Banco Central
Resolução BCB
•
18/12/2025
Resolução BCB N° 538
Sumário Regulatório
Extraído do BCB
Conteúdo do Documento
Resolução Nº 538 RESOLUÇÃO BCB Nº 538, DE 18 DE DEZEMBRO DE 2025 Altera a Resolução BCB nº 85, de 8 de abril de 2021, que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições de pagamento, pelas sociedades corretoras de títulos e...
<div class="ExternalClass6E9A72495345469086368E34E538F512">
<title>Resolução Nº 538</title>
<style>
</style>
<div class="WordSection1">
<p class="MsoNormal" align="center" style="margin-bottom:18pt;text-align:center;"><span style="font-size:13pt;font-family:calibri, sans-serif;">RESOLUÇÃO BCB Nº </span><span style="font-size:13pt;font-family:calibri, sans-serif;">538,</span><span style="font-size:13pt;font-family:calibri, sans-serif;"> DE 18 DE DEZEMBRO DE
2025</span></p>
<p class="MsoNormal" style="margin:0cm 0cm 18pt 9cm;text-align:justify;"><a name="_Hlk62628366"><span style="font-size:13pt;font-family:calibri, sans-serif;">Altera a Resolução BCB nº 85, de 8 de abril
de 2021, que dispõe sobre a política de segurança cibernética e sobre os
requisitos para a contratação de serviços de processamento e armazenamento de
dados e de computação em nuvem a serem observados pelas instituições de
pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas
sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades
corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.</span></a></p>
<p class="Default" style="margin-bottom:18pt;text-align:justify;text-indent:70.9pt;"><span style="font-size:13pt;font-family:calibri, sans-serif;color:windowtext;">A Diretoria Colegiada do Banco Central do Brasil, em sessão
realizada em 3 de dezembro de 2025, com base no art. 9º-A, <i>caput</i>,
incisos I e II, da Lei nº 4.728, de 14 de julho de 1965, nos arts. 9º, <i>caput</i>,
incisos II e IX, e 10 e 15 da Lei nº 12.865, de 9 de outubro de 2013, </span></p>
<p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;"><span style="font-size:13pt;font-family:calibri, sans-serif;">R E S O L V E :</span></p>
<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">Art. 1º  A Resolução BCB
nº 85, de 8 de abril de 2021, publicada no Diário Oficial da União de 12 de abril
de 2021, passa a vigorar com as seguintes alterações:</span></p>
<p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“Art.
3º  ...................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217464013"><span style="font-size:13pt;font-family:calibri, sans-serif;">§ 2º  Os procedimentos e os controles de que
trata o inciso II do <i>caput</i> devem abranger, no mínimo:</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217464338"><span style="font-size:13pt;font-family:calibri, sans-serif;">I - a autenticação;</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- os mecanismos de criptografia;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- os mecanismos de prevenção e detecção de intrusão;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV
- os mecanismos de prevenção de vazamentos de informações;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">V
- os mecanismos de proteção contra <i>softwares</i> maliciosos;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">VI
- os mecanismos de rastreabilidade;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">VII
- a gestão de cópias de segurança dos dados e das informações;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">VIII
- a avaliação e a correção de vulnerabilidades dos recursos computacionais e
dos sistemas de informação; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IX
- os controles de acesso;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">X
- a definição e implementação de perfis de configuração segura de ativos de
tecnologia; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">XI
- os mecanismos de proteção da rede;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">XII
- a gestão de certificados digitais;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">XIII
- os requisitos de segurança para a integração de sistemas de informação por
meio de interfaces eletrônicas; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">XIV
- as ações de i</span><span lang="PT" style="font-size:13pt;font-family:calibri, sans-serif;">nteligência
n</span><span style="font-size:13pt;font-family:calibri, sans-serif;">o
ambiente cibernético, incluindo o monitoramento de informações de interesse da
instituição na internet, na <i>Deep Web </i>e<i> na Dark Web</i>, além de
grupos privados de comunicação.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217467712"><span style="font-size:13pt;font-family:calibri, sans-serif;">§ 3º  Os procedimentos e os controles citados
no inciso II do <i>caput </i>devem ser aplicados, inclusive:</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217467734"><span style="font-size:13pt;font-family:calibri, sans-serif;">I - no desenvolvimento de sistemas de
informação seguros; e</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- na adoção de novas tecnologias empregadas nas atividades da instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217467891"><span style="font-size:13pt;font-family:calibri, sans-serif;">§ 6º  A instituição deve verificar o disposto
no inciso I do § 3º, no que couber, nos casos de sistemas de informação por ela
adquiridos ou desenvolvidos por empresas prestadoras de serviços a terceiros,
executados com a utilização de recursos computacionais da própria instituição.</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
