O que é o plano de saída ordenada de um PSTI?

O plano de saída ordenada é um documento que um PSTI deve elaborar e manter, contendo as medidas a serem implementadas para o encerramento de suas atividades. O principal objetivo do plano é priorizar a mitigação do impacto sobre as instituições financeiras clientes e sobre o funcionamento regular do Sistema de Pagamentos Brasileiro (SPB).

Uma instituição financeira pode atuar como PSTI?

Sim, mas com uma restrição importante. Instituições financeiras e outras instituições supervisionadas pelo Banco Central podem atuar como PSTI exclusivamente para atender às demais instituições que fazem parte do mesmo conglomerado financeiro. Para isso, é necessário manter a segregação operacional e observar todos os requisitos técnicos e de segurança aplicáveis.

O credenciamento de um PSTI pelo Banco Central do Brasil equivale a uma autorização de funcionamento?

Não. O credenciamento de um PSTI não configura uma autorização para o funcionamento de sua atividade econômica. Além disso, o credenciamento não altera os deveres legais e contratuais que o PSTI possui com seus clientes e parceiros.

Quais medidas cautelares o Banco Central do Brasil pode adotar em relação a um PSTI?

Em situações que representem risco, como incidentes operacionais, falhas de segurança ou descumprimento grave das regras, o Banco Central pode adotar medidas cautelares preventivas. Essas medidas podem ser aplicadas de forma isolada ou cumulativa e incluem:

Quais entidades são proibidas de se credenciar como PSTI?

Conforme a Resolução que estabelece as regras de credenciamento, é vedado o credenciamento como PSTI para as seguintes entidades:

Quais são as políticas de gestão de riscos que um PSTI deve obrigatoriamente estabelecer?

Um PSTI deve estabelecer e manter políticas de gestão de riscos que abordem, no mínimo, as seguintes áreas:

Quais são os principais requisitos para que uma empresa seja credenciada como PSTI?

Para obter o credenciamento como PSTI junto ao Banco Central do Brasil, o solicitante deve atender a uma série de requisitos, que incluem:

O que é a Rede do Sistema Financeiro Nacional (RSFN)?

A Rede do Sistema Financeiro Nacional (RSFN) é a estrutura de comunicação de dados que serve para amparar o tráfego de informações para serviços autorizados no âmbito do Sistema Financeiro Nacional (SFN).

Como pode ocorrer o descredenciamento de um PSTI?

O descredenciamento de um PSTI pode acontecer de duas formas:

O que a política de segurança da informação e cibernética de um PSTI deve incluir?

A política de segurança da informação e cibernética de um PSTI deve ser abrangente e contemplar diversos aspectos para garantir a segurança de dados, sistemas e recursos computacionais. Entre os itens mínimos exigidos estão:

Quais são as principais responsabilidades de uma instituição financeira ao contratar os serviços de um PSTI?

A instituição que contrata um PSTI também tem responsabilidades importantes para garantir a segurança e a conformidade do sistema. Cabe a ela:

Quais informações um PSTI é obrigado a prestar ao Banco Central do Brasil?

Um PSTI deve prestar diversas informações ao Banco Central para fins de monitoramento e supervisão. As principais são:

Resolução BCB N° 498 | Banco Central

Q: O que é um Provedor de Serviços de Tecnologia da Informação (PSTI)?

Um Provedor de Serviços de Tecnologia da Informação, ou PSTI, é uma entidade credenciada para prestar serviços de processamento de dados a instituições financeiras e outras instituições supervisionadas pelo Banco Central do Brasil. O objetivo desses serviços é permitir o acesso à Rede do Sistema Financeiro Nacional (RSFN).

Resumo executivo

A Resolução BCB nº 498, de 5 de setembro de 2025, cria um regime próprio de credenciamento, governança, segurança, continuidade, reporte e supervisão para provedores de tecnologia que prestam serviço de processamento de dados para acesso à Rede do Sistema Financeiro Nacional. O documento se dirige principalmente ao Provedor de Serviços de Tecnologia da Informação, tratado como PSTI, e também alcança instituições financeiras e demais instituições supervisionadas pelo Banco Central quando acessam a rede por meio de PSTI contratado.

O eixo central da resolução é transformar a atuação do PSTI em uma função crítica para a infraestrutura financeira. Por isso, a norma não se limita a exigir um pedido de credenciamento. Ela cria um conjunto amplo de requisitos permanentes envolvendo capacidade econômico-financeira, governança corporativa, segurança cibernética, continuidade de negócios, gestão de crises, gestão de fraudes, controles internos, auditoria, prestação de informações ao Banco Central e deveres das instituições contratantes. O pacote reflete esse desenho: os requisitos foram separados por processos controláveis, evidências próprias e públicos internos distintos, evitando transformar a norma em um único requisito genérico de conformidade.

A resolução entra em vigor na data de sua publicação e traz comandos transitórios para PSTI já em funcionamento. Em especial, há adaptação aos requisitos de política de segurança da informação e política de gestão de fraudes conforme cronograma a ser publicado pelo Banco Central, com relatório de asseguração razoável por fase. Também há prazo único de quatro meses para apresentação de pleito de credenciamento por PSTI em funcionamento ou com pedido pendente. Como esse prazo nasce do próprio documento-fonte, ele foi tratado como requisito histórico encerrado, útil para auditoria e trilha de transição, mas sem sinalização como obrigação recorrente viva.

Escopo e sujeitos regulados

A norma tem dois grandes grupos de destinatários operacionais. O primeiro é o PSTI que pretende se credenciar, manter credenciamento ou continuar prestando serviço de processamento de dados para acesso à RSFN. Para esse grupo, o pacote usa uma segmentação setorial financeira ampla porque o dicionário disponível não possui uma tag específica para PSTI ou para provedor tecnológico de infraestrutura financeira. Essa limitação foi registrada no manifest e explicada nos resumos de aplicabilidade. A aplicabilidade real não decorre de a empresa ser genericamente financeira ou de tecnologia: decorre de ser, pretender ser ou já operar como PSTI credenciado ou em transição perante o Banco Central.

O segundo grupo é formado pelas instituições financeiras e demais instituições supervisionadas pelo Banco Central que acessam a RSFN por meio de PSTI contratado. O art. 35 cria obrigações próprias para essas contratantes, incluindo contratação de PSTI credenciado, cláusulas contratuais, monitoramento contínuo, implementação de controles de segurança, posse de chaves privadas, segregação de certificados, manutenção de documentação e comunicação imediata de falhas relevantes ou descumprimentos identificados. Esses itens foram separados dos requisitos do PSTI porque possuem sujeito regulado, evidência, área interna e controles diferentes.

O art. 2º, por sua vez, foi tratado como ponto de definição, não como requisito. Ele ajuda a delimitar conceitos como comunicação eletrônica de dados, RSFN, PSTI e sistemas provedores de infraestrutura do mercado financeiro, mas não impõe, isoladamente, uma ação empresarial verificável. De modo semelhante, dispositivos que conferem competência ao Banco Central, como monitoramento ou emissão de instruções complementares, foram mapeados como pontos de apoio ou interno do regulador, salvo quando geram dever de resposta, atendimento ou preparação por parte da empresa.

Blocos centrais de requisitos

O primeiro bloco operacional é o credenciamento. O PSTI deve atender requisitos de adesão às regras da RSFN, regularidade, inexistência de vedações, capacidade técnica e operacional, designação de responsáveis, relacionamento com o Banco Central, capital ou patrimônio mínimo, governança, prestação de informações, certificação, auditoria externa, seguro e continuidade de negócios. Esse bloco foi decomposto em requisitos específicos para permitir acompanhamento real: obter credenciamento, firmar o Termo de Adesão e Responsabilidade, comprovar anualmente a manutenção dos requisitos, manter capacidade econômico-financeira, avaliar idoneidade de controladores e administradores e observar vedações ao credenciamento.

O segundo bloco é governança corporativa e gestão de riscos. A resolução exige estrutura compatível com natureza, porte, complexidade e perfil de risco do PSTI. A governança precisa assegurar segregação de funções, órgão de administração quando justificável, políticas formais, transparência societária, avaliação de idoneidade e Comitê de Gestão de Crises Operacionais. A norma também exige diretores responsáveis por funções críticas: segurança da informação e cibernética, riscos e compliance, relacionamento com o Banco Central e gestão de crises. Esses requisitos foram separados porque tendem a envolver atas, designações, organogramas, políticas, evidências de aprovação e fluxos diferentes.

O terceiro bloco é segurança da informação e cibernética. A resolução é detalhada nesse ponto e por isso o pacote não agrupou todo o art. 17 em um único item. Foram criados requisitos próprios para rastreabilidade e trilhas de auditoria, vulnerabilidades e testes de intrusão, controle de acessos e múltiplos fatores, proteção de rede e eventos atípicos, isolamento de ambientes Pix e STR, chaves privadas, certificados digitais, interfaces eletrônicas, certificação técnica e inteligência cibernética. Essa separação ajuda a distribuir responsabilidades entre tecnologia, segurança, riscos e compliance e evita que evidências muito diferentes fiquem escondidas em um requisito guarda-chuva.

