Notícias

Como BCB 538/2025 e CMN 5.274/2025 redefinem a resiliência digital

26 de fevereiro de 2026
DKnife: AitM Framework da China visando Routers e Entregas de Malware

As Resoluções CMN nº 5.274/2025 e BCB nº 538/2025 elevam o nível de exigência sobre proteção, resiliência e continuidade operacional no sistema financeiro brasileiro. As normas reforçam a necessidade de mecanismos de prevenção e detecção de intrusão, monitoramento contínuo, governança estruturada e garantia de disponibilidade de serviços críticos.

Na prática, o foco regulatório passa a incluir com mais intensidade a camada mais exposta das instituições: aplicações web, APIs, integrações digitais e canais online.

Esse movimento coloca controles como WAF, proteção de APIs, mitigação de DDoS na layer 7 e gestão de tráfego no centro da aderência regulatória. A camada de edge deixa de ser apenas performance e passa a ser infraestrutura de resiliência.

A GoCache atua exatamente nesse ponto. Protege aplicações e tráfego web, reduz superfície de ataque e contribui diretamente para metas de continuidade operacional exigidas pelo Banco Central.

Panorama: por que o Banco Central elevou a régua

Resiliência digital virou prioridade porque serviços financeiros estão cada vez mais digitais e interligados.

Pagamentos, crédito e transferências dependem de:

  • Aplicações web
  • APIs
  • Infraestrutura em nuvem
  • Integrações com terceiros
  • Provedores tecnológicos críticos

Ataques cibernéticos, falhas em nuvem e erros operacionais passaram a gerar impactos sistêmicos. Quando um serviço crítico falha, outros serviços conectados podem parar em sequência.

O Banco Central respondeu com regras mais claras e orientadas a evidências práticas.

O novo marco regulatório: CMN 5.274/2025 e BCB 538/2025

As normas exigem que instituições demonstrem capacidade real de manter serviços essenciais funcionando sob condições adversas.

Principais exigências

  • Governança: papéis e responsabilidades documentados na alta gestão.
  • Continuidade: planos que comprovem operação durante incidentes graves.
  • Testes: exercícios práticos e simulações com evidências registradas.
  • Gestão de PSTI: due diligence e monitoramento contínuo de provedores.
  • Supervisão: relatórios e resultados que permitam verificação pelos órgãos reguladores.

Nesse contexto, a camada de aplicações e tráfego web passa a ser parte fundamental da arquitetura regulatória.

Sistema financeiro como infraestrutura digital crítica

O sistema financeiro funciona hoje como uma infraestrutura digital crítica e interligada. Pagamentos, transferências e crédito dependem de redes, servidores e serviços em nuvem.

Se um ponto falha, o efeito pode se espalhar para todo o mercado financeiro. Esse é o risco sistêmico.

Grande parte dessa interconexão ocorre por meio de APIs e integrações digitais. Proteger essas interfaces é essencial para reduzir propagação de incidentes. Soluções de proteção de aplicações e APIs, como as oferecidas pela GoCache, atuam como camada adicional de contenção e mitigação.

Instituições devem mapear dependências, criar planos e ensaiar respostas a incidentes críticos.

Governança reforçada e responsabilidades da alta administração

Governança fortalece a resiliência digital com regras claras e responsabilidades pela alta administração.

O conselho precisa receber relatórios periódicos e avaliar riscos tecnológicos com atenção.

Responsabilidade inclui monitorar fornecedores críticos e exigir evidências de segurança. Nesse contexto, relatórios técnicos, métricas de disponibilidade e dados de mitigação de incidentes tornam-se ativos importantes para prestação de contas.

Continuidade operacional: do plano à capacidade comprovada

Continuidade operacional exige mais que um documento. Pede capacidade prática e comprovada.

Defina metas claras como RTO e RPO. Testes devem ser regulares, variados e alinhados às metas estabelecidas pela governança.

A continuidade também depende da capacidade de manter aplicações acessíveis durante incidentes cibernéticos ou picos de tráfego. Camadas de CDN e mitigação de DDoS na  layer 7ajudam a reduzir indisponibilidade e preservar serviços essenciais.

Nesse contexto, a GoCache atua absorvendo ataques e distribuindo tráfego globalmente, reduzindo impacto direto sobre a infraestrutura principal da instituição.

Documente logs, tempos de recuperação e relatórios formais para demonstrar conformidade.

Responsabilização por infraestrutura e terceirização

Responsabilização por infraestrutura e terceirização exige cláusulas claras e responsabilidades bem definidas entre as partes.

