Instrução Normativa BCB N° 664

Conteúdo do Documento

INSTRUÇÃO NORMATIVA BCB Nº 664, DE 11 DE SETEMBRO DE 2025Estabelece prazos para o Provedor de Serviços de Tecnologia da Informação – PSTI, em funcionamento na data da entrada em vigor da Resolução BCB nº 498, de 5 de setembro de 2025, promover as adaptações necessárias com vistas a sua adequação às regras sobre política de segurança da informação e sobre política de gestão de fraudes estabeleci...

<div class="ExternalClass27DAAA8A526446D9A1A0919DEA00F104">INSTRUÇÃO NORMATIVA BCB Nº 664, DE 11
DE SETEMBRO DE 2025Estabelece
prazos para o Provedor de Serviços de Tecnologia da Informação – PSTI, em
funcionamento na data da entrada em vigor da Resolução BCB nº 498, de 5 de
setembro de 2025, promover as adaptações necessárias com vistas a sua adequação
às regras sobre política de segurança da informação e sobre política de gestão
de fraudes estabelecidas na referida Resolução.O Chefe do Departamento
de Tecnologia da Informação (Deinf), no uso da sua atribuição, tendo em vista o
disposto no art. 71, inciso V, do Regimento Interno do Banco Central do Brasil,
anexo à Resolução BCB nº 340, de 21 de setembro de 2023, e considerando o
disposto na Resolução BCB nº 498, de 5 de setembro de 2025,R E S O L V E:Art. 1º  Esta Instrução Normativa estabelece prazos
para o Provedor de Serviços de Tecnologia da Informação – PSTI, em
funcionamento na data da entrada em vigor da Resolução BCB nº 498, de 5 de
setembro de 2025, promover as adaptações necessárias com vistas a sua adequação
às regras sobre política de segurança da informação e sobre política de gestão
de fraudes estabelecidas na referida Resolução.Art. 2º  O PSTI de que trata o art. 1º deverá, em até
15 (quinze) dias, contados da entrada em vigor desta Instrução Normativa,
implementar os seguintes aspectos da política de segurança da informação
previstos no art. 17 da Resolução BCB nº 498, de 2025:I - adoção de mecanismos
de rastreabilidade de transações contemplando, no mínimo:a) trilhas de auditoria
do processamento fim-a-fim dos dados e das informações, incluindo a definição e
a geração de logs que possibilitem identificar falhas de processamento ou
comportamento atípicos, bem como subsidiar análises;b) definição de tempo de
retenção de informações de acordo com o tipo de processamento realizado;c) retenção segura das
trilhas de auditoria; ed) acesso às trilhas de
auditoria pelas instituições que utilizam os serviços providos pelo PSTI, para
fins de conciliação ou gestão de riscos;II - adoção de controle
de acesso, incluindo, ao menos:a) mecanismos para
limitar o acesso à rede corporativa a usuários e dispositivos autorizados;b) a revisão periódica e
tempestiva das permissões de acesso, em especial, de colaboradores
terceirizados com acesso ao ambiente computacional da instituição;c) o estabelecimento de
múltiplos fatores de autenticação para acesso à rede corporativa a partir de
ambientes externos; ed) uso de múltiplos
fatores de autenticação para o acesso administrativo aos ambientes Pix e STR;III - gestão de
certificados digitais, executando, no mínimo:a) o monitoramento do
uso de certificados digitais e controles para a guarda dessas informações; eb) a validação de
certificados revogados junto às autoridades certificadoras;IV - promoção de ações
de inteligência cibernética, incluindo o monitoramento de informações de
interesse (clientes, chaves, credenciais, vulnerabilidades etc.) na Internet,
Deep e Dark Web, além de grupos privados de comunicação;V - adoção de mecanismos
de proteção da rede, que devem contemplar, no mínimo:a) o
estabelecimento de regras de firewall, assim como o monitoramento de conexões,
evitando-se tentativas de conexão com sistemas críticos provenientes de ativos
de tecnologia localizados fora da rede corporativa da instituição;b) a definição de
critérios para o estabelecimento e o monitoramento de conexões com ambientes
externos, em especial em horário noturno ou não convencional;c) mecanismos para
identificar e prevenir conexões indevidas com ambientes externos a partir do
