada, citados no art. 12, inciso II, alíneas "d" e "e"; e

c) informações e recursos de gestão adequados ao monitoramento dos serviços a serem prestados, citados no art. 12, inciso II, alínea "f";

~~VI - a obrigação de a empresa contratada notificar a instituição de pagamento contratante sobre a subcontratação de serviços relevantes para a instituição;~~

VI - a obrigação de a empresa contratada notificar a instituição contratante sobre a subcontratação de serviços relevantes para a instituição; (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

VII - a permissão de acesso do Banco Central do Brasil aos contratos e aos acordos firmados para a prestação de serviços, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso aos dados e às informações;

~~VIII - a adoção de medidas pela instituição de pagamento contratante, em decorrência de determinação do Banco Central do Brasil; e~~

VIII - a adoção de medidas pela instituição contratante, em decorrência de determinação do Banco Central do Brasil; e (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

IX - a obrigação de a empresa contratada manter a instituição de pagamento contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor.

IX - a obrigação de a empresa contratada manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar a prestação dos serviços ou o cumprimento da legislação e da regulamentação em vigor. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

~~Parágrafo único. Os contratos mencionados no caput devem prever, para o caso da decretação de regime de resolução da instituição de pagamento contratante pelo Banco Central do Brasil:~~

Parágrafo único. Os contratos mencionados no caput devem prever, para o caso da decretação de regime de resolução da instituição contratante pelo Banco Central do Brasil: (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

I - a obrigação de a empresa contratada conceder pleno e irrestrito acesso do responsável pelo regime de resolução aos contratos, aos acordos, à documentação e às informações referentes aos serviços prestados, aos dados armazenados e às informações sobre seus processamentos, às cópias de segurança dos dados e das informações, bem como aos códigos de acesso, citados no inciso VII do caput, que estejam em poder da empresa contratada; e

II - a obrigação de notificação prévia do responsável pelo regime de resolução sobre a intenção de a empresa contratada interromper a prestação de serviços, com pelo menos trinta dias de antecedência da data prevista para a interrupção, observado que:

a) a empresa contratada obriga-se a aceitar eventual pedido de prazo adicional de trinta dias para a interrupção do serviço, feito pelo responsável pelo regime de resolução; e

~~b) a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da instituição de pagamento contratante.~~

b) a notificação prévia deverá ocorrer também na situação em que a interrupção for motivada por inadimplência da instituição contratante. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

Art. 18. O disposto nos arts. 11 a 17 não se aplica à contratação de sistemas operados por câmaras, por prestadores de serviços de compensação e de liquidação ou por entidades que exerçam atividades de registro ou de depósito centralizado.

CAPÍTULO IV
DISPOSIÇÕES GERAIS

Art. 19. As instituições de pagamento devem assegurar que suas políticas previstas na estrutura de gerenciamento de riscos, nos termos da regulamentação em vigor, disponham, no tocante à continuidade dos serviços de pagamento prestados, sobre:

Art. 19. As instituições mencionadas no art. 1º devem assegurar que suas políticas previstas na estrutura de gerenciamento de riscos, nos termos da regulamentação em vigor, disponham, no tocante à continuidade dos negócios, sobre: (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

I - o tratamento dos incidentes relevantes relacionados com o ambiente cibernético de que trata o art. 3º, inciso IV;

II - os procedimentos a serem seguidos no caso da interrupção de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem contratados, abrangendo cenários que considerem a substituição da empresa contratada e o reestabelecimento da operação normal da instituição; e

~~III - os cenários de incidentes considerados nos testes de continuidade de serviços de pagamento prestados de que trata o art. 3º, inciso V, alínea "a".~~

III - os cenários de incidentes considerados nos testes de continuidade de negócios de que trata o art. 3º, inciso V, alínea "a". (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

Art. 20. Os procedimentos adotados pelas instituições de pagamento para gerenciamento de riscos previstos na regulamentação em vigor devem especificar, no tocante à continuidade dos serviços de pagamento prestados:

Art. 20. Os procedimentos adotados pelas instituições mencionadas no art. 1º para gerenciamento de riscos previstos na regulamentação em vigor devem especificar, no tocante à continuidade dos negócios: (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

I - o tratamento previsto para mitigar os efeitos dos incidentes relevantes de que trata o art. 3º, inciso IV, e da interrupção dos serviços relevantes de processamento, armazenamento de dados e de computação em nuvem contratados;

II - o prazo estipulado para reinício ou normalização das suas atividades ou dos serviços relevantes interrompidos, citados no inciso I; e

III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem situação de crise pela instituição de pagamento, bem como das providências para o reinício das suas atividades.

III - a comunicação tempestiva ao Banco Central do Brasil das ocorrências de incidentes relevantes e das interrupções dos serviços relevantes, citados no inciso I, que configurem situação de crise pela instituição mencionada no art. 1º, bem como das providências para o reinício das suas atividades. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

~~Parágrafo único. As instituições de pagamento devem estabelecer e documentar os critérios que configurem a situação de crise de que trata o inciso III do caput.~~

Parágrafo único. As instituições mencionadas no art. 1º devem estabelecer e documentar os critérios que configurem a situação de crise de que trata o inciso III do caput. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

Art. 21. As instituições de pagamento devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo:

Art. 21. As instituições mencionadas no art. 1º devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a implementação e a efetividade da política de segurança cibernética, do plano de ação e de resposta a incidentes e dos requisitos para contratação de serviços de processamento e armazenamento de dados e de computação em nuvem, incluindo: (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

I - a definição de processos, testes e trilhas de auditoria;

II - a definição de métricas e indicadores adequados; e

III - a identificação e a correção de eventuais deficiências.

§ 1º As notificações recebidas sobre a subcontratação de serviços relevantes descritas no art. 17, inciso VI, devem ser consideradas na definição dos mecanismos de que trata o caput.

§ 2º Os mecanismos de que trata o caput devem ser submetidos a testes periódicos pela auditoria interna compatíveis com os controles internos da instituição.

Art. 22. Sem prejuízo do dever de sigilo e da livre concorrência, as instituições de pagamento devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes de que trata o art. 3º, inciso IV.

Art. 22. Sem prejuízo do dever de sigilo e da livre concorrência, as instituições mencionadas no art. 1º devem desenvolver iniciativas para o compartilhamento de informações sobre os incidentes relevantes de que trata o art. 3º, inciso IV. (Redação dada, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

§ 1º O compartilhamento de que trata o caput deve abranger informações sobre incidentes relevantes recebidas de empresas prestadoras de serviços a terceiros.

§ 2º As informações compartilhadas devem estar disponíveis ao Banco Central do Brasil.

Art. 22-A. As instituições devem assegurar que os testes de intrusão mencionados no art. 3º, § 8º, inciso IV, devem: (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

I - ter periodicidade mínima anual; (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

II - ser realizados com independência e imparcialidade por pessoa natural ou empresa especializada contratada pela instituição para essa finalidade, sem prejuízo da realização de testes por equipes da própria instituição; e (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

III - ter os resultados de sua execução documentados, especialmente as eventuais vulnerabilidades que forem identificadas e os planos de ação estabelecidos para suas correções. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

Art. 22-B. O serviço prestado para a comunicação eletrônica de dados na RSFN, de que trata o art. 3º-A, caput, inciso I, é considerado relevante para fins da aplicação do disposto nesta Resolução sobre a contratação de serviços de processamento, armazenamento de dados e computação em nuvem. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 1º Aplica-se o disposto no caput independente da forma de conexão com a RSFN. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

§ 2º O serviço de que trata o caput inclui os casos em que o prestador de serviços fornece serviço de processamento de mensagens no âmbito do SFN e do Sistema de Pagamentos Brasileiro – SPB. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