O quarto bloco é resiliência operacional. A norma exige política de continuidade de negócios, testes e revisões anuais, centro de processamento secundário com capacidade adequada, procedimentos de emergência, plano de saída ordenada, política de gestão de crises, gestão de incidentes e política de gestão de fraudes. Esses requisitos impactam diretamente arquitetura, operações, incident response, mesa de crise, relacionamento com instituições contratantes e comunicação regulatória. A gestão de fraudes foi tratada como requisito próprio porque a norma exige canal de reporte, mecanismos preventivos, acesso a dados e trilhas, monitoramento integral, avaliação de atipicidades antes de envio ao Banco Central, validação de integridade e mecanismo de interrupção de fluxo diante de suspeita grave.

O quinto bloco é conformidade, auditoria e prestação de informações. A política de controles internos e conformidade deve abranger todos os riscos do negócio, inclusive terceirização de serviços relevantes, e assegurar controles efetivos em todas as áreas. A norma também exige mecanismo de conformidade com requisitos técnicos da RSFN previstos no Catálogo de Serviços, Manual de Redes e Manual de Segurança do SFN. A auditoria interna deve ter reporte, segregação, estrutura compatível e plano anual baseado em riscos. No art. 30, há uma matriz de reportes ao Banco Central, incluindo demonstrações financeiras anuais auditadas, certificação técnica, alterações societárias, incidentes, alterações de arquitetura, relacionamentos com instituições supervisionadas, outros serviços de processamento, informações de monitoramento, relatórios anuais de auditoria e relatório de auditoria externa independente.

Impactos para compliance e operação

Para o PSTI, a resolução exige uma visão integrada de credenciamento permanente. Não basta organizar o processo inicial; a empresa precisa demonstrar manutenção contínua dos requisitos. Isso demanda calendário regulatório, dono interno para cada requisito, repositório de evidências, matriz de obrigações, gestão de mudanças, controle de arquitetura, governança de acessos, trilhas de auditoria, testes de continuidade, relatórios de auditoria, monitoramento de fraudes e incidentes, além de capacidade de resposta a determinações do Banco Central.

Para tecnologia e segurança, o impacto é material. A norma exige controles de autenticação, segregação de ambientes, isolamento Pix e STR quando aplicável, não acesso a chaves privadas, gestão de certificados, proteção de rede, monitoramento de eventos atípicos, testes de intrusão, varreduras, logs e retenção segura. Isso sugere necessidade de matriz técnica de aderência, evidências de configuração, relatórios de segurança, inventários, trilhas de auditoria e capacidade de demonstrar funcionamento dos controles em auditoria independente ou fiscalização.

Para jurídico, contratos e governança, os impactos aparecem em credenciamento, vedações, avaliação de controladores e administradores, Termo de Adesão e Responsabilidade, contratação de seguro, cláusulas com instituições contratantes, descredenciamento e plano de saída. As instituições contratantes também precisam revisar contratos com PSTI, exigir obrigações regulatórias, monitorar continuamente o prestador e manter documentação à disposição do Banco Central.

Para riscos, controles e auditoria, a resolução impõe um desenho de segunda e terceira linhas mais robusto. Políticas devem ser aprovadas e revisadas, controles internos devem ser testados, requisitos técnicos da RSFN devem ser rastreáveis, auditoria interna deve ter plano anual baseado em riscos e relatórios anuais devem conter achados, planos de ação e acompanhamento das correções. Isso favorece uma abordagem por matriz de controles, com vínculo entre requisito, evidência, teste, achado e plano de ação.

Evidências, controles e artefatos sugeridos

O pacote propõe evidências compatíveis com cada requisito. Para credenciamento, as evidências centrais são dossiê de credenciamento, comprovação anual, Termo de Adesão, certificações, relatórios de asseguração, comprovantes de auditoria, seguro e registros de capacidade econômico-financeira. Para governança, são relevantes atas, organogramas, termos de designação, políticas aprovadas, registros de revisão anual, avaliações de idoneidade e atas do Comitê de Gestão de Crises.

Para segurança, as evidências incluem inventário de ativos e certificados, documentação de arquitetura, logs, trilhas de auditoria, critérios de retenção, relatórios de vulnerabilidade, testes de intrusão, revisões de acesso, evidências de autenticação multifator, regras de firewall, registros de eventos atípicos, validação de certificados revogados, relatórios de monitoramento de interfaces, testes de certificação técnica e registros de inteligência cibernética.

Para continuidade, incidentes e fraudes, as evidências incluem planos de continuidade, resultados de testes anuais, documentação de centro secundário, plano de saída ordenada, política de gestão de crises, atas de crise, plano de resposta a incidentes, registros de testes, políticas de fraude, relatórios de monitoramento vinte e quatro por sete, avaliação de atipicidades, comunicações a instituições impactadas e reportes ao Banco Central.

Para instituições contratantes, os artefatos mais importantes são contrato com cláusulas regulatórias, due diligence de credenciamento do PSTI, relatórios de monitoramento, relatórios de auditoria e continuidade recebidos ou avaliados, registros de implementação de controles de segurança, inventário e segregação de certificados, evidência de posse das chaves privadas, validação de integridade de transações e documentação de comunicação de falhas relevantes ao Banco Central.

Pontos de atenção e decisões de cobertura

A principal decisão de curadoria foi não tratar a resolução como simples norma de tecnologia. Ela é uma norma de infraestrutura financeira crítica, com comandos para prestadores credenciados e instituições supervisionadas contratantes. Por isso, os requisitos foram distribuídos entre governança, segurança, continuidade, controles, auditoria, reporte e contratação de terceiros críticos.

Outra decisão importante foi separar os comandos técnicos do art. 17. Embora todos estejam dentro da política de segurança da informação e cibernética, vários têm evidências e controles muito diferentes. Rastreabilidade, vulnerabilidades, acesso, rede, isolamento, certificados, interfaces e inteligência cibernética foram tratados como unidades próprias para facilitar workflow, evidência e testes.

A transição do art. 37 foi registrada com cuidado. O requisito de adaptação aos arts. 17 e 25 depende de cronograma do Banco Central e foi marcado para revisão porque a execução detalhada decorre de ato complementar. Ao mesmo tempo, a obrigação de pleito de credenciamento em quatro meses foi tratada como encerrada, porque o próprio documento-fonte permite identificar o prazo único a partir da vigência em 5 de setembro de 2025.

As revogações do art. 38 foram incluídas em alterações de requisitos, não como novos requisitos de operação. Isso preserva o princípio de retrato-fonte: a Resolução BCB nº 498/2025 registra o efeito sobre dispositivos da Circular nº 3.970/2019, mas não recria todos os requisitos da norma revogada. Se o workspace possuir requisitos vinculados à Circular, as alterações podem ser usadas para atualização ou inativação conforme correspondência.

A limitação mais relevante é de segmentação. O dicionário disponível não possui tag específica para PSTI, provedor de tecnologia para infraestrutura financeira ou instituição supervisionada contratante de PSTI. Para evitar a criação de tags novas, foi usado recorte financeiro amplo, sempre acompanhado de explicação textual de aplicabilidade. O roteamento no produto deve considerar essa limitação para evitar que empresas financeiras sem relação com PSTI interpretem os itens como automaticamente aplicáveis.

Leitura prática para implantação

Uma implantação eficiente deve começar por inventário: identificar se a empresa é PSTI em funcionamento, pretendente a credenciamento, instituição supervisionada contratante ou parte de conglomerado alcançado pela exceção do art. 6º. Em seguida, convém montar uma matriz de requisitos por blocos: credenciamento, governança, segurança, continuidade, incidentes, fraudes, controles, auditoria, prestação de informações e contratação. Essa matriz deve ter dono, evidência, prazo, recorrência, gatilho e status.

Para PSTI, os itens mais sensíveis são os que podem afetar credenciamento, conexão, estabilidade da RSFN e comunicação com o Banco Central: manutenção de requisitos de credenciamento, segurança cibernética, rastreabilidade, chaves privadas, isolamento Pix e STR, continuidade, incidentes, fraudes, auditoria externa, reportes e atendimento a medidas cautelares. Para contratantes, os pontos mais críticos são contratar PSTI credenciado, monitorar continuamente o prestador, proteger chaves privadas, validar transações, não reutilizar certificados e comunicar falhas relevantes.

O pacote deve ser usado como acelerador de curadoria regulatória. Ele cria uma base rastreável, mas cada empresa deve revisar aplicabilidade real, contratos existentes, arquitetura, manuais técnicos aplicáveis, atos complementares do Banco Central e evidências disponíveis no seu próprio ambiente operacional.

Resolução Nº 498

RESOLUÇÃO BCB Nº 498, DE 5 DE SETEMBRO DE 2025

Disciplina, no âmbito do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro, os requisitos, os procedimentos e as condições para o credenciamento de Provedor de Serviços de Tecnologia da Informação – PSTI e dá outras providências.

A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 3 de setembro de 2025, com base no art. 10 da Lei nº 4.595, de 31 de dezembro de 1964, e no art. 10 da Lei nº 10.214, de 27 de março de 2001,

R E S O L V E :

Art. 1º Esta Resolução estabelece os requisitos, os procedimentos e as condições para o credenciamento de Provedor de Serviços de Tecnologia da Informação – PSTI para a prestação de serviço de processamento de dados, para fins de acesso à Rede do Sistema Financeiro Nacional – RSFN.

Parágrafo único. O credenciamento de que trata esta Resolução não configura autorização para o funcionamento da atividade econômica de PSTI, tampouco altera os deveres legais e contratuais do PSTI perante seus clientes e parceiros.

