O Chefe do Departamento de Tecnologia da Informação (Deinf), no uso da sua atribuição, tendo em vista o disposto no art. 71, inciso V, do Regimento Interno do Banco Central do Brasil, anexo à Resolução BCB nº 340, de 21 de setembro de 2023, e considerando
o disposto na Resolução BCB nº 498, de 5 de setembro de 2025,
R E S O L V E:
Art. 1º Esta Instrução Normativa estabelece prazos para o Provedor de Serviços de Tecnologia da Informação – PSTI, em funcionamento na data da entrada em vigor da Resolução BCB nº 498, de 5 de setembro de 2025, promover as adaptações necessárias com vistas
a sua adequação às regras sobre política de segurança da informação e sobre política de gestão de fraudes estabelecidas na referida Resolução.
Art. 2º O PSTI de que trata o art. 1º deverá, em até 15 (quinze) dias, contados da entrada em vigor desta Instrução Normativa, implementar os seguintes aspectos da política de segurança da informação previstos no art. 17 da Resolução BCB nº 498, de 2025:
I – adoção de mecanismos de rastreabilidade de transações contemplando, no mínimo:
a) trilhas de auditoria do processamento fim-a-fim dos dados e das informações, incluindo a definição e a geração de logs que possibilitem identificar falhas de processamento ou comportamento atípicos, bem como subsidiar análises;
b) definição de tempo de retenção de informações de acordo com o tipo de processamento realizado;
c) retenção segura das trilhas de auditoria; e
d) acesso às trilhas de auditoria pelas instituições que utilizam os serviços providos pelo PSTI, para fins de conciliação ou gestão de riscos;
II – adoção de controle de acesso, incluindo, ao menos:
a) mecanismos para limitar o acesso à rede corporativa a usuários e dispositivos autorizados;
b) a revisão periódica e tempestiva das permissões de acesso, em especial, de colaboradores terceirizados com acesso ao ambiente computacional da instituição;
c) o estabelecimento de múltiplos fatores de autenticação para acesso à rede corporativa a partir de ambientes externos; e
d) uso de múltiplos fatores de autenticação para o acesso administrativo aos ambientes Pix e STR;
III - gestão de certificados digitais, executando, no mínimo:
a) o monitoramento do uso de certificados digitais e controles para a guarda dessas informações; e
b) a validação de certificados revogados junto às autoridades certificadoras;
IV - promoção de ações de inteligência cibernética, incluindo o monitoramento de informações de interesse (clientes, chaves, credenciais, vulnerabilidades etc.) na Internet, Deep e Dark Web, além de grupos privados de comunicação;
V – adoção de mecanismos de proteção da rede, que devem contemplar, no mínimo:
a) o estabelecimento de regras de firewall, assim como o monitoramento de conexões, evitando-se tentativas de conexão com sistemas críticos provenientes de ativos de tecnologia localizados fora da rede corporativa da instituição;
b) a definição de critérios para o estabelecimento e o monitoramento de conexões com ambientes externos, em especial em horário noturno ou não convencional;
c) mecanismos para identificar e prevenir conexões indevidas com ambientes externos a partir do ambiente computacional do PSTI; e
d) a implementação e a manutenção de processos e ferramentas para identificação, análise e tratamento de eventos atípicos no ambiente do PSTI, a exemplo da abertura de virtual private networks – VPN e de tentativas de acesso privilegiado, especialmente em
horário noturno ou não convencional, assim como avaliação da implantação de controles mais robustos que mitiguem riscos de acessos indevidos nessas ocasiões.
Parágrafo único. Os aspectos da política de segurança da informação previstos no art. 17 da Resolução BCB nº 498, de 2025, e não referidos no caput deverão ser implementados em até 30 (trinta) dias, contados da entrada em vigor desta Instrução Normativa.
Art. 3º O PSTI de que trata o art. 1º deve implementar, em até 30 (trinta dias), contados da entrada em vigor desta Instrução Normativa, a política de gestão de fraudes de que tratam os arts. 24 e 25 da Resolução BCB nº 498, de 2025.
Art. 4º O PSTI de que trata o art. 1º deve encaminhar relatório de asseguração razoável elaborado por firma de auditoria independente devidamente registrada na Comissão de Valores Mobiliários - CVM, atestando o atendimento integral, pelo PSTI, de todos os
procedimentos, requisitos e prazos previstos nesta Instrução Normativa.
§1º A firma de auditoria independente a ser contratada e os responsáveis técnicos pela elaboração do relatório deverão possuir reconhecida idoneidade e capacidade técnica.
§ 2º O relatório de que trata o caput é parte integrante das medidas previstas nos arts. 2º e 3º, e deve ser enviado ao Banco Central do Brasil em até 15 (quinze) dias após a implementação das medidas previstas nesta Instrução Normativa.
Art. 5º Ao protocolizar os documentos requeridos nesta Instrução Normativa, as instituições deverão selecionar, no Protocolo Digital do Banco Central do Brasil, o assunto “Documentos diversos – PSTI” para destinação ao Deinf.
Art. 6º O descumprimento dos prazos fixados nesta Instrução Normativa poderá sujeitar o PSTI à aplicação das medidas cautelares previstas no art. 32 da Resolução BCB nº 498, de 2025.
Art. 7º Esta Instrução Normativa entra em vigor na data de sua publicação.
Caio Moreira Fernandes
Nota:
A presente Instrução Normativa define prazos para que o PSTI se adeque à Resolução BCB nº 498/2025, promovendo adaptações para sua adequação às regras sobre política de segurança da informação e sobre política de gestão de fraudes, regulamentando a Resolução
BCB nº 498, de 5 de setembro de 2025.
2. Não se aplica a obrigatoriedade de elaboração de Análise de Impacto Regulatório - AIR à Instrução Normativa ora proposta, conforme previsto no art. 4º, inciso V, alíneas “b” e “c” do Decreto nº 10.411, de 30 de junho de 2020, que regulamenta a Lei
nº 13.874, de 20 de setembro de 2019. A dispensa justifica-se por tratar-se de ato normativo destinado à preservação da higidez dos sistemas financeiro e de pagamentos, mediante a imposição de requisitos de registro, governança, gestão de riscos, segurança
cibernética e prestação de informações ao PSTI, com vistas à mitigação de fraudes, vulnerabilidades e riscos operacionais que possam comprometer a integridade e a confiança na RSFN e nos arranjos de pagamento por ela suportados.