7º  Os mecanismos de rastreabilidade de que trata o inciso VI do § 2º devem
abranger a rastreabilidade de transações e operações, contemplando, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- trilhas de auditoria do processamento fim a fim dos dados e das informações,
incluindo a definição e a geração de <i>logs</i> que possibilitem identificar
falhas de processamento ou comportamentos atípicos, bem como subsidiar
análises; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- definição de tempo de retenção de informações de acordo com o tipo de
processamento realizado; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- retenção segura das trilhas de auditoria.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
8º  A avaliação e a correção de vulnerabilidades de que trata o inciso VIII do
§ 2º deve contemplar, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- testes e análises periódicos para detecção de vulnerabilidades em sistemas de
informação; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- varreduras periódicas dos recursos tecnológicos com o objetivo de identificar
dispositivos indevidamente conectados à rede corporativa que possam estabelecer
conexão com ativos de tecnologia externos à instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- análises periódicas dos recursos tecnológicos com o objetivo de identificar
vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia da
instituição;  </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV
- testes de intrusão; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">V
- correção tempestiva das vulnerabilidades identificadas.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
9º  Os controles de acesso de que trata o inciso IX do § 2º devem incluir, no
mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- mecanismos para limitar o acesso à rede corporativa a usuários credenciados e
a dispositivos autorizados; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- revisão periódica e tempestiva das permissões de acesso, em especial de
colaboradores terceirizados com acesso aos recursos computacionais da
instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- implementação de múltiplos fatores de autenticação para acesso à rede
corporativa a partir de ambientes externos à instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
10.  A definição e implementação de perfis de configuração segura de que trata
o inciso X do § 2º devem prever, no mínimo:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- a gestão do ciclo de vida dos recursos computacionais da instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- a aplicação regular de correções de segurança;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- a configuração adequada dos serviços a serem suportados pelos recursos
computacionais; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV
- a alteração de senhas e de outros padrões que possam ser utilizados para
acessos indevidos aos recursos computacionais.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
11.  Os mecanismos de proteção da rede de que trata o inciso XI do § 2º devem
contemplar, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- a segmentação de rede de computadores, resguardando, em especial, o ambiente
de produção e os recursos computacionais que suportam processos críticos de
negócio;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- o estabelecimento de regras de <i>firewall</i>, assim como o monitoramento de
conexões, evitando tentativas de conexão com sistemas de informação
provenientes de ativos de tecnologia localizados fora da rede corporativa da
instituição; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- a definição de critérios para o estabelecimento e o monitoramento de conexões
com ambientes externos, em especial em horário noturno e em dias não úteis; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV
- as medidas para identificar e prevenir conexões indevidas com ambientes
externos à instituição oriundas de recursos tecnológicos da instituição; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">V
- a implementação e manutenção de processos e ferramentas para identificação,
análise, tratamento e controle de eventos atípicos no ambiente de produção da
instituição, abrangendo, como exemplos, o estabelecimento de <i>virtual private
networks</i> – VPN e tentativas de acesso privilegiado a recursos
computacionais, especialmente em horário noturno e em dias não úteis; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">VI
- o estabelecimento de medidas para restringir o acesso a redes corporativas
apenas a dispositivos ou ativos de tecnologia devidamente autorizados.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
12.  A gestão de certificados digitais de que trata o inciso XII do § 2º deve
prever, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- o monitoramento do uso de certificados e assinaturas digitais, contemplando a
implementação dos mecanismos de rastreabilidade de que trata o § 7º;  </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- os procedimentos para a guarda de informações, abrangendo os controles de
acesso físico e lógico a chaves privadas sob responsabilidade da instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- procedimentos e ferramentas para evitar o compartilhamento indevido das
chaves privadas associadas a certificados digitais da instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV
- a validação tempestiva de certificados revogados perante as autoridades
certificadoras.” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“Art.