§ 1º O credenciamento de que trata esta Resolução não configura autorização para o funcionamento da atividade econômica de PSTI, tampouco altera os deveres legais e contratuais do PSTI perante seus clientes e parceiros. (Transformado em § 1º pela Resolução BCB nº 547, de 30/1/2026.)

§ 2º As entidades que prestam serviços de processamento de dados, para fins de acesso à RSFN, exclusivamente às instituições integrantes do mesmo grupo econômico não se sujeitam aos dispositivos desta norma, porém devem assegurar a segregação operacional e observar os requisitos técnicos e de segurança aplicáveis. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 2º Para fins do disposto nesta Resolução, considera-se:

I - comunicação eletrônica de dados: processo de transferência de informações entre sistemas computacionais;

~~II - RSFN: estrutura de comunicação de dados que tem por finalidade amparar o tráfego de informações no âmbito do Sistema Financeiro Nacional – SFN para serviços autorizados; e~~

II - RSFN: estrutura de comunicação de dados que tem por finalidade amparar o tráfego de informações no âmbito do Sistema Financeiro Nacional – SFN e do Sistema de Pagamentos Brasileiro – SPB para serviços autorizados; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

III - PSTI: entidade credenciada apta a prestar serviços de processamento de dados, para fins de acesso à RSFN, às instituições financeiras e às demais instituições supervisionadas pelo Banco Central do Brasil.

IV - administradores: os sócios administradores e os diretores. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

CAPÍTULO I

DO CREDENCIAMENTO

Art. 3º O credenciamento de PSTI no Banco Central do Brasil fica sujeito ao atendimento, pelo solicitante, dos seguintes requisitos:

I - adesão aos princípios e às regras da RSFN;

II - comprovação da constituição regular do PSTI;

II - constituição regular do PSTI; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~III - comprovação de não enquadramento nas vedações estabelecidas no art. 6º;~~

III - (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

IV - comprovação de capacidade técnico-operacional para prestar os serviços de processamento de dados, para fins de acesso à RSFN, observando os requisitos estabelecidos nesta Resolução e os padrões técnicos referentes à comunicação eletrônica de dados no âmbito do SFN, estabelecidos pelo Departamento de Tecnologia da Informação – Deinf do Banco Central do Brasil;

IV - comprovação de capacidade técnico-operacional para prestar os serviços de processamento de dados, para fins de acesso à RSFN, observando os requisitos estabelecidos nesta Resolução e os padrões técnicos referentes à comunicação eletrônica de dados no âmbito do SFN e do SPB estabelecidos pelo Departamento de Tecnologia da Informação – Deinf do Banco Central do Brasil; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

V - designação de diretor ou diretores responsáveis pela segurança da informação, segurança cibernética e pela gestão de riscos e compliance, com capacitação técnica compatível com as atribuições do cargo, comprovada com base na formação acadêmica, na experiência profissional na área de atuação ou em conhecimentos técnicos específicos relativos à segurança da informação, à segurança cibernética e à gestão de riscos e compliance;

V - designação dos administradores, observado o disposto nos arts. 5º, 5º-A, 5º-B e 11; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

VI - designação de diretor ou diretores responsáveis pela gestão de crises operacionais, com capacitação técnica compatível com as atribuições do cargo, comprovada com base na formação acadêmica, na experiência profissional na área de atuação ou em conhecimentos técnicos específicos relativos à gestão de crises operacionais;

VI - (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

~~VII - atendimento das condições previstas no art. 5º desta Resolução, por parte do controlador, dos integrantes do grupo de controle e dos administradores do PSTI;~~

VII - atendimento das condições previstas no art. 5º pelos controladores, no caso de PSTI organizado sob a forma de sociedade anônima ou de sociedade limitada; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

VIII - comprovação de capital social realizado e de patrimônio líquido no valor mínimo de R$15.000.000,00 (quinze milhões de reais), podendo o Banco Central do Brasil exigir montante superior, proporcional ao volume de operações projetado e ao perfil de risco do PSTI, por meio de demonstrações financeiras auditadas por empresa de auditoria independente registrada na Comissão de Valores Mobiliários;

VIII - capital social realizado e patrimônio líquido no valor mínimo de R$15.000.000,00 (quinze milhões de reais), podendo o Banco Central do Brasil exigir montante superior, proporcional ao volume de operações, à quantidade de clientes e ao perfil de risco do PSTI; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~IX - comprovação do estabelecimento de mecanismos de governança corporativa e de gestão de riscos previstos no Capítulo III;~~

IX - comprovação do estabelecimento de mecanismos previstos no Capítulo III; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

X - comprovação de capacidade técnico-operacional para prestação de informações ao Banco Central do Brasil de que trata o Capítulo IV;

XI - comprovação de obtenção e manutenção de certificação de segurança da informação em norma reconhecida internacionalmente, ou asseguração independente aceita pelo Banco Central do Brasil;

XI - certificação de segurança da informação em norma reconhecida internacionalmente; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

XII - comprovação da contratação de auditoria externa anual independente em segurança da informação e, quando aplicável, em prevenção à lavagem de dinheiro e financiamento do terrorismo, com envio dos relatórios ao Banco Central do Brasil e às instituições contratantes;

XII - comprovação da contratação de auditoria independente com o objetivo de realizar avaliações anuais em segurança da informação e, quando aplicável, em prevenção à lavagem de dinheiro e ao financiamento do terrorismo; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

XIII - comprovação da contratação de seguro de responsabilidade civil e de riscos operacionais, com cobertura mínima definida pelo Banco Central do Brasil, incluindo incidentes de fraude e segurança cibernética; e

~~XIV - elaboração e manutenção de Plano de Continuidade de Negócios e de testes periódicos de contingência, com comprovação anual ao Banco Central do Brasil.~~

XIV - (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

XV - comprovação do estabelecimento de procedimentos para fornecimento, ao Banco Central do Brasil e às instituições contratantes, dos relatórios elaborados pela auditoria independente a partir das avaliações anuais em segurança da informação e, quando aplicável, em prevenção à lavagem de dinheiro e ao financiamento do terrorismo. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 1º A adesão de que trata o inciso I do caput se dará por meio da celebração de Termo de Adesão e Responsabilidade, firmado pelo representante legal do PSTI mediante uso de certificado digital emitido por autoridade certificadora da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil.

§ 2º O PSTI deve comprovar anualmente, na forma e na data estipuladas pelo Banco Central do Brasil, que permanecem atendidos os requisitos fixados nos incisos I a XIII do caput.

§ 3º O PSTI que descumprir a obrigação prevista no § 2º ficará sujeito ao descredenciamento de que trata o art. 7º, caput, inciso II.

§ 4º Na comprovação dos requisitos referidos no caput, o Banco Central do Brasil poderá requerer que sejam atestados por relatório de asseguração razoável elaborado por auditoria independente registrada na Comissão de Valores Mobiliários. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 5º A auditoria independente contratada pela instituição, se for o caso, deverá possuir capacidade técnica, administrativa e operacional compatível com o desempenho dos trabalhos de asseguração razoável previstos nesta Resolução. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

~~Art. 4º O PSTI deve manter capacidade econômico-financeira compatível com a natureza crítica dos serviços prestados e com os riscos operacionais assumidos.~~

Art. 4º (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

Art. 4º-A Para os fins desta Resolução, entende-se como: (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

I - controlador: pessoa que, individualmente ou em conjunto com demais integrantes de grupo de controle de que participe, detenha direitos de sócio correspondentes à maioria do capital votante da instituição: (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

a) no caso de pessoa natural, de forma direta ou indireta; ou (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

b) no caso de pessoa jurídica, de forma direta ou, se de forma indireta, desde que: (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

1. figure no último nível dos ramos da cadeia de controle da instituição; e (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

2. seus controladores não sejam passíveis de identificação na forma prevista neste inciso; e (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

II - grupo de controle: grupo de pessoas vinculadas por acordo de votos ou sob controle comum que assumem a condição de controlador da instituição, na forma definida no inciso I. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 1º Considera-se no último nível de ramo da cadeia de controle da instituição, nos casos de participação direta ou indireta, a instituição financeira ou assemelhada sediada no exterior responsável pela consolidação global do grupo financeiro. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 2º As definições de controlador aplicam-se aos usufrutuários do direito de voto. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 3º Nos casos em que o controle da sociedade não seja identificado segundo os critérios mencionados nos incisos I e II do caput, o Banco Central do Brasil poderá utilizar outros elementos para identificar os controladores, entre eles: (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

I - a maioria de votos nas deliberações da reunião ou assembleia e o poder de eleger a maioria dos administradores; ou (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

II - a efetividade na condução dos negócios sociais. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 4º O Banco Central do Brasil poderá exigir a celebração de acordo de acionistas ou de quotistas, contemplando a expressa definição do controle societário, direto ou indireto. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 5º Para fins do disposto neste artigo, será considerada a eventual atribuição de voto plural a uma ou mais classes de ações ordinárias. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 6º Não são admitidos fundos de investimento como controladores ou integrantes de grupo de controle de PSTI. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 4º-B O Banco Central do Brasil poderá: (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

I - arquivar o pedido de credenciamento, sem apreciação do mérito, se: (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

a) verificar que o objeto ou os elementos que servem de base para o pedido foram alterados no curso do processo; (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

b) houver descumprimento dos prazos previstos na regulamentação em vigor; (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

c) identificar que não foram atendidas as exigências para complementar a instrução do processo, no prazo estabelecido; (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

d) deixarem os controladores ou os administradores de atender a convocação do Banco Central do Brasil para entrevista; ou (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

e) estiver a instrução em desacordo com o formato exigido na regulamentação vigente; ou (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

II - indeferir o pedido de credenciamento, se vier a apurar: (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

a) circunstância que possa afetar a reputação dos controladores ou dos administradores; (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

b) falsidade ou omissão nas declarações e nos documentos apresentados na instrução dos processos ou discrepância entre eles e os fatos ou dados apurados na análise; (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

c) não atendimento a qualquer dos requisitos ou condições estabelecidos nesta Resolução, ou a não comprovação pelos interessados do atendimento desses requisitos ou condições; ou (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

d) não atendimento, pela auditoria de que trata o art. 3º, caput, inciso XII, dos requisitos previstos no art. 3º, § 5º, e das normas e procedimentos de auditoria determinados pela Comissão de Valores Mobiliários e pelo Conselho Federal de Contabilidade. (Incluída pela Resolução BCB nº 547, de 30/1/2026.)