ambiente computacional do PSTI; ed) a implementação e a
manutenção de processos e ferramentas para identificação, análise e tratamento
de eventos atípicos no ambiente do PSTI, a exemplo da abertura de virtual
private networks – VPN e de tentativas de acesso privilegiado, especialmente em
horário noturno ou não convencional, assim como avaliação da implantação de
controles mais robustos que mitiguem riscos de acessos indevidos nessas
ocasiões.Parágrafo único.  Os aspectos da política de segurança da
informação previstos no art. 17 da Resolução BCB nº 498, de 2025, e não
referidos no caput deverão ser implementados em até 30 (trinta) dias, contados
da entrada em vigor desta Instrução Normativa.Art. 3º  O PSTI de que trata o art. 1º deve
implementar, em até 30 (trinta dias), contados da entrada em vigor desta
Instrução Normativa, a política de gestão de fraudes de que tratam os arts. 24
e 25 da Resolução BCB nº 498, de 2025.Art. 4º  O PSTI de que trata o art. 1º deve encaminhar
relatório de asseguração razoável elaborado por firma de auditoria independente
devidamente registrada na Comissão de Valores Mobiliários - CVM, atestando o
atendimento integral, pelo PSTI, de todos os procedimentos, requisitos e prazos
previstos nesta Instrução Normativa.§1º  A firma de auditoria independente a ser
contratada e os responsáveis técnicos pela elaboração do relatório deverão
possuir reconhecida idoneidade e capacidade técnica.§ 2º  O relatório de que trata o caput é parte
integrante das medidas previstas nos arts. 2º e 
3º, e deve ser enviado ao Banco Central do Brasil em até 15 (quinze)
dias após a implementação das medidas previstas nesta Instrução Normativa.Art. 5º  Ao protocolizar os documentos requeridos nesta
Instrução Normativa, as instituições deverão selecionar, no Protocolo Digital
do Banco Central do Brasil, o assunto “Documentos diversos – PSTI” para
destinação ao Deinf.Art. 6º  O descumprimento dos prazos fixados nesta
Instrução Normativa poderá sujeitar o PSTI à aplicação das medidas cautelares
previstas no art. 32 da Resolução BCB nº 498, de 2025.Art. 7º  Esta Instrução Normativa entra em vigor na
data de sua publicação.Caio Moreira FernandesNota:A Instrução Normativa proposta tem por
objetivo estabelecer prazos para que os Provedores de Serviços de Tecnologia da
Informação (PSTI), já em operação na data de entrada em vigor da Resolução BCB
nº 498, de 5 de setembro de 2025, promovam as adaptações necessárias à sua
conformidade com os requisitos regulatórios estabelecidos pelo Banco Central do
Brasil.A Resolução BCB nº 498/2025
disciplina, no âmbito do Sistema Financeiro Nacional (SFN) e do Sistema de
Pagamentos Brasileiro (SPB), os requisitos, procedimentos e condições para o
credenciamento de PSTIs, com foco em segurança da informação, segurança cibernética,
gestão de riscos e governança. A Instrução Normativa ora proposta regulamenta
os artigos 19 e 27 da referida Resolução, detalhando prazos e medidas técnicas
obrigatórias, como rastreabilidade de transações, controle de acesso, gestão de
certificados digitais e ações de inteligência cibernética.Nos termos do art. 4º, inciso V,
alíneas “b” e “c” do Decreto nº 10.411, de 30 de junho de 2020, que regulamenta
a Lei nº 13.874, de 20 de setembro de 2019 (Lei da Liberdade Econômica), a
elaboração de Análise de Impacto Regulatório (AIR) pode ser dispensada quando o
ato normativo tiver por finalidade preservar a liquidez, a solvência ou a
higidez do mercado financeiro e do sistema de pagamentos. A presente norma
enquadra-se nessa hipótese, uma vez que visa resguardar a integridade e a
confiança na RSFN e nos arranjos de pagamento por ela suportados, prevenindo
riscos operacionais, fraudes e vulnerabilidades.</div>

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.

Acesso Exclusivo para Assinantes

Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.

Entrar na Conta Conhecer Planos

Instrução Normativa BCB N° 664

Sumário Regulatório

Conteúdo do Documento

Acesso Exclusivo para Assinantes

Tags Relacionadas