3º-A  As instituições referidas no art. 1º devem estabelecer os seguintes
requisitos de segurança adicionais, como parte integrante dos procedimentos e
controles previstos em sua política de segurança cibernética de que trata o
art. 3º:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- no caso de comunicação eletrônica de dados na Rede do Sistema Financeiro
Nacional – RSFN:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">a)
uso de múltiplos fatores de autenticação para o acesso </span><span style="font-size:13pt;font-family:calibri, sans-serif;">administrativo</span><span style="font-size:13pt;font-family:calibri, sans-serif;"> aos ambientes Pix e
Sistema de Transferência de Reservas – STR;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">b)
isolamento físico e lógico do ambiente Pix dos demais sistemas da instituição,
mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de
serviços de computação em nuvem </span><span style="font-size:13pt;font-family:calibri, sans-serif;">contratados</span><span style="font-size:13pt;font-family:calibri, sans-serif;">; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">c)
isolamento físico e lógico do ambiente STR dos demais sistemas da instituição,
mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de
serviços de computação em nuvem contratados; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">d)
monitoramento do uso de credenciais e certificados digitais, bem como
estabelecimento de controles para a guarda dessas informações, especialmente as
utilizadas no âmbito do Sistema de Pagamentos Instantâneos – SPI;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">e)
implementação de mecanismos de validação da integridade fim a fim das
transações pela instituição antes da assinatura digital das mensagens
associadas, assegurando que os dados não tenham sido corrompidos ou manipulados
durante o processo de geração dessas mensagens; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">f)
vedação do acesso de empresas prestadoras de serviços a terceiros às chaves
privadas associadas a certificados digitais utilizados pela instituição para a
assinatura de mensagens; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- no caso de conexão como participante de Sistemas do Mercado Financeiro – SMF
autorizados a operar, a implementação de controles de segurança para prevenção,
detecção e resposta a fraudes a serem observados pela instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">Parágrafo
único.  As instituições devem observar este artigo de forma compatível com o
disposto:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- nesta Resolução;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- na regulamentação em vigor; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- em todos os requisitos técnicos da RSFN previstos no Catálogo de Serviços do
SFN, no Manual de Redes do SFN e no Manual de Segurança do SFN, publicados pelo
Banco Central do Brasil.</span><span style="font-size:13pt;font-family:calibri, sans-serif;">”
(NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“Art.
8º  ...................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
1º  .........................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217476618"><span style="font-size:13pt;font-family:calibri, sans-serif;">III - os incidentes relevantes relacionados
com o ambiente cibernético ocorridos no período; </span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217476639"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV - os resultados dos testes de continuidade
de negócios, considerando cenários de indisponibilidade ocasionada por
incidentes; e</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217476656"><span style="font-size:13pt;font-family:calibri, sans-serif;">V - os resultados dos testes de intrusão e
dos testes, varreduras e análises periódicas para detecção de vulnerabilidades de
que trata o art. 3º, § 8º, e os planos de ação estabelecidos para as suas correções,
observado o disposto no art. 22-A, <i>caput</i>, inciso III.</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">......................................................................................................................................
” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“<a name="_Hlk217476889">Art. 22-A.  As instituições devem assegurar que os testes
de intrusão mencionados no art. 3º, § 8º, inciso IV, devem:</a></span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- ter periodicidade mínima anual;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- ser realizados com independência e imparcialidade por pessoa natural ou
empresa especializada contratada pela instituição para essa finalidade, sem
prejuízo da realização de testes por equipes da própria instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- ter os resultados de sua execução documentados, especialmente as eventuais
vulnerabilidades que forem identificadas e os planos de ação estabelecidos para
suas correções.” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“Art.
22-B.  O serviço prestado para a comunicação eletrônica de dados na RSFN, de que
trata o art. 3º-A,<i> caput,</i> inciso I, é considerado relevante para fins da
aplicação do disposto nesta Resolução sobre a contratação de serviços de
processamento, armazenamento de dados e computação em nuvem.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
1º  Aplica-se o disposto no <i>caput</i> independente da forma de conexão com a
RSFN.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
2º  O serviço de que trata o <i>caput </i>inclui os casos em que o prestador de
serviços fornece serviço de processamento de mensagens no âmbito do SFN e do
Sistema de Pagamentos Brasileiro – SPB.</span><span style="font-size:13pt;font-family:calibri, sans-serif;">” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“Art.