Defina quem responde por falhas, custos, comunicações e ações imediatas durante incidentes. Inclua obrigação de notificar incidentes com prazos e procedimentos para resposta rápida. Use a sigla PSTI para provedores de serviços de TI e defina suas responsabilidades no contrato.

Garanta direitos de auditoria, testes e acesso a evidências em situações de investigação. Limite subcontratações e exija transparência sobre dependências que podem causar impactos sistêmicos. Contratos devem prever SLAs, penalidades, planos de remediação e requisitos para testes regulares.

Peça relatórios contínuos, indicadores de desempenho e registros de exercícios e falhas. Defina limites para concentração de serviços e determine estratégias para reduzir riscos de dependência. Inclua direitos de rescisão e migração assistida caso o PSTI não cumpra obrigações contratuais. Treine equipes jurídicas e técnicas para fiscalizar contratos e executar auditorias quando necessário. Registre todas as decisões, testes e comunicações para demonstrar conformidade com a supervisão.

Gestão de dependências e provedores tecnológicos (PSTI)

Mapeie todas as dependências tecnológicas para entender quem presta cada serviço. Crie um inventário atualizado de PSTI, com descrição, localização e criticidade. PSTI significa provedores de serviços de TI, como nuvem, data center e redes. Avalie criticidade por impacto em clientes, pagamentos e continuidade dos serviços. Classifique provedores como críticos, importantes ou de menor risco, com provas documentadas.

Estabeleça SLAs claros e métricas para monitorar disponibilidade e tempo de recuperação. Implemente monitoramento contínuo e alertas para detectar problemas antes que se agravem. Exija testes e exercícios conjuntos com PSTI para validar planos de recuperação. Limite concentração em um único provedor e planeje alternativas em caso de falha.

Inclua cláusulas contratuais sobre auditoria, comunicação de incidentes e migração assistida. Monitore indicadores como disponibilidade, tempo médio de recuperação e taxa de cumprimento. Registre evidências de testes e incidentes para apresentar à supervisão quando solicitado. Use painéis e relatórios simples para manter a alta gestão informada e tomar decisões.

Reveja e atualize o mapa de dependências regularmente para capturar mudanças e riscos.

Gestão integrada de riscos tecnológicos e cibernéticos

Gestão integrada une TI e segurança cibernética numa visão única e prática. Riscos tecnológicos são falhas de sistemas, infraestrutura e dependências externas. Riscos cibernéticos envolvem ataques digitais, exploração de vulnerabilidades e invasões persistentes.

Comece com um inventário completo de ativos, sistemas e provedores críticos. Avalie impacto e probabilidade para priorizar ações conforme a criticidade. Implemente monitoramento contínuo para detectar anomalias e sinais de ataque cedo.

Controles essenciais

  • Gestão de vulnerabilidades: identificar, priorizar e aplicar correções rapidamente.
  • Segmentação de redes: reduzir o alcance de ataques entre ambientes.
  • Backups regulares: garantir recuperação de dados com testes periódicos de restauração.
  • SIEM e logs: centralizar registros e gerar alertas para investigação imediata.
  • EDR (proteção de endpoints): detectar e conter atividades suspeitas nos dispositivos.

SIEM significa um sistema que coleta logs e alerta sobre incidentes detectados. EDR refere-se a soluções que monitoram e protegem estações e servidores. Monte um plano de resposta a incidentes com papéis, passos e prazos claros. Realize exercícios de mesa e simulações práticas para testar esse plano regularmente.

Inclua os PSTI nas avaliações e exija evidências de recuperação e continuidade. Monitore métricas como tempo de detecção, tempo de resposta e tempo de recuperação.

Reporte resultados e riscos à alta gestão e ao conselho de forma objetiva. Treine equipes operacionais e de negócio para agir rápido durante incidentes reais. Revisite controles depois de cada teste, aprendizado ou mudança nos serviços.

Supervisão orientada a evidências, testes e intrusões

A supervisão agora pede provas concretas, não apenas documentos e planos teóricos. Reguladores querem evidências de testes, simulações e offensivas controladas regulares, com resultados e métricas registradas.

Testes incluem pen tests (intrusões controladas) e exercícios de resposta a incidentes. Pen test significa infiltrar-se de forma controlada para achar falhas antes de atacantes. Registros de testes, logs e relatórios devem ficar disponíveis para a supervisão.

As instituições devem automatizar coleta de evidências para manter integridade e rastreabilidade. Essa abordagem fortalece a resiliência digital do sistema financeiro como um todo.

