Banco Central
Resolução CMN
•
18/12/2025
Resolução CMN N° 5.274
Sumário Regulatório
Extraído do BCB
Conteúdo do Documento
Resolução Nº 5.274 RESOLUÇÃO CMN Nº 5.274, DE 18 DE DEZEMBRO DE 2025 Altera a Resolução CMN nº 4.893, de 26 de fevereiro de 2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central...
<div class="ExternalClassDBA93B81C7EA4749AD1C3950085EDA73"><span style="color:#444444;"><span style="font-family:calibri;font-size:17.3333px;">
</span><span style="font-family:calibri;font-size:17.3333px;">
</span><span style="font-family:calibri;font-size:17.3333px;">
</span><title style="font-family:calibri;font-size:17.3333px;">Resolução Nº 5.274</title><span style="font-family:calibri;font-size:17.3333px;">
</span><style style="font-family:calibri;font-size:17.3333px;">
</style><span style="font-family:calibri;font-size:17.3333px;">
</span><div class="WordSection1"><span style="color:#444444;">
<p class="MsoNormal" align="center" style="margin-bottom:18pt;text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">RESOLUÇÃO CMN Nº 5.274, DE 18 DE
DEZEMBRO DE 2025</span></p>
<p class="MsoNormal" style="margin:0cm 0cm 18pt 9cm;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Altera
a Resolução CMN nº 4.893, de 26 de fevereiro de 2021, que dispõe sobre a política
de segurança cibernética e sobre os requisitos para a contratação de serviços
de processamento e armazenamento de dados e de computação em nuvem a serem
observados pelas instituições autorizadas a funcionar pelo Banco Central do
Brasil.</span></p>
<p class="Default" style="margin-bottom:18pt;text-align:justify;text-indent:70.9pt;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">O Banco Central do
Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna
público que o Conselho Monetário Nacional, em sessão realizada em 18 de dezembro
de 2025, com base nos arts. 4º, <i style="">caput</i>, inciso VIII, da referida Lei, 7º
e 23, <i style="">caput</i>, alínea “a”, da Lei nº 6.099, de 12 de setembro de 1974, 1º,
<i style="">caput</i>, inciso II, da Lei nº 10.194, de 14 de fevereiro de 2001, e 1º, §
1º, da Lei Complementar nº 130, de 17 de abril de 2009,</span></p>
<p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">R E S O L V E U :</span></p>
<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 1º  A Resolução CMN nº 4.893, de
26 de fevereiro de 2021, publicada no Diário Oficial da União de 1º de março de
2021, passa a vigorar com as seguintes alterações:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
3º  ...................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
2º  Os procedimentos e os controles de que trata o inciso II do <i style="">caput</i>
devem abranger, no mínimo:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><a name="_Hlk214993981"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - a autenticação;</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- os mecanismos de criptografia;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- os mecanismos de prevenção e detecção de intrusão;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- os mecanismos de prevenção de vazamentos de informações;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V
- os mecanismos de proteção contra <i style="">softwares</i> maliciosos;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VI
- os mecanismos de rastreabilidade;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VII
- a gestão de cópias de segurança dos dados e das informações;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VIII
- a avaliação e a correção de vulnerabilidades dos recursos computacionais e
dos sistemas de informação;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IX
- os controles de acesso;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">X
- a definição e implementação de perfis de configuração segura de ativos de tecnologia;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XI - os mecanismos
de proteção da rede;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XII
- a gestão de certificados digitais;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XIII
- os requisitos de segurança para a integração de sistemas de informação por
meio de interfaces eletrônicas; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XIV
- as ações de i<span lang="PT" style="">nteligência
n</span>o ambiente cibernético,
incluindo o monitoramento de informações de interesse da instituição na internet,
na <i style="">Deep Web </i>e na <i style="">Dark Web</i>, além de grupos privados de
comunicação.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
3º  Os procedimentos e os controles citados no inciso II do <i style="">caput</i> devem
ser aplicados, inclusive:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- no desenvolvimento de sistemas de informação seguros; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- na adoção de novas tecnologias empregadas nas atividades da instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
6º  A instituição deve verificar o disposto no inciso I do § 3º, no que couber,
nos casos de sistemas de informação por ela adquiridos ou desenvolvidos por
empresas prestadoras de serviços a terceiros, executados com a utilização de