23.  ..................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217477179"><span style="font-size:13pt;font-family:calibri, sans-serif;">VIII - os dados, os registros e as
informações relativas aos mecanismos de acompanhamento e de controle de que
trata o art. 21, contado o prazo a partir da implementação dos citados
mecanismos;</span></a><span style="font-size:13pt;font-family:calibri, sans-serif;"> 
</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217477202"><span style="font-size:13pt;font-family:calibri, sans-serif;">IX - a documentação com os critérios que
configurem uma situação de crise de que trata o art. 20, parágrafo único; e</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217477218"><span style="font-size:13pt;font-family:calibri, sans-serif;">X - a documentação com os resultados da
execução de testes de intrusão e os planos de ação estabelecidos para as correções
de vulnerabilidades identificadas de que trata o art. 22-A, <i>caput</i>, inciso
III, contado o prazo a partir da data de execução dos testes.</span></a><span style="font-size:13pt;font-family:calibri, sans-serif;">” (NR)</span></p>
<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">Art. 2º As instituições
em funcionamento na data da entrada em vigor desta Resolução devem promover as
adaptações necessárias à adequação ao disposto nesta Resolução até 1º de março
de 2026.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:12pt;text-indent:70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">Art. 3º  Esta
Resolução entra em vigor na data de sua publicação.</span></p>
<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-size:13pt;font-family:calibri, sans-serif;">GILNEU FRANCISCO
ASTOLFI VIVAN</span></p>
<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-size:13pt;font-family:calibri, sans-serif;">Diretor de Regulação</span></p>
</div>
</div>
<title>Resolução Nº 538</title>
<style>
</style>
<div class="WordSection1">
<p class="MsoNormal" align="center" style="margin-bottom:18pt;text-align:center;"><span style="font-size:13pt;font-family:calibri, sans-serif;">RESOLUÇÃO BCB Nº </span><span style="font-size:13pt;font-family:calibri, sans-serif;">538,</span><span style="font-size:13pt;font-family:calibri, sans-serif;"> DE 18 DE DEZEMBRO DE
2025</span></p>
<p class="MsoNormal" style="margin:0cm 0cm 18pt 9cm;text-align:justify;"><a name="_Hlk62628366"><span style="font-size:13pt;font-family:calibri, sans-serif;">Altera a Resolução BCB nº 85, de 8 de abril
de 2021, que dispõe sobre a política de segurança cibernética e sobre os
requisitos para a contratação de serviços de processamento e armazenamento de
dados e de computação em nuvem a serem observados pelas instituições de
pagamento, pelas sociedades corretoras de títulos e valores mobiliários, pelas
sociedades distribuidoras de títulos e valores mobiliários e pelas sociedades
corretoras de câmbio autorizadas a funcionar pelo Banco Central do Brasil.</span></a></p>
<p class="Default" style="margin-bottom:18pt;text-align:justify;text-indent:70.9pt;"><span style="font-size:13pt;font-family:calibri, sans-serif;color:windowtext;">A Diretoria Colegiada do Banco Central do Brasil, em sessão
realizada em 3 de dezembro de 2025, com base no art. 9º-A, <i>caput</i>,
incisos I e II, da Lei nº 4.728, de 14 de julho de 1965, nos arts. 9º, <i>caput</i>,
incisos II e IX, e 10 e 15 da Lei nº 12.865, de 9 de outubro de 2013, </span></p>
<p class="MsoNormal" style="margin-bottom:18pt;text-indent:70.9pt;"><span style="font-size:13pt;font-family:calibri, sans-serif;">R E S O L V E :</span></p>
<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">Art. 1º  A Resolução BCB
nº 85, de 8 de abril de 2021, publicada no Diário Oficial da União de 12 de abril
de 2021, passa a vigorar com as seguintes alterações:</span></p>
<p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“Art.