Exemplos de testes exigidos

  • Testes de intrusão: tentativas controladas de explorar vulnerabilidades em sistemas críticos autorizadas.
  • Simulações de falha em cascata: avaliam impacto quando serviços interligados param simultaneamente.
  • Testes de recuperação: verificam processos e tempos de restauração dentro dos SLAs.
  • Exercícios com PSTI: coordenam provedores e instituições em cenários reais de interrupção.
  • Red team: equipe que simula atacantes para testar detecção e resposta do ambiente.

Auditorias independentes e testes de terceiros aumentam confiança nas evidências apresentadas. Relatórios devem conter resultados, métricas, ações corretivas e planos de mitigação claros. Periodicidade dos testes varia conforme criticidade e regras definidas pelo Banco Central.

Falhas críticas têm que ser comunicadas imediatamente e tratadas com prioridade máxima. Transparência e cultura de aprendizagem ajudam a melhorar defesas e reduzir reincidência.

Risco de ruptura operacional e efeito em cascata sistêmica

O risco de ruptura operacional ocorre quando um serviço essencial para o mercado para de funcionar. Isso pode começar por falha de um PSTI, ataque cibernético ou erro humano grave. Quando um serviço crítico cai, outros serviços conectados também podem parar em sequência.

Esse efeito em cadeia é chamado de risco sistêmico e pode afetar todo o mercado. Pagamentos atrasam, liquidações falham e crédito pode ficar indisponível para muitas empresas. Clientes perdem acesso a contas e transferências, gerando pânico e retrabalho operacional.

Cenários comuns

  • Falha em data center que impacta várias instituições dependentes do mesmo provedor.
  • Interrupção de nuvem que causa instabilidade em serviços de pagamento digitais essenciais.
  • Ataque cibernético que derruba plataformas de bancos e fintechs simultaneamente.

Alguns sinais precoces incluem aumento de erros transacionais e alertas contínuos nos sistemas. Métricas como queda de disponibilidade e tempo de fila ajudam a medir o risco em tempo real. Mitigações práticas incluem redundância, diversificação de provedores e planos de failover testados.

Testes regulares e simulações ajudam a reduzir a probabilidade de falhas em cascata. Contratos e SLAs com PSTI devem prever procedimentos claros para migração e recuperação. Mapear dependências e priorizar provedores críticos ajuda a reduzir exposição sistêmica.

Comunicação rápida com clientes e mercado também limita impacto reputacional e operacionais.

Implicações estratégicas e próximos passos para instituições

Resiliência digital exige mudanças na estratégia, investimentos e novas competências na organização. Diretores precisam incluir riscos tecnológicos nas decisões de negócio e alocação de capital. Planejamento deve integrar TI, segurança e áreas de negócio com metas mensuráveis e prazos.

Invista em testes práticos, ferramentas de monitoramento e treinamentos constantes para equipes operacionais. Revisão de contratos com PSTI passa a ser prioridade para reduzir riscos de dependência e exposição.

Ações prioritárias

  • Mapear dependências críticas
  • Estabelecer SLAs claros
  • Realizar exercícios regulares
  • Monitorar métricas operacionais
  • Registrar evidências

Tecnologia não basta; cultura e processos também precisam evoluir rapidamente na instituição. Governança deve acompanhar indicadores, auditorias, lições aprendidas e ações corretivas após os testes. Orçamentos precisam prever investimentos continuados em segurança, monitoramento, redundância tecnológica e capacitação de equipes.

Preparar planos de comunicação com clientes e reguladores e estabelecer protocolos claros de gestão de crises. Monitorar mudanças regulatórias e adaptar processos conforme as regras evoluem, orientando equipes para conformidade. Documentar tudo para demonstrar conformidade e facilitar auditorias, supervisão regulatória e revisões futuras.

Conclusão

Resiliência digital deixou de ser opcional e virou exigência clara dos reguladores.

Mapear dependências, testar planos e reforçar governança passou a ser prioridade.

A camada de aplicações, APIs e tráfego web assume papel central nessa jornada. Ao proteger esses pontos críticos, gerar evidências técnicas e reforçar disponibilidade operacional, a GoCache contribui para que instituições financeiras alinhem sua arquitetura tecnológica às exigências das Resoluções CMN 5.274/2025 e BCB 538/2025.

Resiliência digital passa a ser prática operacional. Arquitetura ativa. Monitoramento contínuo. Proteção em produção.

Rolar para cima