recursos computacionais da própria instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
7º  Os mecanismos de rastreabilidade de que trata o inciso VI do § 2º devem
abranger a rastreabilidade de transações e operações, contemplando, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- trilhas de auditoria do processamento fim a fim dos dados e das informações,
incluindo a definição e a geração de <i style="">logs</i> que possibilitem identificar
falhas de processamento ou comportamentos atípicos, bem como subsidiar
análises; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- definição de tempo de retenção de informações de acordo com o tipo de
processamento realizado; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- retenção segura das trilhas de auditoria.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
8º  A avaliação e a correção de vulnerabilidades de que trata o inciso VIII do §
2º<b style=""> </b>deve contemplar, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- testes e análises periódicos para detecção de vulnerabilidades em sistemas de
informação; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- varreduras periódicas dos recursos tecnológicos com o objetivo de identificar
dispositivos indevidamente conectados à rede corporativa que possam estabelecer
conexão com ativos de tecnologia externos à instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- análises periódicas dos recursos tecnológicos com o objetivo de identificar
vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia da
instituição;  </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- testes de intrusão; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V
- correção tempestiva das vulnerabilidades identificadas.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
9º  Os controles de acesso de que trata o inciso IX do § 2º devem incluir, no
mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- mecanismos para limitar o acesso à rede corporativa a usuários credenciados e
a dispositivos autorizados; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- revisão periódica e tempestiva das permissões de acesso, em especial de
colaboradores terceirizados com acesso aos recursos computacionais da
instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- implementação de múltiplos fatores de autenticação para acesso à rede
corporativa a partir de ambientes externos à instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
10.  A definição e implementação de perfis de configuração segura de que trata
o inciso X do § 2º devem prever, no mínimo:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- a gestão do ciclo de vida dos recursos computacionais da instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- a aplicação regular de correções de segurança;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- a configuração adequada dos serviços a serem suportados pelos recursos
computacionais; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- a alteração de senhas e de outros padrões que possam ser utilizados para
acessos indevidos aos recursos computacionais.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
11.  Os mecanismos de proteção da rede de que trata o inciso XI do § 2º devem
contemplar, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- a segmentação de rede de computadores, resguardando, em especial, o ambiente
de produção e os recursos computacionais que suportam processos críticos de
negócio;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- o estabelecimento de regras de <i style="">firewall</i>, assim como o monitoramento de
conexões, evitando tentativas de conexão com sistemas de informação provenientes
de ativos de tecnologia localizados fora da rede corporativa da instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- a definição de critérios para o estabelecimento e o monitoramento de conexões
com ambientes externos, em especial em horário noturno e em dias não úteis; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- as medidas para identificar e prevenir conexões indevidas com ambientes
externos à instituição oriundas de recursos tecnológicos da instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V
- a implementação e manutenção de processos e ferramentas para identificação,
análise, tratamento e controle de eventos atípicos no ambiente de produção da
instituição, abrangendo, como exemplos, o estabelecimento de <i style="">virtual private
networks</i> – VPN e tentativas de acesso privilegiado a recursos
computacionais, especialmente em horário noturno e em dias não úteis; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><a name="_Hlk214977373"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VI - o estabelecimento de medidas para
restringir o acesso a redes corporativas apenas a dispositivos ou ativos de
tecnologia devidamente autorizados.</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
12.  A gestão de certificados digitais de que trata o inciso XII do § 2º deve
prever, no mínimo:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- o monitoramento do uso de certificados e assinaturas digitais, <a name="_Hlk214977433">contemplando a implementação dos mecanismos de
