https://valor.globo.com/financas/noticia – 18/12/2025.
Por Jéssica Sant’Ana e Giordanna Neves, Valor — Brasília.
Foram aprovados novos normativos que tratam dos requisitos para contratação de serviços de processamento e armazenamento de dados e computação em nuvem.
BC atualiza requisitos de segurança cibernética de instituições financeiras — Foto: Andressa Anholete/Bloomberg
O Banco Central (BC) atualizou a sua política de segurança cibernética aplicada às instituições financeiras. O aprimoramento ocorre em resposta à crescente digitalização do setor bancário e à implantação do Pix, que ampliou o tráfego na Rede do Sistema Financeiro Nacional (RSFN). A decisão foi tomada nesta quinta-feira (18), em reunião ordinária do Conselho Monetário Nacional (CMN).
Foram aprovados novos normativos que tratam dos requisitos para contratação de serviços de processamento e armazenamento de dados e computação em nuvem pelas instituições autorizadas a funcionar pelo BC.
Segundo a autoridade monetária, a “iniciativa busca uniformizar o ambiente regulatório e fortalecer a segurança das infraestruturas de comunicação de dados e dos sistemas de pagamentos do Sistema Financeiro Nacional (SFN) e do Sistema de Pagamentos Brasileiro (SPB)”.
O prazo para adequação das instituições às novas regras será até 1º de março de 2026. Entre as principais mudanças aprovadas estão a incorporação de requisitos mínimos adicionais à política de segurança cibernética das instituições, como gestão de certificados digitais, integração segura de sistemas, ações de inteligência cibernética, rastreabilidade de operações, testes de intrusão, controles de acesso, proteção de rede e aplicação regular de correções; ampliação do escopo dos controles de segurança, incluindo sistemas adquiridos ou desenvolvidos por terceiros; e reforço dos requisitos de segurança para comunicação eletrônica de dados com a RSFN, como exigência de autenticação multifatorial, monitoramento de credenciais e vedação de acesso de terceiros às chaves privadas das instituições.
Também passará a ser exigida a realização anual de testes de intrusão por profissionais independentes, com documentação dos resultados e planos de ação para correção de vulnerabilidades, mantidos à disposição do Banco Central por cinco anos.
“Essas medidas fazem parte de uma agenda mais ampla de revisão regulatória voltada à segurança e resiliência cibernética, alinhada às melhores práticas internacionais. O objetivo é elevar o nível de proteção das infraestruturas, mitigar riscos e garantir um ambiente seguro para a inovação digital”, diz o BC, em nota.