Parágrafo único. Nos casos de que trata o inciso II do caput, o Banco Central do Brasil, antes da decisão, poderá conceder prazo aos interessados para manifestação. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 4º-C O Banco Central do Brasil poderá rever a decisão relativa aos assuntos de que trata esta Resolução, considerando a relevância dos fatos, tendo por base as circunstâncias de cada caso e o interesse público, caso verifique: (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

I - falsidade ou omissão nas declarações e nos documentos apresentados na instrução dos processos ou discrepância entre eles e os fatos ou dados apurados; (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

II - circunstâncias preexistentes à decisão capazes de afetar a avaliação relativa ao atendimento dos requisitos e das condições; ou (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

III - não atendimento pela auditoria de que trata o art. 3º, caput, inciso XII, dos requisitos previstos no art. 3º, § 5º, e das normas e procedimentos de auditoria determinados pela Comissão de Valores Mobiliários e pelo Conselho Federal de Contabilidade. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 1º No caso de transferência de controle, da assunção da condição de controlador e na ocorrência de uma das situações previstas no caput, o Banco Central do Brasil poderá determinar que a operação seja regularizada, sob pena de descredenciamento do PSTI. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 2º Nas hipóteses descritas no caput, o Banco Central do Brasil deverá notificar a instituição para se manifestar sobre a irregularidade apurada. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

~~Art. 5º São condições para que pessoa natural seja controladora ou integre grupo de controle do PSTI, direta ou indiretamente, ou exerça função de administrador:~~

Art. 5º São requisitos para a assunção da condição de controlador e para o exercício da função de administrador, além de outras exigidas pela legislação e pela regulamentação em vigor: (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~I - possuir reputação ilibada;~~

I - ter reputação ilibada, no caso de pessoas naturais; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~II - comprovar qualificação técnica ou experiência profissional compatível com as atribuições do cargo ou função, considerada a complexidade e o porte do PSTI;~~

II - ser residente no país, no caso de administrador; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~III - não ter sido declarada falida ou insolvente, salvo se reabilitada; e~~

III - não estar declarado falido ou insolvente; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

IV - comprovar, mediante certificado de auditor independente registrado na Comissão de Valores Mobiliários, situação cadastral regular na Receita Federal e ausência de restrições graves em cadastros de inadimplentes que comprometam sua capacidade de gerir ou controlar o PSTI.

IV - não estar impedido por lei especial, nem condenado por crime falimentar, de sonegação fiscal, de prevaricação, de corrupção ativa ou passiva, de concussão, de peculato, contra a economia popular, a fé pública, a propriedade ou o Sistema Financeiro Nacional, nem condenado a pena que vede, ainda que temporariamente, o acesso a cargos públicos; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

V - não estar declarado inabilitado ou suspenso para o exercício de cargos em órgãos estatutários ou contratuais em instituições autorizadas a funcionar pelo Banco Central do Brasil ou em entidades de previdência complementar, sociedades seguradoras, sociedades de capitalização, companhias abertas ou entidades sujeitas à supervisão da Comissão de Valores Mobiliários; e (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

VI - não ter seu nome sido objeto de prévia decisão de indeferimento ou de revisão de decisão em razão da apresentação de declaração falsa, omissa ou discrepante dos correspondentes fatos em pedido perante o Banco Central do Brasil, nos três anos anteriores à instrução do pedido em análise. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Parágrafo único. O Banco Central do Brasil, na análise dos processos de que trata esta Resolução, considerando as circunstâncias de cada caso concreto e o contexto dos fatos, poderá dispensar, excepcionalmente e diante de interesse público devidamente justificado, o cumprimento dos requisitos e das condições estabelecidas para o ingresso na condição de controlador ou para o exercício da função de administrador. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 5º-A Na comprovação do cumprimento do requisito de reputação ilibada, mencionado no art. 5º, caput, inciso I, deverá ser considerada a existência de: (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

I - processo criminal ou inquérito policial; (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

II - processo judicial ou administrativo que tenha relação com o Sistema Financeiro Nacional, o Sistema de Consórcios, o Sistema de Pagamentos Brasileiro ou a prestação de serviços de ativos virtuais; (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

III - processo relativo à insolvência, liquidação, intervenção, falência ou recuperação judicial; (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

IV - inadimplemento de obrigações; e (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

V - outras situações, ocorrências ou circunstâncias análogas. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Parágrafo único. Na análise das situações e ocorrências previstas no caput, serão consideradas a relevância, a gravidade, a recorrência e as circunstâncias de cada caso. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 5º-B Os administradores devem ter capacitação técnica compatível com as funções a serem exercidas no curso do mandato. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 1º A comprovação do atendimento do requisito de capacitação técnica dos administradores, mencionado no caput, envolve as competências e as qualificações necessárias ao exercício das funções, compatíveis com a natureza, o porte, a complexidade e os riscos incorridos pelo PSTI. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 2º O Banco Central do Brasil poderá dispensar a comprovação de capacitação técnica de que trata o caput, no caso de administrador cujo nome já tenha sido objeto de apreciação pela Autarquia para o exercício da função. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 3º Os administradores poderão exercer suas funções por período de, no máximo, quatro anos, podendo ser renovado por iguais períodos. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 6º É vedado o credenciamento como PSTI:

I - às operadoras de serviço de comunicação contratadas para a operação da RSFN;

II - aos prestadores de serviço contratados para o gerenciamento e o monitoramento da RSFN;

~~III - às instituições financeiras e demais instituições supervisionadas pelo Banco Central do Brasil, ressalvado o disposto no § 1º;~~

III - às instituições financeiras e demais instituições supervisionadas pelo Banco Central do Brasil; e (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~IV - às partes relacionadas das instituições referidas nos incisos I a III; e~~

IV - às entidades que sejam, direta ou indiretamente, controladoras ou controladas das instituições referidas nos incisos I a III ou que, em relação a essas instituições, possuam um controlador comum. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~V - às entidades cujos controladores ou administradores não atendam às condições de idoneidade, reputação e qualificação técnica previstas nesta Resolução.~~

V - (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

§ 1º As instituições de que trata o inciso III do caput poderão atuar como PSTI exclusivamente para atender às demais instituições integrantes do mesmo conglomerado financeiro, desde que mantida a segregação operacional e observados os requisitos técnicos e de segurança aplicáveis.

§ 1º As instituições de que tratam os incisos III e IV do caput poderão prestar serviços de processamento de dados, para fins de acesso à RSFN, exclusivamente para atender às demais instituições integrantes do mesmo grupo econômico, desde que mantida a segregação operacional e observados os requisitos técnicos e de segurança aplicáveis. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

§ 2º O disposto no § 1º não afasta o dever das instituições atendidas pela instituição mencionada no inciso III do caput e que atuem como PSTI de observarem a regulamentação em vigor para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem.

§ 2º O disposto no § 1º não afasta o dever de as instituições atendidas pelas instituições mencionadas nos incisos III ou IV do caput e que atuem como PSTI observarem a regulamentação em vigor para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

CAPÍTULO II

DO DESCREDENCIAMENTO

Art. 7º O descredenciamento do PSTI poderá ocorrer:

I - a pedido do PSTI; e

~~II - de ofício, pelo Banco Central do Brasil, nas hipóteses previstas nesta Resolução.~~

II - de ofício, pelo Banco Central do Brasil. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

Art. 8º O PSTI que pretenda ingressar com pedido de descredenciamento no Banco Central do Brasil deve comunicar formalmente às instituições contratantes, por meio de correspondência específica, com antecedência mínima de trinta dias da data do referido pedido, devendo apresentar ao Banco Central do Brasil plano de descontinuidade e de transição dos serviços prestados.