rastreabilidade de que trata o § 7º</a>;  </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- os procedimentos para a guarda de informações, abrangendo os controles de acesso
físico e lógico a chaves privadas sob responsabilidade da instituição; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- procedimentos e ferramentas para evitar o compartilhamento indevido das
chaves privadas associadas a certificados digitais da instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- a validação tempestiva de certificados revogados perante as autoridades
certificadoras.” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
3º-A  As instituições referidas no art. 1º devem estabelecer os seguintes
requisitos de segurança adicionais, <a name="_Hlk214994465">como parte
integrante dos procedimentos e controles previstos em sua política de segurança
cibernética</a> de que trata o art. 3º:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- no caso de comunicação eletrônica de dados na Rede do Sistema Financeiro
Nacional – RSFN:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">a)
uso de múltiplos fatores de autenticação para o acesso administrativo aos ambientes Pix e Sistema de
Transferência de Reservas – STR;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">b)
isolamento físico e lógico do ambiente Pix dos demais sistemas da instituição,
mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de
serviços de computação em nuvem contratados;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">c)
isolamento físico e lógico do ambiente STR dos demais sistemas da instituição,
mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de
serviços de computação em nuvem contratados;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">d)
monitoramento do uso de credenciais e certificados digitais, bem como estabelecimento
de controles para a guarda dessas informações, especialmente as utilizadas no
âmbito do Sistema de Pagamentos Instantâneos – SPI;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">e)
implementação de mecanismos de validação da
integridade fim a fim das transações pela instituição antes da assinatura <a name="_Hlk214977494">digital das mensagens associadas</a>, assegurando que os
dados não tenham sido corrompidos ou manipulados durante o processo de geração
dessas mensagens; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">f) vedação do acesso de empresas prestadoras de serviços a
terceiros às chaves privadas associadas a certificados digitais utilizados pela
instituição para a assinatura de mensagens; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- no caso de conexão como participante de Sistemas do Mercado Financeiro – SMF
autorizados a operar, a implementação de controles de segurança para prevenção,
detecção e resposta a fraudes, a serem observados pela instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo
único.  As instituições devem observar este artigo de forma compatível com o
disposto:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- nesta Resolução;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- na regulamentação em vigor; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- em todos os requisitos técnicos da RSFN previstos no Catálogo de Serviços do
SFN, no Manual de Redes do SFN e no Manual de Segurança do SFN, publicados pelo
Banco Central do Brasil.” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.3pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
8º  ..................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.3pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
1º  ........................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.3pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- os incidentes relevantes relacionados com o ambiente cibernético ocorridos no
período; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- os resultados dos testes de continuidade de negócios, considerando cenários
de indisponibilidade ocasionada por incidentes; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V
- os resultados dos testes de intrusão e dos testes,
varreduras e análises periódicas para detecção de vulnerabilidades de que trata o art. 3º, § 8º, e os planos de ação
estabelecidos para as suas correções, observado o disposto no art. 22-A, <i style="">caput</i>,
inciso III.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">.......................................................................................................................................”
(NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art. 22-A.  As instituições devem
assegurar que os testes de intrusão mencionados no art. 3º, § 8º, inciso IV,
devem:<br></span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- ter periodicidade mínima anual;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- ser realizados com independência e imparcialidade por pessoa natural ou
empresa especializada contratada pela instituição para essa finalidade, sem prejuízo da realização de testes por equipes da
própria instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- ter os resultados de sua execução documentados, especialmente as eventuais vulnerabilidades
que forem identificadas e os planos de ação estabelecidos para suas correções.”
(NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
22-B.  O serviço prestado para a comunicação eletrônica de dados na RSFN, de
que trata o art. 3º-A, <i style="">caput,</i> inciso I,
é considerado relevante para fins da aplicação do disposto nesta Resolução
sobre a contratação de serviços de processamento, armazenamento de dados e
computação em nuvem.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 1º  Aplica-se
o disposto no <i style="">caput</i> independente da forma de conexão com a RSFN.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 2º  O serviço de que trata o <i style="">caput
</i>inclui os casos em que o prestador de serviços fornece serviço de
processamento de mensagens no âmbito do SFN e do Sistema de Pagamentos
Brasileiro – SPB.” (NR)<br></span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
23.  ..................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VIII
- os dados, os registros e as informações relativas aos mecanismos de
acompanhamento e de controle de que trata o art. 21, contado o prazo referido
no <i style="">caput</i> a partir da implementação dos citados mecanismos;  </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IX
- a documentação com os critérios que configurem uma situação de crise de que
trata o art. 20, parágrafo único; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">X
- a documentação com os resultados da execução de
testes de intrusão e os planos de ação estabelecidos para as correções de
vulnerabilidades identificadas de que trata o art. 22-A,<i style=""> caput</i>, inciso
III, contado o prazo a partir da data de execução dos testes.” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
24.  ..................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- os prazos máximos de que trata o art. 20, <i style="">caput</i>, inciso II, para
reinício ou normalização das atividades ou dos serviços relevantes
interrompidos;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV - a especificação dos requisitos de
segurança para integração de sistemas de informação por meio de interfaces
eletrônicas, de que trata o art. 3º, § 2º, inciso XIII; e<br></span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V
- os requisitos técnicos e procedimentos operacionais a serem observados pelas
instituições para o cumprimento desta Resolução.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 1º   Na regulamentação de que
trata o <i style="">caput</i>, o Banco Central do Brasil deverá observar os
princípios e diretrizes referidos no art. 2º, <i style="">caput</i>. <br></span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
2º   Na regulamentação de que trata o inciso IV do <i style="">caput</i>, o
Banco Central do Brasil deverá observar, também, as seguintes diretrizes
gerais:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- os requisitos a serem especificados serão aqueles necessários e adequados
para subsidiar a integração dos sistemas referida no art. 3º, § 2º, inciso XIII;
e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- o conteúdo dispondo sobre os requisitos deverá acompanhar as inovações
tecnológicas, a fim de manter sua aptidão como um dos procedimentos e controles
para implementação da política de segurança cibernética em cenários futuros.”
(NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 2º As instituições em
funcionamento na data da entrada em vigor desta Resolução devem promover as
adaptações necessárias à adequação ao disposto nesta Resolução até 1º de março
de 2026.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 3º  Esta Resolução entra em vigor
na data de sua publicação.</span></p>
<p class="MsoNormal" align="center" style="margin-top:12pt;text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">GABRIEL MURICCA GALÍPOLO<br>Presidente do Banco Central do Brasil</span></p>
</span></div>
</span></div>
</span><span style="font-family:calibri;font-size:17.3333px;">
</span><span style="font-family:calibri;font-size:17.3333px;">
</span><title style="font-family:calibri;font-size:17.3333px;">Resolução Nº 5.274</title><span style="font-family:calibri;font-size:17.3333px;">
</span><style style="font-family:calibri;font-size:17.3333px;">
</style><span style="font-family:calibri;font-size:17.3333px;">
</span><div class="WordSection1"><span style="color:#444444;">
<p class="MsoNormal" align="center" style="margin-bottom:18pt;text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">RESOLUÇÃO CMN Nº 5.274, DE 18 DE
DEZEMBRO DE 2025</span></p>
<p class="MsoNormal" style="margin:0cm 0cm 18pt 9cm;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Altera
a Resolução CMN nº 4.893, de 26 de fevereiro de 2021, que dispõe sobre a política
de segurança cibernética e sobre os requisitos para a contratação de serviços
de processamento e armazenamento de dados e de computação em nuvem a serem
observados pelas instituições autorizadas a funcionar pelo Banco Central do
Brasil.</span></p>
<p class="Default" style="margin-bottom:18pt;text-align:justify;text-indent:70.9pt;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">O Banco Central do
Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna
público que o Conselho Monetário Nacional, em sessão realizada em 18 de dezembro
de 2025, com base nos arts. 4º, <i style="">caput</i>, inciso VIII, da referida Lei, 7º
e 23, <i style="">caput</i>, alínea “a”, da Lei nº 6.099, de 12 de setembro de 1974, 1º,
<i style="">caput</i>, inciso II, da Lei nº 10.194, de 14 de fevereiro de 2001, e 1º, §
1º, da Lei Complementar nº 130, de 17 de abril de 2009,</span></p>
<p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">R E S O L V E U :</span></p>
<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 1º  A Resolução CMN nº 4.893, de
26 de fevereiro de 2021, publicada no Diário Oficial da União de 1º de março de
2021, passa a vigorar com as seguintes alterações:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
3º  ...................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
2º  Os procedimentos e os controles de que trata o inciso II do <i style="">caput</i>