CAPÍTULO V
DISPOSIÇÕES FINAIS

Art. 23. Devem ficar à disposição do Banco Central do Brasil pelo prazo de cinco anos:

I - o documento relativo à política de segurança cibernética, de que trata o art. 2º;

II - a ata de reunião do conselho de administração ou, na sua inexistência, da diretoria da instituição, no caso de ser formalizada a opção de que trata o art. 2º, § 2º;

III - o documento relativo ao plano de ação e de resposta a incidentes, de que trata o art. 6º;

IV - o relatório anual, de que trata o art. 8º;

V - a documentação sobre os procedimentos de que trata o art. 12, § 2º;

VI - a documentação de que trata o art. 16, § 3º, no caso de serviços prestados no exterior;

VII - os contratos de que trata o art. 17, contado o prazo referido no caput a partir da extinção do contrato;

VIII - os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle de que trata o art. 21, contado o prazo referido no caput a partir da implementação dos citados mecanismos; e

VIII - os dados, os registros e as informações relativas aos mecanismos de acompanhamento e de controle de que trata o art. 21, contado o prazo a partir da implementação dos citados mecanismos; (Redação dada pela Resolução BCB nº 538, de 18/12/2025.)

~~IX - a documentação com os critérios que configurem a situação de crise de que trata o art. 20, parágrafo único.~~

IX - a documentação com os critérios que configurem uma situação de crise de que trata o art. 20, parágrafo único; e (Redação dada pela Resolução BCB nº 538, de 18/12/2025.)

X - a documentação com os resultados da execução de testes de intrusão e os planos de ação estabelecidos para as correções de vulnerabilidades identificadas de que trata o art. 22-A, caput, inciso III, contado o prazo a partir da data de execução dos testes. (Incluído pela Resolução BCB nº 538, de 18/12/2025.)

Art. 24. As instituições de pagamento que em 1º de setembro de 2019 já tinham contratado a prestação de serviços relevantes de processamento, armazenamento de dados e de computação em nuvem devem adequar o contrato para a prestação de tais serviços:

~~I - ao cumprimento do disposto no art. 16, incisos I, II, IV e § 2º, no caso de serviços prestados no exterior; e~~

~~II - ao disposto nos arts. 15, § 1º, e 17.~~

~~Parágrafo único. A adequação ao disposto no caput deve ocorrer até 31 de dezembro de 2021.~~

Art. 24. (Revogado, a partir de 1º/3/2024, pela Resolução BCB nº 368, de 25/1/2024.)

Art. 25. O Banco Central do Brasil poderá vetar ou impor restrições para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação dos referidos serviços e dos contratos correspondentes.

Art. 26. Ficam revogados:

I - os arts. 1º a 26 da Circular nº 3.909, de 16 de agosto de 2018; e

II - a Circular nº 3.969, de 13 de novembro de 2019.

Art. 27. Esta Resolução entra em vigor em 1º de agosto de 2021.

Otávio Ribeiro Damaso
Diretor de Regulação

Resolução BCB N° 85

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Política de segurança cibernética

Divulgação, plano de resposta e governança executiva

Contratação de serviços relevantes de dados e nuvem

Comunicações ao Banco Central e contratação no exterior

Cláusulas contratuais e regime de resolução

Continuidade, crise, monitoramento e auditoria

Compartilhamento de informações e retenção documental

Transição, revogações e decisões de cobertura

Impactos para compliance, tecnologia, riscos e contratos

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes

Resolução BCB N° 85 🛡️ ☁️ 💻

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Política de segurança cibernética

Divulgação, plano de resposta e governança executiva

Contratação de serviços relevantes de dados e nuvem

Comunicações ao Banco Central e contratação no exterior

Cláusulas contratuais e regime de resolução

Continuidade, crise, monitoramento e auditoria

Compartilhamento de informações e retenção documental

Transição, revogações e decisões de cobertura

Impactos para compliance, tecnologia, riscos e contratos

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Resolução BCB N° 85