Art. 8º O PSTI que pretenda ingressar com pedido de descredenciamento deve comunicar formalmente ao Banco Central do Brasil e às instituições contratantes, por meio de correspondência específica, com antecedência mínima de trinta dias da data do referido pedido. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

§ 1º A comunicação ao Banco Central do Brasil prevista no caput deverá ser acompanhada de documento que trata das ações que serão empreendidas visando a execução do plano de saída ordenada previsto no art. 20. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 2º Após a conclusão do plano de que trata o § 1º, o PSTI deve solicitar ao Banco Central do Brasil o seu descredenciamento. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 9º O Banco Central do Brasil poderá promover o descredenciamento de que trata o art. 7º, caput, inciso II, quando verificar, a qualquer tempo, o descumprimento grave ou recorrente dos requisitos estabelecidos nesta Resolução, especialmente em relação:

Art. 9º O Banco Central do Brasil poderá promover, após a adoção de medida cautelar estabelecida no art. 32, caput, inciso VIII, o descredenciamento de que trata o art. 7º, caput, inciso II, quando verificar, a qualquer tempo, o descumprimento grave ou recorrente dos requisitos e condições estabelecidos nesta Resolução, especialmente em relação: (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

I - ao credenciamento no Banco Central do Brasil;

~~II - à governança corporativa, à gestão de riscos e à segurança da informação;~~

II - aos dispositivos previstos nos Capítulos III e IV; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~III - à prestação de informações ao Banco Central do Brasil;~~

III - (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

~~IV - à manutenção dos requisitos de capital, seguro e certificações de segurança exigidos;~~

IV - (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

V - a falhas operacionais ou incidentes de segurança que comprometam de forma significativa a integridade, a disponibilidade ou a confiabilidade da RSFN ou dos serviços de pagamento por ela suportados;

VI - à prática de atos que caracterizem fraude, dolo ou má-fé na condução das atividades do PSTI;

~~VII - ao não atendimento, no prazo fixado, de determinações ou medidas preventivas impostas pelo Banco Central do Brasil nos termos desta Resolução; e~~

VII - ao não atendimento, no prazo fixado, de determinações ou medidas cautelares impostas pelo Banco Central do Brasil nos termos desta Resolução; e (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~VIII - a situações que evidenciem perda das condições de idoneidade, reputação ou qualificação técnica de controladores e administradores do PSTI.~~

VIII - a situações que evidenciem o descumprimento pelos controladores e pelos administradores de requisitos ou de condições previstos nesta Resolução. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

Parágrafo único. O Banco Central do Brasil, previamente ao descredenciamento de que trata o caput, notificará o PSTI e lhe concederá prazo para se manifestar sobre a intenção do seu descredenciamento. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

~~Art. 10. O descredenciamento, em qualquer uma das hipóteses previstas no art. 7º, será precedido da implementação do plano de saída ordenada previsto no art. 20.~~

Art. 10. (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

CAPÍTULO III

DA GOVERNANÇA CORPORATIVA E DA GESTÃO DE RISCOS

Seção I

Da governança corporativa

Art. 11. O PSTI deve possuir estrutura de governança corporativa compatível com sua natureza, porte, complexidade, estrutura e perfil de risco, assegurando processos decisórios transparentes, mecanismos de controle interno eficazes e adequada gestão de riscos.

§ 1º A estrutura de governança deve assegurar, no mínimo:

I - segregação de funções entre gestão executiva, gerenciamento de riscos, compliance, segurança da informação e auditoria interna, de forma a evitar conflitos de interesse e concentração de poderes;

II - existência de órgão de administração colegiado (conselho de administração ou equivalente), com participação proporcional de membros independentes, sempre que o porte ou relevância sistêmica do PSTI assim justificar;

III - elaboração e divulgação de políticas formais de governança corporativa, incluindo gestão de riscos, segurança cibernética, compliance, auditoria interna e continuidade de negócios;

IV - mecanismos que assegurem a transparência societária, incluindo divulgação pública da estrutura societária, identificação de controladores e beneficiários finais, e comunicação tempestiva de alterações relevantes ao Banco Central do Brasil;

V - avaliação prévia e contínua da idoneidade, reputação e experiência profissional dos controladores, administradores e principais executivos, conforme critérios estabelecidos nesta Resolução; e

VI - existência de Comitê de Gestão de Crises Operacionais, amparado por estrutura, papéis e responsabilidades formalmente definidos.

§ 2º Os administradores e os membros dos órgãos societários do PSTI devem ser profissionais de reconhecida competência técnica e estratégica na matéria, aptos a desempenhar seus múltiplos papéis na busca pelo cumprimento dos objetivos estratégicos.

§ 2º (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

§ 3º O PSTI deve instituir, no âmbito da alta administração, diretores responsáveis por funções críticas, incluindo, no mínimo:

I - Diretor de Segurança da Informação e Cibernética, responsável pela implementação de políticas de cibersegurança e pela gestão de incidentes operacionais;

II - Diretor de Riscos e Compliance, responsável pela supervisão da conformidade regulatória e pela efetividade dos controles internos;

III - Diretor responsável pelo relacionamento com o Banco Central do Brasil, responsável pela prestação de informações e interlocução regulatória; e

IV - Diretor responsável pela gestão de crises operacionais e pela coordenação do Comitê de Gestão de Crises Operacionais.

§ 4º Os diretores mencionados no § 3º podem desempenhar mais de uma função crítica, ou outras funções na entidade, desde que não haja conflito de interesses. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 12. O Comitê de Gestão de Crises Operacionais, estabelecido no âmbito da estrutura de governança do PSTI, deve:

I - deliberar sobre o acionamento do plano de gestão de crises previsto na política de que tratam os arts. 21 e 22;

II - declarar o encerramento das crises operacionais;

III - prestar informações tempestivas ao Banco Central do Brasil sobre a crise operacional; e

IV - registrar informações e evidências que suportaram a tomada de decisões durante a gestão da crise operacional.

Seção II

Da gestão de riscos

Art. 13. O PSTI deve segregar as atividades, os ambientes computacionais e os demais recursos necessários à prestação de serviços de processamento de dados, para fins de acesso à RSFN, dos demais serviços ou atividades eventualmente providos.

Art. 14. O PSTI deve estabelecer políticas de gestão de riscos compatíveis com sua natureza, porte, complexidade, estrutura e perfil de risco, amparadas nos princípios e nas melhores práticas de mercado.

Art. 15. O PSTI deve estabelecer políticas de gestão de riscos voltadas a tratar, no mínimo, de:

I - segurança da informação e cibernética;

II - continuidade de negócios;

III - gestão de crises operacionais;

IV - gestão de fraudes;

V - controles internos e conformidade; e

VI - auditoria interna.

Parágrafo único. As políticas de que trata o caput devem ser aprovadas pelo conselho de administração ou, se inexistente, pela diretoria prevista em estatuto ou contrato social, e revisadas, no mínimo, anualmente, ou sempre que houver alteração relevante na estrutura ou no perfil de risco do PSTI.

Parágrafo único. As políticas de que trata o caput devem ser aprovadas pelo conselho de administração ou órgão de administração colegiado equivalente, e revisadas, no mínimo, anualmente, ou sempre que houver alteração relevante na estrutura ou no perfil de risco do PSTI. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

Art. 15-A. O PSTI deve estabelecer estrutura de gestão de riscos, controles internos e conformidade compatível com sua natureza, porte, complexidade, estrutura e perfil de risco. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 15-B. O PSTI deve elaborar anualmente relatório de riscos, controles internos e conformidade, a ser aprovado pelo conselho de administração ou órgão de administração colegiado equivalente, e enviado ao Banco Central do Brasil até o último dia útil do mês de maio do ano seguinte. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 1º O relatório de que trata o caput deve contemplar, no mínimo: (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

I - as conclusões dos exames efetuados; (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

II - as recomendações a respeito de eventuais deficiências, com o estabelecimento de cronograma de saneamento delas, quando for o caso; e (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

III - a manifestação dos responsáveis pelas correspondentes áreas a respeito das deficiências encontradas em verificações anteriores e das medidas efetivamente adotadas para saná-las. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 2º O Banco Central do Brasil poderá determinar: (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

I - a inclusão de trabalhos no escopo da auditoria interna e a execução de trabalhos específicos; e (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

II - a adoção de medidas com vistas ao aperfeiçoamento dos processos de auditoria interna. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 3º O PSTI deve manter à disposição do Banco Central do Brasil os documentos de que trata o caput pelo prazo mínimo de cinco anos. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 16. O PSTI deve implementar e manter política de segurança da informação e cibernética formulada com base em princípios e diretrizes que busquem garantir a segurança dos dados, das informações, dos sistemas de informação e dos demais recursos computacionais utilizados, em conformidade com padrões internacionalmente reconhecidos.

Art. 17. A política de segurança da informação e cibernética de que trata o art. 16 deve contemplar, no mínimo, os seguintes aspectos:

I - mecanismos de criptografia, de prevenção e detecção de intrusão, de prevenção de vazamentos de informações e de proteção contra softwares maliciosos;

II - mecanismos de rastreabilidade de transações;

III - gestão de cópias de segurança dos dados e das informações;

IV - avaliação e correção de vulnerabilidades do ambiente computacional e dos sistemas de informação utilizados na prestação de serviços;

V - controle de acesso;

VI - aplicação regular de correções de segurança;

VII - mecanismos de proteção da rede;

VIII - segregação dos ambientes computacionais, limitando-se o acesso ao ambiente de produção e aos recursos computacionais críticos;

IX - isolamento físico e lógico do ambiente Pix dos demais sistemas da instituição, caso seja também provedor de software como serviço para participante desse ecossistema de pagamentos, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de nuvem pública;

X - isolamento físico e lógico do ambiente Sistema de Transferência de Reservas – STR dos demais sistemas da instituição, caso seja também provedor de software como serviço para participante desse ecossistema de pagamentos, mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de nuvem pública;

XI - gestão de certificados digitais;

XII - controles específicos para integração com outras partes por meio de interfaces eletrônicas;

XIII - certificação técnica das soluções de tecnologia da informação utilizadas por instituições financeiras e outras instituições supervisionadas pelo Banco Central do Brasil para integrar, por meio de interfaces eletrônicas, com os serviços providos pelo PSTI; e

XIV - ações de inteligência cibernética, incluindo o monitoramento de informações de interesse (clientes, chaves, credenciais, vulnerabilidades etc.) na Internet, Deep e Dark Web, além de grupos privados de comunicação.