devem abranger, no mínimo:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><a name="_Hlk214993981"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I - a autenticação;</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- os mecanismos de criptografia;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- os mecanismos de prevenção e detecção de intrusão;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- os mecanismos de prevenção de vazamentos de informações;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V
- os mecanismos de proteção contra <i style="">softwares</i> maliciosos;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VI
- os mecanismos de rastreabilidade;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VII
- a gestão de cópias de segurança dos dados e das informações;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VIII
- a avaliação e a correção de vulnerabilidades dos recursos computacionais e
dos sistemas de informação;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IX
- os controles de acesso;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">X
- a definição e implementação de perfis de configuração segura de ativos de tecnologia;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XI - os mecanismos
de proteção da rede;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XII
- a gestão de certificados digitais;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XIII
- os requisitos de segurança para a integração de sistemas de informação por
meio de interfaces eletrônicas; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">XIV
- as ações de i<span lang="PT" style="">nteligência
n</span>o ambiente cibernético,
incluindo o monitoramento de informações de interesse da instituição na internet,
na <i style="">Deep Web </i>e na <i style="">Dark Web</i>, além de grupos privados de
comunicação.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
3º  Os procedimentos e os controles citados no inciso II do <i style="">caput</i> devem
ser aplicados, inclusive:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- no desenvolvimento de sistemas de informação seguros; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- na adoção de novas tecnologias empregadas nas atividades da instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
6º  A instituição deve verificar o disposto no inciso I do § 3º, no que couber,
nos casos de sistemas de informação por ela adquiridos ou desenvolvidos por
empresas prestadoras de serviços a terceiros, executados com a utilização de
recursos computacionais da própria instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
7º  Os mecanismos de rastreabilidade de que trata o inciso VI do § 2º devem
abranger a rastreabilidade de transações e operações, contemplando, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- trilhas de auditoria do processamento fim a fim dos dados e das informações,
incluindo a definição e a geração de <i style="">logs</i> que possibilitem identificar
falhas de processamento ou comportamentos atípicos, bem como subsidiar
análises; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- definição de tempo de retenção de informações de acordo com o tipo de
processamento realizado; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- retenção segura das trilhas de auditoria.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
8º  A avaliação e a correção de vulnerabilidades de que trata o inciso VIII do §
2º<b style=""> </b>deve contemplar, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- testes e análises periódicos para detecção de vulnerabilidades em sistemas de
informação; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- varreduras periódicas dos recursos tecnológicos com o objetivo de identificar
dispositivos indevidamente conectados à rede corporativa que possam estabelecer
conexão com ativos de tecnologia externos à instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- análises periódicas dos recursos tecnológicos com o objetivo de identificar
vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia da
instituição;  </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- testes de intrusão; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V
- correção tempestiva das vulnerabilidades identificadas.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
9º  Os controles de acesso de que trata o inciso IX do § 2º devem incluir, no
mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- mecanismos para limitar o acesso à rede corporativa a usuários credenciados e
a dispositivos autorizados; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- revisão periódica e tempestiva das permissões de acesso, em especial de
colaboradores terceirizados com acesso aos recursos computacionais da
instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- implementação de múltiplos fatores de autenticação para acesso à rede
corporativa a partir de ambientes externos à instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
10.  A definição e implementação de perfis de configuração segura de que trata
o inciso X do § 2º devem prever, no mínimo:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- a gestão do ciclo de vida dos recursos computacionais da instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- a aplicação regular de correções de segurança;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- a configuração adequada dos serviços a serem suportados pelos recursos
computacionais; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- a alteração de senhas e de outros padrões que possam ser utilizados para
acessos indevidos aos recursos computacionais.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
11.  Os mecanismos de proteção da rede de que trata o inciso XI do § 2º devem
contemplar, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- a segmentação de rede de computadores, resguardando, em especial, o ambiente
de produção e os recursos computacionais que suportam processos críticos de
negócio;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- o estabelecimento de regras de <i style="">firewall</i>, assim como o monitoramento de