3º  ...................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217464013"><span style="font-size:13pt;font-family:calibri, sans-serif;">§ 2º  Os procedimentos e os controles de que
trata o inciso II do <i>caput</i> devem abranger, no mínimo:</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217464338"><span style="font-size:13pt;font-family:calibri, sans-serif;">I - a autenticação;</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- os mecanismos de criptografia;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- os mecanismos de prevenção e detecção de intrusão;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV
- os mecanismos de prevenção de vazamentos de informações;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">V
- os mecanismos de proteção contra <i>softwares</i> maliciosos;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">VI
- os mecanismos de rastreabilidade;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">VII
- a gestão de cópias de segurança dos dados e das informações;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">VIII
- a avaliação e a correção de vulnerabilidades dos recursos computacionais e
dos sistemas de informação; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IX
- os controles de acesso;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">X
- a definição e implementação de perfis de configuração segura de ativos de
tecnologia; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">XI
- os mecanismos de proteção da rede;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">XII
- a gestão de certificados digitais;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">XIII
- os requisitos de segurança para a integração de sistemas de informação por
meio de interfaces eletrônicas; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">XIV
- as ações de i</span><span lang="PT" style="font-size:13pt;font-family:calibri, sans-serif;">nteligência
n</span><span style="font-size:13pt;font-family:calibri, sans-serif;">o
ambiente cibernético, incluindo o monitoramento de informações de interesse da
instituição na internet, na <i>Deep Web </i>e<i> na Dark Web</i>, além de
grupos privados de comunicação.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217467712"><span style="font-size:13pt;font-family:calibri, sans-serif;">§ 3º  Os procedimentos e os controles citados
no inciso II do <i>caput </i>devem ser aplicados, inclusive:</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217467734"><span style="font-size:13pt;font-family:calibri, sans-serif;">I - no desenvolvimento de sistemas de
informação seguros; e</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- na adoção de novas tecnologias empregadas nas atividades da instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217467891"><span style="font-size:13pt;font-family:calibri, sans-serif;">§ 6º  A instituição deve verificar o disposto
no inciso I do § 3º, no que couber, nos casos de sistemas de informação por ela
adquiridos ou desenvolvidos por empresas prestadoras de serviços a terceiros,
executados com a utilização de recursos computacionais da própria instituição.</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
7º  Os mecanismos de rastreabilidade de que trata o inciso VI do § 2º devem
abranger a rastreabilidade de transações e operações, contemplando, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- trilhas de auditoria do processamento fim a fim dos dados e das informações,
incluindo a definição e a geração de <i>logs</i> que possibilitem identificar
falhas de processamento ou comportamentos atípicos, bem como subsidiar
análises; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- definição de tempo de retenção de informações de acordo com o tipo de
processamento realizado; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- retenção segura das trilhas de auditoria.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
8º  A avaliação e a correção de vulnerabilidades de que trata o inciso VIII do
§ 2º deve contemplar, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- testes e análises periódicos para detecção de vulnerabilidades em sistemas de
informação; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- varreduras periódicas dos recursos tecnológicos com o objetivo de identificar
dispositivos indevidamente conectados à rede corporativa que possam estabelecer
conexão com ativos de tecnologia externos à instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- análises periódicas dos recursos tecnológicos com o objetivo de identificar
vulnerabilidades que possam comprometer a segurança dos ativos de tecnologia da
instituição;  </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV
- testes de intrusão; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">V
- correção tempestiva das vulnerabilidades identificadas.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
9º  Os controles de acesso de que trata o inciso IX do § 2º devem incluir, no
mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- mecanismos para limitar o acesso à rede corporativa a usuários credenciados e
a dispositivos autorizados; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- revisão periódica e tempestiva das permissões de acesso, em especial de
colaboradores terceirizados com acesso aos recursos computacionais da
instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- implementação de múltiplos fatores de autenticação para acesso à rede
corporativa a partir de ambientes externos à instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
10.  A definição e implementação de perfis de configuração segura de que trata
o inciso X do § 2º devem prever, no mínimo:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- a gestão do ciclo de vida dos recursos computacionais da instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- a aplicação regular de correções de segurança;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- a configuração adequada dos serviços a serem suportados pelos recursos