§ 1º O PSTI não deverá ter acesso às chaves privadas utilizadas para a assinatura das mensagens no âmbito dos arranjos e sistemas de pagamento providos pelo Banco Central do Brasil.

§ 2º Os mecanismos de rastreabilidade de transações de que trata o inciso II do caput devem contemplar, no mínimo:

I - trilhas de auditoria do processamento fim-a-fim dos dados e das informações, incluindo a definição e a geração de logs que possibilitem identificar falhas de processamento ou comportamento atípicos, bem como subsidiar análises;

II - definição de tempo de retenção de informações de acordo com o tipo de processamento realizado;

III - retenção segura das trilhas de auditoria; e

IV - acesso às trilhas de auditoria pelas instituições que utilizam os serviços providos pelo PSTI, para fins de conciliação ou gestão de riscos.

§ 3º A avaliação e a correção de vulnerabilidades de que trata o inciso IV do caput deve contemplar, no mínimo:

I - testes e análises periódicas para detecção de vulnerabilidades em sistemas de informação;

II - varreduras físicas periódicas do ambiente tecnológico que possibilitem identificar dispositivos indevidamente conectados à rede corporativa que possam estabelecer conexão com ativos de tecnologia externos;

II - varreduras periódicas do ambiente tecnológico que possibilitem identificar dispositivos indevidamente conectados à rede corporativa que possam estabelecer conexão com ativos de tecnologia externos; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

III - análises periódicas do ambiente tecnológico com o objetivo de identificar vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia do PSTI; e

IV - testes de intrusão periódicos.

§ 4º O controle de acesso de que trata o inciso V do caput deve incluir, ao menos:

I - mecanismos para limitar o acesso à rede corporativa a usuários e dispositivos autorizados;

II - revisão periódica e tempestiva das permissões de acesso, em especial, de colaboradores terceirizados com acesso ao ambiente computacional da instituição;

III - estabelecimento de múltiplos fatores de autenticação para acesso à rede corporativa a partir de ambientes externos; e

IV - para os ambientes Pix e STR, o acesso administrativo deve ser realizado sempre utilizando múltiplos fatores de autenticação.

§ 5º Os mecanismos de proteção da rede de que trata o inciso VII do caput devem contemplar, no mínimo:

I - estabelecimento de regras de firewall, assim como o monitoramento de conexões, evitando-se tentativas de conexão com sistemas críticos provenientes de ativos de tecnologia localizados fora da rede corporativa da instituição;

II - definição de critérios para o estabelecimento e o monitoramento de conexões com ambientes externos, em especial em horário noturno ou não convencional;

III - mecanismos para identificar e prevenir conexões indevidas com ambientes externos a partir do ambiente computacional do PSTI; e

IV - implementação e manutenção de processos e ferramentas para identificação, análise e tratamento de eventos atípicos no ambiente do PSTI, a exemplo da abertura de virtual private networks – VPN e de tentativas de acesso privilegiado, especialmente em horário noturno ou não convencional, assim como avaliação da implantação de controles mais robustos que mitiguem riscos de acessos indevidos nessas ocasiões.

§ 6º A gestão de certificados digitais de que trata o inciso XI do caput deve prever, no mínimo:

I - o monitoramento do uso de certificados digitais e controles para a guarda dessas informações; e

II - a validação de certificados revogados junto às autoridades certificadoras.

§ 7º Os controles específicos para integração com outras partes por meio de interfaces eletrônicas, de que trata o inciso XII do caput, devem considerar, no mínimo:

I - a definição de requisitos de segurança específicos para o fornecimento de serviços por meio de interfaces eletrônicas, garantindo a segurança e a integridade das operações;

II - a definição de requisitos operacionais e de segurança a serem implementados por instituições financeiras e pelas demais instituições supervisionadas pelo Banco Central do Brasil que almejem utilizar serviços fornecidos pelo PSTI por meio de interfaces eletrônicas;

~~III - o estabelecimento de mecanismos de monitoramento de operações, possibilitando a análise comportamental e detecção de operações atípicas;~~

III - o estabelecimento de mecanismos de monitoramento de requisições a interface, possibilitando a análise comportamental e detecção de uso atípico; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~IV - o estabelecimento de mecanismos de conciliação que permitam validar as operações processadas;~~

IV - (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

V - o estabelecimento de requisitos não funcionais relacionados ao fornecimento de serviços por meio de interfaces eletrônicas, bem como a realização de testes para validar a implementação desses requisitos;

VI - o estabelecimento de métricas e indicadores para monitoramento do desempenho dos serviços fornecidos por meio de interfaces eletrônicas;

VII - o monitoramento do desempenho dos serviços fornecidos por meio de interfaces eletrônicas;

VIII - o estabelecimento de mecanismos para detectar e inibir tentativas de uso indevido, tentativas de manipulação de comportamento e tentativas de extração de dados dos serviços fornecidos por meio de interfaces eletrônicas; e

~~IX - a definição, o estabelecimento e o monitoramento de limites operacionais para os serviços fornecidos por meio de interfaces eletrônicas.~~

IX - a definição, o estabelecimento e o monitoramento de parâmetros operacionais para os serviços fornecidos por meio de interfaces eletrônicas. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

§ 8º A certificação técnica de que trata o inciso XIII do caput deve considerar, no mínimo, a definição e a execução periódica de testes destinados a certificar que os sistemas computacionais utilizados por instituições financeiras e demais instituições supervisionadas pelo Banco Central do Brasil para integrar, por meio de interfaces eletrônicas, aos serviços providos pelo PSTI estão em conformidade com os requisitos operacionais e de segurança estabelecidos.

Art. 18. O PSTI deve implementar e manter política de continuidade de negócios para assegurar a continuidade das atividades da instituição e limitar os impactos decorrentes da interrupção dos processos críticos de negócio.

Art. 19. A política de continuidade de negócios de que trata o art. 18 deve contemplar, no mínimo, o seguinte:

I - procedimentos e prazos estimados para reinício e recuperação das atividades em caso de interrupção dos processos críticos de negócio, bem como as ações de comunicação necessárias;

II - testes e revisões dos planos de continuidade de negócios com periodicidade mínima anual;

II - elaboração de planos de continuidade de negócios, que devem ser testados e revisados com periodicidade mínima anual; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

III - instalação e operação de centro de processamento secundário, sujeito a conjunto de riscos diferentes do centro de processamento principal, capaz de processar volumes no mínimo iguais ao maior volume verificado nos últimos duzentos e cinquenta e dois dias úteis, acrescido de um percentual de segurança, e com replicação de dados do centro de processamento principal; e

IV - procedimentos de emergência, no caso de impedimento simultâneo dos centros de processamento principal e secundário.

Art. 20. O PSTI deve elaborar plano de saída ordenada, contendo medidas a serem implementadas para o encerramento de suas atividades.

Parágrafo único. O plano de que trata o caput deve priorizar a mitigação do impacto sobre as instituições financeiras e demais instituições supervisionadas pelo Banco Central do Brasil que utilizam os serviços providos pelo PSTI, bem como sobre o regular funcionamento do Sistema de Pagamentos Brasileiro – SPB.

Art. 21. O PSTI deve implementar e manter política de gestão de crises operacionais para orientar o tratamento de situações atípicas que possam comprometer sua operação, com impactos potenciais para o regular funcionamento do SPB.

Art. 22. A política de gestão de crises operacionais de que trata o art. 21 deve contemplar, no mínimo, as seguintes medidas:

I - definição de papéis e responsabilidades necessários para a gestão de crises operacionais, incluindo a previsão de órgãos de governança e alçadas para a tomada de decisões;

II - definição de critérios objetivos para caracterização de situações de crise e direcionamento da análise de cenários;

III- diretrizes para elaboração, revisão e teste de planos de gestão de crises; e

IV - diretrizes para elaboração, revisão e teste de planos de comunicação.

Art. 23. O PSTI deve estruturar processos e procedimentos para gestão de incidentes operacionais, tecnológicos e de segurança, especificando a integração entre esses processos e o processo de gestão de crises operacionais nas situações em que há agravamento de incidentes, em linha com as práticas observadas na indústria.

Parágrafo único. O PSTI deve implementar plano de resposta a incidentes compatível com o perfil de risco da instituição, testado e atualizado, pelo menos, anualmente, com a definição clara de funções e responsabilidade e dos procedimentos de resposta e recuperação a serem adotados para mitigação dos efeitos dos incidentes operacionais sobre a operação da instituição.