conexões, evitando tentativas de conexão com sistemas de informação provenientes
de ativos de tecnologia localizados fora da rede corporativa da instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- a definição de critérios para o estabelecimento e o monitoramento de conexões
com ambientes externos, em especial em horário noturno e em dias não úteis; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- as medidas para identificar e prevenir conexões indevidas com ambientes
externos à instituição oriundas de recursos tecnológicos da instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V
- a implementação e manutenção de processos e ferramentas para identificação,
análise, tratamento e controle de eventos atípicos no ambiente de produção da
instituição, abrangendo, como exemplos, o estabelecimento de <i style="">virtual private
networks</i> – VPN e tentativas de acesso privilegiado a recursos
computacionais, especialmente em horário noturno e em dias não úteis; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><a name="_Hlk214977373"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VI - o estabelecimento de medidas para
restringir o acesso a redes corporativas apenas a dispositivos ou ativos de
tecnologia devidamente autorizados.</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
12.  A gestão de certificados digitais de que trata o inciso XII do § 2º deve
prever, no mínimo:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- o monitoramento do uso de certificados e assinaturas digitais, <a name="_Hlk214977433">contemplando a implementação dos mecanismos de
rastreabilidade de que trata o § 7º</a>;  </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- os procedimentos para a guarda de informações, abrangendo os controles de acesso
físico e lógico a chaves privadas sob responsabilidade da instituição; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- procedimentos e ferramentas para evitar o compartilhamento indevido das
chaves privadas associadas a certificados digitais da instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- a validação tempestiva de certificados revogados perante as autoridades
certificadoras.” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
3º-A  As instituições referidas no art. 1º devem estabelecer os seguintes
requisitos de segurança adicionais, <a name="_Hlk214994465">como parte
integrante dos procedimentos e controles previstos em sua política de segurança
cibernética</a> de que trata o art. 3º:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- no caso de comunicação eletrônica de dados na Rede do Sistema Financeiro
Nacional – RSFN:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">a)
uso de múltiplos fatores de autenticação para o acesso administrativo aos ambientes Pix e Sistema de
Transferência de Reservas – STR;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">b)
isolamento físico e lógico do ambiente Pix dos demais sistemas da instituição,
mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de
serviços de computação em nuvem contratados;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">c)
isolamento físico e lógico do ambiente STR dos demais sistemas da instituição,
mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de
serviços de computação em nuvem contratados;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">d)
monitoramento do uso de credenciais e certificados digitais, bem como estabelecimento
de controles para a guarda dessas informações, especialmente as utilizadas no
âmbito do Sistema de Pagamentos Instantâneos – SPI;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">e)
implementação de mecanismos de validação da
integridade fim a fim das transações pela instituição antes da assinatura <a name="_Hlk214977494">digital das mensagens associadas</a>, assegurando que os
dados não tenham sido corrompidos ou manipulados durante o processo de geração
dessas mensagens; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">f) vedação do acesso de empresas prestadoras de serviços a
terceiros às chaves privadas associadas a certificados digitais utilizados pela
instituição para a assinatura de mensagens; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- no caso de conexão como participante de Sistemas do Mercado Financeiro – SMF
autorizados a operar, a implementação de controles de segurança para prevenção,
detecção e resposta a fraudes, a serem observados pela instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Parágrafo
único.  As instituições devem observar este artigo de forma compatível com o
disposto:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- nesta Resolução;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- na regulamentação em vigor; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- em todos os requisitos técnicos da RSFN previstos no Catálogo de Serviços do
SFN, no Manual de Redes do SFN e no Manual de Segurança do SFN, publicados pelo
Banco Central do Brasil.” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.3pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
8º  ..................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.3pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
1º  ........................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.3pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- os incidentes relevantes relacionados com o ambiente cibernético ocorridos no
período; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV
- os resultados dos testes de continuidade de negócios, considerando cenários
de indisponibilidade ocasionada por incidentes; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V
- os resultados dos testes de intrusão e dos testes,
varreduras e análises periódicas para detecção de vulnerabilidades de que trata o art. 3º, § 8º, e os planos de ação
estabelecidos para as suas correções, observado o disposto no art. 22-A, <i style="">caput</i>,
inciso III.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">.......................................................................................................................................”
(NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art. 22-A.  As instituições devem
assegurar que os testes de intrusão mencionados no art. 3º, § 8º, inciso IV,
devem:<br></span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- ter periodicidade mínima anual;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- ser realizados com independência e imparcialidade por pessoa natural ou
empresa especializada contratada pela instituição para essa finalidade, sem prejuízo da realização de testes por equipes da
própria instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- ter os resultados de sua execução documentados, especialmente as eventuais vulnerabilidades
que forem identificadas e os planos de ação estabelecidos para suas correções.”
(NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
22-B.  O serviço prestado para a comunicação eletrônica de dados na RSFN, de
que trata o art. 3º-A, <i style="">caput,</i> inciso I,
é considerado relevante para fins da aplicação do disposto nesta Resolução
sobre a contratação de serviços de processamento, armazenamento de dados e
computação em nuvem.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 1º  Aplica-se
o disposto no <i style="">caput</i> independente da forma de conexão com a RSFN.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 2º  O serviço de que trata o <i style="">caput
</i>inclui os casos em que o prestador de serviços fornece serviço de
processamento de mensagens no âmbito do SFN e do Sistema de Pagamentos
Brasileiro – SPB.” (NR)<br></span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
23.  ..................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">VIII
- os dados, os registros e as informações relativas aos mecanismos de
acompanhamento e de controle de que trata o art. 21, contado o prazo referido
no <i style="">caput</i> a partir da implementação dos citados mecanismos;  </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IX
- a documentação com os critérios que configurem uma situação de crise de que
trata o art. 20, parágrafo único; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">X
- a documentação com os resultados da execução de
testes de intrusão e os planos de ação estabelecidos para as correções de
vulnerabilidades identificadas de que trata o art. 22-A,<i style=""> caput</i>, inciso
III, contado o prazo a partir da data de execução dos testes.” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">“Art.
24.  ..................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">III
- os prazos máximos de que trata o art. 20, <i style="">caput</i>, inciso II, para
reinício ou normalização das atividades ou dos serviços relevantes
interrompidos;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">IV - a especificação dos requisitos de
segurança para integração de sistemas de informação por meio de interfaces
eletrônicas, de que trata o art. 3º, § 2º, inciso XIII; e<br></span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">V
- os requisitos técnicos e procedimentos operacionais a serem observados pelas
instituições para o cumprimento desta Resolução.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§ 1º   Na regulamentação de que
trata o <i style="">caput</i>, o Banco Central do Brasil deverá observar os
princípios e diretrizes referidos no art. 2º, <i style="">caput</i>. <br></span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">§
2º   Na regulamentação de que trata o inciso IV do <i style="">caput</i>, o
Banco Central do Brasil deverá observar, também, as seguintes diretrizes
gerais:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">I
- os requisitos a serem especificados serão aqueles necessários e adequados
para subsidiar a integração dos sistemas referida no art. 3º, § 2º, inciso XIII;
e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-indent:0.15pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">II
- o conteúdo dispondo sobre os requisitos deverá acompanhar as inovações
tecnológicas, a fim de manter sua aptidão como um dos procedimentos e controles
para implementação da política de segurança cibernética em cenários futuros.”
(NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 2º As instituições em
funcionamento na data da entrada em vigor desta Resolução devem promover as
adaptações necessárias à adequação ao disposto nesta Resolução até 1º de março
de 2026.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">Art. 3º  Esta Resolução entra em vigor
na data de sua publicação.</span></p>
<p class="MsoNormal" align="center" style="margin-top:12pt;text-align:center;"><span style="font-family:calibri;font-size:17.3333px;color:#444444;">GABRIEL MURICCA GALÍPOLO<br>Presidente do Banco Central do Brasil</span></p>
</span></div>
</span></div>
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
Acesso Exclusivo para Assinantes
Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.
