A regula\u00e7\u00e3o mudou e o impacto \u00e9 estrat\u00e9gico. Com a publica\u00e7\u00e3o das Resolu\u00e7\u00f5es CMN n\u00ba 5.274\/2025 e BCB n\u00ba 538\/2025, o Banco Central eleva o padr\u00e3o de ciberseguran\u00e7a no Sistema Financeiro Nacional. A partir de mar\u00e7o de 2026, pentest deixa de ser boa pr\u00e1tica recomendada e passa a ser obriga\u00e7\u00e3o formal.<\/p>\n\n\n\n
Mas o ponto central n\u00e3o \u00e9 apenas realizar um teste de intrus\u00e3o. O \u00f3rg\u00e3o regulador est\u00e1 exigindo maturidade demonstr\u00e1vel, governan\u00e7a aplicada e evid\u00eancia t\u00e9cnica audit\u00e1vel.<\/p>\n\n\n\n
Bancos, fintechs, cooperativas e institui\u00e7\u00f5es de pagamento agora precisam comprovar que seus controles funcionam na pr\u00e1tica.<\/p>\n\n\n\n
Entre as mudan\u00e7as, uma se destaca pela objetividade: a realiza\u00e7\u00e3o de pentests conduzidos por empresas especializadas passa a ser exig\u00eancia legal. Os relat\u00f3rios devem conter planos de a\u00e7\u00e3o para corre\u00e7\u00e3o das vulnerabilidades<\/strong> e estar dispon\u00edveis para fiscaliza\u00e7\u00e3o.<\/p>\n\n\n\n O contexto explica o movimento, o sistema financeiro brasileiro registrou aumento expressivo de tentativas de invas\u00e3o, fraudes digitais e ataques direcionados a infraestruturas cr\u00edticas. A superf\u00edcie de ataque cresceu na mesma velocidade da digitaliza\u00e7\u00e3o. O BCB entendeu que a maturidade de seguran\u00e7a precisa acompanhar essa evolu\u00e7\u00e3o.<\/p>\n\n\n\n As resolu\u00e7\u00f5es deixam claro que pol\u00edticas declaradas n\u00e3o bastam. \u00c9 necess\u00e1rio implementar e demonstrar controles t\u00e9cnicos efetivos<\/strong>: autentica\u00e7\u00e3o forte, gest\u00e3o estruturada de vulnerabilidades, criptografia de dados sens\u00edveis, prote\u00e7\u00e3o de per\u00edmetro e controle rigoroso de acessos privilegiados.<\/p>\n\n\n\n Outro ponto cr\u00edtico \u00e9 a obrigatoriedade de logs \u00edntegros, rastre\u00e1veis e retidos por no m\u00ednimo cinco anos. Esses registros sustentam auditorias, investiga\u00e7\u00f5es e supervis\u00e3o regulat\u00f3ria. A incapacidade de demonstrar conformidade pode resultar em san\u00e7\u00f5es e limita\u00e7\u00f5es operacionais.<\/p>\n\n\n\n A norma amplia a responsabilidade sobre servi\u00e7os terceirizados. Provedores de nuvem, processamento de dados e fun\u00e7\u00f5es cr\u00edticas devem atender aos mesmos padr\u00f5es exigidos das institui\u00e7\u00f5es contratantes.<\/p>\n\n\n\n A conformidade n\u00e3o termina no per\u00edmetro interno. A responsabilidade regulat\u00f3ria permanece com a institui\u00e7\u00e3o.<\/p>\n\n\n\n Realizar um pentest n\u00e3o significa automaticamente reduzir risco. <\/strong>Um relat\u00f3rio com dezenas de vulnerabilidades n\u00e3o gera valor se a organiza\u00e7\u00e3o n\u00e3o tiver estrutura para priorizar, corrigir e validar remedia\u00e7\u00f5es. O teste \u00e9 diagn\u00f3stico, a maturidade est\u00e1 na capacidade de resposta.<\/p>\n\n\n\n A conformidade regulat\u00f3ria n\u00e3o pode ser tratada como evento pontual, ela exige governan\u00e7a cont\u00ednua,<\/strong> integra\u00e7\u00e3o entre seguran\u00e7a, desenvolvimento e opera\u00e7\u00f5es, e acompanhamento estruturado da postura de risco.<\/p>\n\n\n\n A Ivy Group S\/A atua com institui\u00e7\u00f5es financeiras na execu\u00e7\u00e3o de pentests baseados em metodologias reconhecidas e na estrutura\u00e7\u00e3o de governan\u00e7a cont\u00ednua de vulnerabilidades.