computacionais; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV
- a alteração de senhas e de outros padrões que possam ser utilizados para
acessos indevidos aos recursos computacionais.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
11.  Os mecanismos de proteção da rede de que trata o inciso XI do § 2º devem
contemplar, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- a segmentação de rede de computadores, resguardando, em especial, o ambiente
de produção e os recursos computacionais que suportam processos críticos de
negócio;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- o estabelecimento de regras de <i>firewall</i>, assim como o monitoramento de
conexões, evitando tentativas de conexão com sistemas de informação
provenientes de ativos de tecnologia localizados fora da rede corporativa da
instituição; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- a definição de critérios para o estabelecimento e o monitoramento de conexões
com ambientes externos, em especial em horário noturno e em dias não úteis; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV
- as medidas para identificar e prevenir conexões indevidas com ambientes
externos à instituição oriundas de recursos tecnológicos da instituição; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">V
- a implementação e manutenção de processos e ferramentas para identificação,
análise, tratamento e controle de eventos atípicos no ambiente de produção da
instituição, abrangendo, como exemplos, o estabelecimento de <i>virtual private
networks</i> – VPN e tentativas de acesso privilegiado a recursos
computacionais, especialmente em horário noturno e em dias não úteis; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">VI
- o estabelecimento de medidas para restringir o acesso a redes corporativas
apenas a dispositivos ou ativos de tecnologia devidamente autorizados.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
12.  A gestão de certificados digitais de que trata o inciso XII do § 2º deve
prever, no mínimo: </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- o monitoramento do uso de certificados e assinaturas digitais, contemplando a
implementação dos mecanismos de rastreabilidade de que trata o § 7º;  </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- os procedimentos para a guarda de informações, abrangendo os controles de
acesso físico e lógico a chaves privadas sob responsabilidade da instituição;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- procedimentos e ferramentas para evitar o compartilhamento indevido das
chaves privadas associadas a certificados digitais da instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV
- a validação tempestiva de certificados revogados perante as autoridades
certificadoras.” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“Art.
3º-A  As instituições referidas no art. 1º devem estabelecer os seguintes
requisitos de segurança adicionais, como parte integrante dos procedimentos e
controles previstos em sua política de segurança cibernética de que trata o
art. 3º:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- no caso de comunicação eletrônica de dados na Rede do Sistema Financeiro
Nacional – RSFN:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">a)
uso de múltiplos fatores de autenticação para o acesso </span><span style="font-size:13pt;font-family:calibri, sans-serif;">administrativo</span><span style="font-size:13pt;font-family:calibri, sans-serif;"> aos ambientes Pix e
Sistema de Transferência de Reservas – STR;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">b)
isolamento físico e lógico do ambiente Pix dos demais sistemas da instituição,
mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de
serviços de computação em nuvem </span><span style="font-size:13pt;font-family:calibri, sans-serif;">contratados</span><span style="font-size:13pt;font-family:calibri, sans-serif;">; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">c)
isolamento físico e lógico do ambiente STR dos demais sistemas da instituição,
mantendo instância dedicada e apartada dos demais ambientes nos casos de uso de
serviços de computação em nuvem contratados; </span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">d)
monitoramento do uso de credenciais e certificados digitais, bem como
estabelecimento de controles para a guarda dessas informações, especialmente as
utilizadas no âmbito do Sistema de Pagamentos Instantâneos – SPI;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">e)
implementação de mecanismos de validação da integridade fim a fim das
transações pela instituição antes da assinatura digital das mensagens
associadas, assegurando que os dados não tenham sido corrompidos ou manipulados
durante o processo de geração dessas mensagens; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">f)
vedação do acesso de empresas prestadoras de serviços a terceiros às chaves
privadas associadas a certificados digitais utilizados pela instituição para a
assinatura de mensagens; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- no caso de conexão como participante de Sistemas do Mercado Financeiro – SMF
autorizados a operar, a implementação de controles de segurança para prevenção,
detecção e resposta a fraudes a serem observados pela instituição.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">Parágrafo
único.  As instituições devem observar este artigo de forma compatível com o
disposto:</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- nesta Resolução;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- na regulamentação em vigor; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- em todos os requisitos técnicos da RSFN previstos no Catálogo de Serviços do
SFN, no Manual de Redes do SFN e no Manual de Segurança do SFN, publicados pelo
Banco Central do Brasil.</span><span style="font-size:13pt;font-family:calibri, sans-serif;">”
(NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“Art.