~~Art. 24. O PSTI deve implementar e manter política de gestão de fraudes para mitigar situações atípicas que possam comprometer o regular funcionamento do SPB.~~

Art. 24. O PSTI deve implementar e manter política de gestão de fraudes para mitigar situações atípicas que possam comprometer o regular funcionamento do SFN e do SPB. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

Art. 25. A política de gestão de fraudes de que trata o art. 24 deve contemplar, no mínimo, as seguintes medidas:

I - estabelecimento de canal para reporte de indícios de fraudes;

II - estabelecimento de mecanismos de prevenção a fraudes, incluindo disponibilização de dados para conciliação de informações, acesso a trilhas de auditoria e definição de limites operacionais;

III - monitoramento em tempo integral, vinte e quatro horas por dia, sete dias por semana, para identificação em tempo real, com base em padrões históricos e comportamentais, de transações atípicas ou fraudulentas, avaliando desvios em relação aos parâmetros esperados no que se refere, inclusive:

a) aos valores transacionados;

b) ao volume de transações; e

c) à quantidade de transações por unidade de tempo;

IV - avaliação de atipicidades em etapa anterior ao processo de encaminhamento de uma transação ao Banco Central do Brasil;

V - definição de mecanismos de validação da integridade das transações durante as etapas de processamento;

VI - existência de mecanismo de interrupção do fluxo completo de transações em caso de grave suspeita de comprometimento; e

VII - estabelecimento de canal que possibilite a comunicação tempestiva de indícios de fraude com instituições financeiras e demais instituições supervisionadas pelo Banco Central do Brasil que possam ser impactadas por esses eventos.

Art. 26. O PSTI deve implementar e manter política abrangente de controles internos e conformidade, considerando todos os riscos do negócio, inclusive aqueles decorrentes da terceirização de serviços relevantes, e assegurando a implantação de controles internos efetivos em todas as áreas.

Art. 27. A política de controles internos e conformidade de que trata o art. 26 deve contemplar, no mínimo, os seguintes controles:

I - testes e revisão periódica de controles internos e das medidas de contingência; e

II - mecanismo para garantir a conformidade com os dispositivos desta Resolução e com todos os requisitos técnicos da RSFN previstos no Catálogo de Serviços do SFN, no Manual de Redes do SFN e no Manual de Segurança do SFN publicados pelo Banco Central do Brasil.

Art. 28. O PSTI deve implementar e manter política de auditoria interna que reúna as responsabilidades, a composição e a forma de atuação da auditoria interna, observando, inclusive, as melhores práticas associadas ao tema.

Art. 29. A política de auditoria interna de que trata o art. 28 deve prever, no mínimo, os seguintes aspectos:

~~I - linha de reporte da auditoria interna ao conselho de administração ou, se inexistente, à diretoria prevista em estatuto ou contrato social;~~

I - linha de reporte da auditoria interna ao conselho de administração ou órgão de administração colegiado equivalente; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

II - segregação das unidades de negócio e dos órgãos de gestão de riscos, controles internos e conformidade;

III - definição de uma estrutura de auditoria interna compatível com a natureza, porte, complexidade, estrutura e perfil de risco do PSTI;

IV - elaboração de plano anual de auditoria interna, com aprovação pelo conselho de administração ou, se inexistente, pela diretoria prevista em estatuto ou contrato social, baseado na avaliação de riscos de auditoria e contendo, pelo menos, os processos que farão parte do escopo da atividade de auditoria interna, a classificação desses processos por nível de risco e a proposta de alocação dos recursos disponíveis; e

IV - elaboração de plano anual de auditoria interna, com aprovação pelo conselho de administração ou órgão de administração colegiado equivalente, baseado na avaliação de riscos de auditoria e contendo, pelo menos, os processos que farão parte do escopo da atividade de auditoria interna, a classificação desses processos por nível de risco e a proposta de alocação dos recursos disponíveis; e (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

V - possibilidade de contratação de auditoria externa independente, para validar ou complementar a auditoria interna, com compartilhamento dos relatórios com o Banco Central do Brasil e instituições contratantes.

V - possibilidade de contratação de auditoria independente registrada na Comissão de Valores Mobiliários, para validar ou complementar a auditoria interna, com compartilhamento dos relatórios com o Banco Central do Brasil e instituições contratantes. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

CAPÍTULO IV

DA PRESTAÇÃO DE INFORMAÇÕES AO BANCO CENTRAL DO BRASIL

Art. 30. O PSTI deve prestar ao Banco Central do Brasil as seguintes informações:

~~I - demonstrações financeiras anuais, auditadas por empresa de auditoria independente registrada na Comissão de Valores Mobiliários;~~

I - demonstrações financeiras anuais, auditadas por auditoria independente registrada na Comissão de Valores Mobiliários; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

II - certificação técnica requerida no art. 3º, caput, inciso XI sempre que renovada ou atualizada;

~~III - quaisquer alterações do quadro societário da instituição, na estrutura de controle ou na composição de seus administradores, no prazo de até dez dias contados da ocorrência;~~

III - (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

IV - incidentes operacionais ou de segurança da informação que possam comprometer a integridade, a disponibilidade ou a confidencialidade dos serviços prestados, imediatamente após a ciência da ocorrência, acompanhados de relatório no prazo de até dez dias;

V - alterações relevantes da arquitetura de serviços ou do ambiente computacional do PSTI;

VI - início ou encerramento de relacionamento com instituições financeiras e demais instituições supervisionadas pelo Banco Central do Brasil;

VII - início de provimento de outros serviços de processamento de dados;

VIII - informações necessárias para o monitoramento da regular operação do PSTI;

~~IX - relatórios anuais de auditoria interna e, quando houver, de auditoria externa independente, contemplando os principais achados, os planos de ação e o acompanhamento das correções; e~~

IX - (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

X - relatório de auditoria externa independente, emitido por empresa registrada na Comissão de Valores Mobiliários, atestando o atendimento integral, pelo PSTI, de todos os procedimentos e requisitos previstos nesta Resolução e nos instrumentos normativos da RSFN, a ser apresentado ao Banco Central do Brasil com periodicidade anual.

X - (Revogado pela Resolução BCB nº 547, de 30/1/2026.)

Art. 30-A. O PSTI credenciado nos termos desta Resolução deve comunicar ao Banco Central do Brasil, na forma por este definida, a designação e o desligamento de administradores. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Parágrafo único. Caso os administradores não atendam às condições estabelecidas nos arts. 5º e 5º-B, o Banco Central do Brasil concederá prazo para que o PSTI regularize a situação, sob pena do seu descredenciamento. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 30-B. O PSTI credenciado no Banco Central do Brasil deve comunicar os casos em que administradores, no curso do exercício de suas funções, deixarem de atender às condições previstas no art. 5º. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 1º A comunicação de que trata o caput deve ser realizada no prazo máximo de quinze dias, contados a partir do conhecimento ou do acesso à informação referente à ocorrência que caracterizar o descumprimento da condição. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 2º O Banco Central do Brasil avaliará as ocorrências objeto da comunicação mencionada no caput e, considerando as circunstâncias de cada caso concreto e o contexto dos fatos, poderá efetuar o descredenciamento do PSTI. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 30-C. A transferência ou alteração de controle societário de PSTI organizado sob a forma de sociedade anônima ou de sociedade limitada deve ser comunicada ao Banco Central do Brasil na forma por este definida. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 1º Caso os novos controladores não atendam às condições previstas no art. 5º, o Banco Central do Brasil concederá prazo para que o PSTI regularize a situação, sob pena do seu descredenciamento. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

§ 2º O disposto no caput não se aplica às transferências de controle societário para pessoas jurídicas em que não ocorra alteração no quadro de controladores finais da instituição. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

CAPÍTULO V

DAS MEDIDAS CAUTELARES

Art. 31. Fica o Banco Central do Brasil autorizado a adotar medida cautelar em relação ao PSTI nas seguintes situações:

I - ocorrência de incidentes operacionais, tecnológicos ou de segurança, incluindo os originados por ataque cibernético ou evento de fraude, os que possam impactar o regular funcionamento do SPB, ou os relacionados a situações em que não há causa-raiz identificada ou comprovação de resolução definitiva do problema;

~~II - deficiências relevantes de controles que possam trazer implicações para a segurança, a integridade ou a disponibilidade de dados, informações ou sistemas de informação geridos pelo PSTI;~~

II - deficiências relevantes na governança, nos procedimentos e nos controles que possam trazer implicações para a segurança, a integridade ou a disponibilidade de dados, informações ou sistemas de informação geridos pelo PSTI; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~III - descumprimento grave ou reiterado das obrigações de reporte e de transparência previstas nesta Resolução; ou~~

III - descumprimento grave ou reiterado das obrigações previstas nesta Resolução; (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

~~IV - falhas operacionais que comprometam a integridade, a disponibilidade ou a confiabilidade da RSFN ou dos serviços por ela suportados.~~

IV - falhas operacionais que comprometam a integridade, a disponibilidade ou a confiabilidade da RSFN ou dos serviços por ela suportados; ou (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

V - ausência, por período superior a quarenta e cinco dias, contados da data do evento, de designação de substituto para o exercício das funções de administrador, no caso de desligamento da função. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 32. Na ocorrência das hipóteses previstas no art. 31, o Banco Central do Brasil poderá exigir, de forma isolada ou cumulativa, a adoção das seguintes medidas cautelares:

I - observância de limites operacionais mais restritivos, inclusive quanto ao volume de transações processadas, aos valores máximos das transações ou à quantidade de instituições atendidas;

II - suspensão da conexão à RSFN, total ou parcial, até a comprovação da resolução definitiva do problema;

III - suspensão de serviço específico provido pelo PSTI no âmbito da RSFN, total ou parcial, até a comprovação da resolução definitiva do problema;

IV - determinação de reforço imediato em requisitos técnicos de segurança, governança ou continuidade de negócios, com prazos definidos para comprovação;

V - exigência de auditoria independente extraordinária, às expensas do PSTI, para verificar a efetividade das medidas corretivas adotadas;

VI - imposição de plano de ação corretivo, com prazos e metas específicas de cumprimento, a ser acompanhado pelo Banco Central do Brasil;

VII - restrição à contratação de novos clientes ou à ampliação de serviços até a comprovação do saneamento das deficiências identificadas;

VIII - execução total ou parcial do plano de saída ordenada; e

IX - adoção de outras medidas proporcionais e necessárias para resguardar a integridade, a estabilidade e a confiabilidade da RSFN e dos serviços de pagamento por ela suportados.