<\/p>\n\n\n\n Nosso modelo combina t\u00e9cnica rigorosa, integra\u00e7\u00e3o de seguran\u00e7a aos processos de desenvolvimento e acompanhamento estruturado. Controles baseados em OWASP ASVS, valida\u00e7\u00e3o cont\u00ednua e alinhamento com requisitos regulat\u00f3rios fazem parte da opera\u00e7\u00e3o, n\u00e3o apenas do discurso.<\/p>\n\n\n\n As novas resolu\u00e7\u00f5es deixam clara a dire\u00e7\u00e3o do mercado: a seguran\u00e7a deixou de ser diferencial opcional. \u00c9 requisito regulat\u00f3rio, operacional e estrat\u00e9gico.<\/strong><\/p>\n\n\n\n Institui\u00e7\u00f5es que tratam o tema como obriga\u00e7\u00e3o burocr\u00e1tica enfrentar\u00e3o press\u00e3o crescente. As que incorporam seguran\u00e7a \u00e0 governan\u00e7a executiva estar\u00e3o preparadas para operar com previsibilidade e resili\u00eancia.<\/p>\n\n\n\n Se sua institui\u00e7\u00e3o est\u00e1 estruturando adequa\u00e7\u00e3o \u00e0s novas exig\u00eancias do Banco Central, nossa experi\u00eancia no setor financeiro permite traduzir requisitos normativos em governan\u00e7a t\u00e9cnica aplic\u00e1vel e sustent\u00e1vel.<\/p>\n\n\n\n Fale com nossos especialistas.<\/p>\n","protected":false},"excerpt":{"rendered":" A regula\u00e7\u00e3o mudou e o impacto \u00e9 estrat\u00e9gico. Com a publica\u00e7\u00e3o das Resolu\u00e7\u00f5es CMN n\u00ba 5.274\/2025 e BCB n\u00ba 538\/2025, o Banco Central eleva o padr\u00e3o de ciberseguran\u00e7a no Sistema Financeiro Nacional. A partir de mar\u00e7o de 2026, pentest deixa de ser boa pr\u00e1tica recomendada e passa a ser obriga\u00e7\u00e3o formal. Mas o ponto central n\u00e3o \u00e9 apenas realizar um teste de intrus\u00e3o. O \u00f3rg\u00e3o regulador est\u00e1 exigindo maturidade demonstr\u00e1vel, governan\u00e7a aplicada e evid\u00eancia t\u00e9cnica audit\u00e1vel. Bancos, fintechs, cooperativas e institui\u00e7\u00f5es de pagamento agora precisam comprovar que seus controles funcionam na pr\u00e1tica. O que muda na pr\u00e1tica para sua institui\u00e7\u00e3o<\/p>\n","protected":false},"author":1,"featured_media":2038,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1,51,126],"tags":[90,82],"class_list":["post-2037","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","category-ciber","category-mercado-negocios","tag-ciberseguranca","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/2037","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/comments?post=2037"}],"version-history":[{"count":1,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/2037\/revisions"}],"predecessor-version":[{"id":2039,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/posts\/2037\/revisions\/2039"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/media\/2038"}],"wp:attachment":[{"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/media?parent=2037"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/categories?post=2037"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/news.ivy.com.br\/index.php\/wp-json\/wp\/v2\/tags?post=2037"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Documenta\u00e7\u00e3o n\u00e3o \u00e9 mais suficiente<\/strong><\/h3>\n\n\n\n
A responsabilidade se estende aos fornecedores<\/strong><\/h3>\n\n\n\n
Pentest formal ou maturidade real?<\/strong><\/h3>\n\n\n\n
Como estruturar governan\u00e7a t\u00e9cnica que atende o regulador<\/strong><\/h3>\n\n\n\n