8º  ...................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
1º  .........................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217476618"><span style="font-size:13pt;font-family:calibri, sans-serif;">III - os incidentes relevantes relacionados
com o ambiente cibernético ocorridos no período; </span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217476639"><span style="font-size:13pt;font-family:calibri, sans-serif;">IV - os resultados dos testes de continuidade
de negócios, considerando cenários de indisponibilidade ocasionada por
incidentes; e</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217476656"><span style="font-size:13pt;font-family:calibri, sans-serif;">V - os resultados dos testes de intrusão e
dos testes, varreduras e análises periódicas para detecção de vulnerabilidades de
que trata o art. 3º, § 8º, e os planos de ação estabelecidos para as suas correções,
observado o disposto no art. 22-A, <i>caput</i>, inciso III.</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">......................................................................................................................................
” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“<a name="_Hlk217476889">Art. 22-A.  As instituições devem assegurar que os testes
de intrusão mencionados no art. 3º, § 8º, inciso IV, devem:</a></span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">I
- ter periodicidade mínima anual;</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">II
- ser realizados com independência e imparcialidade por pessoa natural ou
empresa especializada contratada pela instituição para essa finalidade, sem
prejuízo da realização de testes por equipes da própria instituição; e</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">III
- ter os resultados de sua execução documentados, especialmente as eventuais
vulnerabilidades que forem identificadas e os planos de ação estabelecidos para
suas correções.” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“Art.
22-B.  O serviço prestado para a comunicação eletrônica de dados na RSFN, de que
trata o art. 3º-A,<i> caput,</i> inciso I, é considerado relevante para fins da
aplicação do disposto nesta Resolução sobre a contratação de serviços de
processamento, armazenamento de dados e computação em nuvem.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
1º  Aplica-se o disposto no <i>caput</i> independente da forma de conexão com a
RSFN.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">§
2º  O serviço de que trata o <i>caput </i>inclui os casos em que o prestador de
serviços fornece serviço de processamento de mensagens no âmbito do SFN e do
Sistema de Pagamentos Brasileiro – SPB.</span><span style="font-size:13pt;font-family:calibri, sans-serif;">” (NR)</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">“Art.
23.  ..................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">.................................................................................................................................................</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217477179"><span style="font-size:13pt;font-family:calibri, sans-serif;">VIII - os dados, os registros e as
informações relativas aos mecanismos de acompanhamento e de controle de que
trata o art. 21, contado o prazo a partir da implementação dos citados
mecanismos;</span></a><span style="font-size:13pt;font-family:calibri, sans-serif;"> 
</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217477202"><span style="font-size:13pt;font-family:calibri, sans-serif;">IX - a documentação com os critérios que
configurem uma situação de crise de que trata o art. 20, parágrafo único; e</span></a></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin:0cm 0cm 6pt 70.9pt;text-align:justify;"><a name="_Hlk217477218"><span style="font-size:13pt;font-family:calibri, sans-serif;">X - a documentação com os resultados da
execução de testes de intrusão e os planos de ação estabelecidos para as correções
de vulnerabilidades identificadas de que trata o art. 22-A, <i>caput</i>, inciso
III, contado o prazo a partir da data de execução dos testes.</span></a><span style="font-size:13pt;font-family:calibri, sans-serif;">” (NR)</span></p>
<p class="MsoNormal" style="margin-bottom:6pt;text-indent:70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">Art. 2º As instituições
em funcionamento na data da entrada em vigor desta Resolução devem promover as
adaptações necessárias à adequação ao disposto nesta Resolução até 1º de março
de 2026.</span></p><div style="text-align:justify;">
</div><p class="MsoNormal" style="margin-bottom:12pt;text-indent:70.9pt;text-align:justify;"><span style="font-size:13pt;font-family:calibri, sans-serif;">Art. 3º  Esta
Resolução entra em vigor na data de sua publicação.</span></p>
<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-size:13pt;font-family:calibri, sans-serif;">GILNEU FRANCISCO
ASTOLFI VIVAN</span></p>
<p class="MsoNormal" align="center" style="text-align:center;"><span style="font-size:13pt;font-family:calibri, sans-serif;">Diretor de Regulação</span></p>
</div>
</div>
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur. Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.
Acesso Exclusivo para Assinantes
Cadastre-se ou faça login com sua conta do Radar Finsiders Brasil para visualizar esta regulação na íntegra, fazer download dos arquivos e ter acesso a relatórios exclusivos do mercado financeiro.