~~Parágrafo único. As medidas cautelares de que trata este artigo têm caráter preventivo, não substituindo o procedimento voltado ao descadastramento do PSTI, na forma prevista nesta Resolução.~~

Parágrafo único. As medidas cautelares de que trata este artigo têm caráter preventivo, não substituindo o procedimento voltado ao descredenciamento do PSTI, na forma prevista nesta Resolução. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

CAPÍTULO VI

DAS DISPOSIÇÕES FINAIS

Art. 33. O PSTI deve adotar como premissa, para o fornecimento de serviços para instituições financeiras e demais instituições supervisionadas pelo Banco Central do Brasil, a manutenção da segurança e do regular funcionamento do SPB.

Parágrafo único. A observância da premissa estabelecida no caput deve ser amparada por:

I - utilização de sistemas de informação projetados com mecanismos para garantir a resiliência operacional, a segurança e a integridade das informações, bem como prevenir a ocorrência de fraudes;

II - utilização de ambientes computacionais, incluindo os de contingência, com capacidade adequada para suportar os sistemas de informação e o adequado provimento de serviços às instituições financeiras e às demais instituições supervisionadas pelo Banco Central do Brasil; e

III - estabelecimento de processos de monitoramento e tratamento de eventos que possam impactar o adequado provimento de serviços.

Art. 34. O Banco Central do Brasil promoverá o monitoramento dos serviços prestados pelos PSTI, podendo deles solicitar informações, esclarecimentos ou documentos adicionais considerados necessários ao exercício das atribuições da Autarquia.

Parágrafo único. Instrução normativa do Banco Central do Brasil disciplinará o processo de monitoramento dos serviços prestados pelos PSTI. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 35. Para acessar a RSFN por meio de PSTI, as instituições financeiras e demais instituições supervisionadas pelo Banco Central do Brasil devem contratar serviços de PSTI devidamente credenciado nos termos desta Resolução.

§ 1º Cabe à instituição contratante de que trata o caput:

I - assegurar que os contratos celebrados com o PSTI contemplem as obrigações estabelecidas nesta Resolução e as demais normas aplicáveis;

II - monitorar continuamente a adequação do PSTI contratado aos requisitos de governança corporativa, gestão de riscos, segurança cibernética, gestão de fraudes e continuidade de negócios previstos nesta Resolução;

III - implementar controles de segurança estabelecidos pelo PSTI para utilização dos serviços a serem providos;

IV - manter a posse das suas chaves privadas utilizadas para a assinatura das mensagens e validar a integridade das transações previamente à assinatura, assegurando que os dados não tenham sido corrompidos ou manipulados durante o processo de geração da mensagem;

V - não utilizar o mesmo certificado entre ambientes, como homologação e produção, e função, como assinatura de mensagens e estabelecimento de canal do Pix;

VI - manter à disposição do Banco Central do Brasil a documentação relativa à contratação, monitoramento e supervisão do PSTI, inclusive relatórios de auditoria e de testes de continuidade; e

VII - comunicar de imediato ao Banco Central do Brasil quaisquer falhas relevantes ou descumprimentos identificados na atuação do PSTI contratado.

§ 2º A não observância do disposto neste artigo sujeita a instituição contratante de que trata o caput às sanções previstas na legislação em vigor.

Art. 36. O Banco Central do Brasil poderá emitir as instruções complementares que sejam necessárias ao cumprimento do disposto nesta Resolução, inclusive no que se refere aos procedimentos para instrução e avaliação dos processos de credenciamento e de descredenciamento, de que tratam os arts. 3º e 7º, respectivamente, e à prestação de informações de que trata o art. 30, entre outros aspectos.

Art. 36. O Banco Central do Brasil poderá emitir as instruções complementares que sejam necessárias ao cumprimento do disposto nesta Resolução, inclusive no que se refere aos procedimentos para instrução e avaliação dos processos de credenciamento e de descredenciamento, de que tratam os arts. 3º e 7º, caput, inciso I, respectivamente, e à prestação de informações de que trata o Capítulo IV, entre outros aspectos. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

Art. 36-A. O Banco Central do Brasil, no curso da análise dos assuntos tratados nesta Resolução, poderá solicitar informações, esclarecimentos ou documentos adicionais considerados necessários ao exame e à decisão. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 36-B. O Banco Central do Brasil, no processo de monitoramento contínuo do PSTI, poderá exigir montante de capital social realizado e de patrimônio líquido superior ao requisitado no ato de credenciamento, conforme art. 3º, caput, inciso VIII, visando assegurar a proporcionalidade em relação ao volume de operações, à quantidade de clientes e ao perfil de risco do PSTI. (Incluído pela Resolução BCB nº 547, de 30/1/2026.)

Art. 37. O PSTI em funcionamento na data da entrada em vigor desta Resolução deve promover as adaptações necessárias à adequação ao disposto nos arts. 17 e 25 desta Resolução, nos termos de cronograma a ser publicado pelo Banco Central do Brasil.

§ 1º O cumprimento de cada uma das fases previstas no cronograma de que trata o caput deve ser confirmado por relatório de asseguração razoável, emitido por empresa de auditoria externa independente registrada na Comissão de Valores Mobiliários, atestando o atendimento integral, pelo PSTI, aos procedimentos e requisitos previstos na fase correspondente.

§ 1º O cumprimento de cada uma das fases previstas no cronograma de que trata o caput deve ser confirmado por relatório de asseguração razoável, emitido por auditoria independente registrada na Comissão de Valores Mobiliários, atestando o atendimento integral, pelo PSTI, aos procedimentos e requisitos previstos na fase correspondente. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

§ 2º O atraso no cumprimento dos prazos fixados no cronograma de que trata o caput poderá acarretar o estabelecimento, pelo Banco Central do Brasil, de limites operacionais mais restritivos, nos termos do art. 32, caput, inciso I, ou o descredenciamento do PSTI, na forma do art. 7º, caput, inciso II.

~~§ 3º O pedido de credenciamento deve ocorrer em até quatro meses após a entrada em vigor desta Resolução.~~

§ 3º O pedido de credenciamento deve ocorrer em até oito meses após a entrada em vigor desta Resolução. (Redação dada pela Resolução BCB nº 547, de 30/1/2026.)

§ 4º A não apresentação de pedido de credenciamento no prazo de que trata o § 3º acarretará o descredenciamento de ofício do PSTI, que deverá elaborar e implementar plano de saída ordenada.

§ 5º O PSTI que tenha pedido de autorização pendente de análise ou de homologação na data da entrada em vigor desta Resolução deve apresentar ao Banco Central do Brasil pleito de credenciamento, com base nos critérios estabelecidos nesta Resolução, no prazo previsto no § 3º.

§ 6º Até que concluam o período de adaptação de que trata este artigo, o PSTI poderá ficar sujeito a limites operacionais específicos, na forma prevista na legislação em vigor, sem prejuízo do disposto no § 2º.

Art. 38. Ficam revogados os seguintes dispositivos da Circular nº 3.970, de 28 de novembro de 2019, publicada no Diário Oficial da União de 2 de dezembro de 2019:

I - inciso III do caput do art. 2º;

II - art. 6º; e

III - inciso III do caput do art. 7º.

Art. 39. Esta Resolução entra em vigor na data de sua publicação.

GILNEU FRANCISCO ASTOLFI VIVAN RODRIGO ALVES TEIXEIRA

Diretor de Regulação Diretor de Administração

AILTON DE AQUINO SANTOS DIOGO ABRY GUILLEN

Diretor de Fiscalização Diretor de Organização do Sistema

Financeiro e de Resolução substituto

Resolução BCB N° 498

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Blocos centrais de requisitos

Impactos para compliance e operação

Evidências, controles e artefatos sugeridos

Pontos de atenção e decisões de cobertura

Leitura prática para implantação

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Gere PDFs regulatórios com o Okai Pro

Você atingiu o limite de exportações

Marque itens como lidos

Desbloqueie este recurso com o Okai Pro

Continue pesquisando sem limites com o Okai Pro

Defina impacto regulatório

Gerencie pontos e requisitos

Organize achados e tratativas

Envie itens e acompanhe prazos

Crie e altere registros da sua operação

Crie requisitos rastreáveis

Crie controles operacionais

Crie riscos rastreáveis

Crie achados rastreáveis

Salve itens em coleções

Automatize fluxos de compliance com o Okai Business

Recentes

Resolução BCB N° 498 💻 🏦 🔒

Registros selecionados

Resumo

Resumo executivo

Escopo e sujeitos regulados

Blocos centrais de requisitos

Impactos para compliance e operação

Evidências, controles e artefatos sugeridos

Pontos de atenção e decisões de cobertura

Leitura prática para implantação

Perguntas e respostas

Tags

Itens vinculados

Recomendações

Extrair pontos

Registrar aplicabilidade

Nenhum acompanhamento público.

Resolução BCB N° 498