O Banco Central (BC) e o Conselho Monetário Nacional (CMN) atualizaram as regras sobre computação em nuvem e segurança cibernética no sistema financeiro, classificando a nuvem como infraestrutura crítica sujeita a controles técnicos mais detalhados e a uma supervisão mais rígida. As resoluções BCB 538 e CMN 5.274 passam a tratar a nuvem com maior prescrição regulatória.
O novo modelo reduz interpretações autorizadas e impõe mecanismos de proteção como autenticação robusta, criptografia, rastreabilidade, gestão de vulnerabilidades, testes de intrusão periódicos e ações de inteligência cibernética, incluindo monitoramento de informações na internet pública, na deep web e na dark web.
A mudança mais sensível envolve isolamento físico e lógico dos ambientes do Pix e do STR. Sempre que esses sistemas operarem na nuvem, as instituições deverão manter instâncias dedicadas, separadas dos demais ambientes.
As normas ampliam o alcance regulatório ao classificar com clareza a comunicação eletrônica de dados na RSFN como serviço relevante para fins das regras de contratação de nuvem, valendo independentemente da forma de conexão e incluindo prestadores que processam mensagens no SFN e no Sistema de Pagamentos Brasileiro.
As resoluções também vedam o acesso de empresas prestadoras às chaves privadas de certificados digitais usados na assinatura de mensagens — notadamente no Pix — e detalham obrigações sobre gestão e guarda desses certificados. Adicionalmente, os controles de acesso, a segmentação de redes e o monitoramento de conexões fora do horário comercial devem ser aplicados integralmente aos ambientes em nuvem.
No âmbito da cibersegurança, os requisitos para testes de intrusão passam a exigir periodicidade mínima anual, independência na realização e documentação formal com planos de ação para corrigir vulnerabilidades, além de incidentes relevantes e testes de continuidade de negócios serem reportados à alta administração, fortalecendo a governança das instituições. O prazo para adequação é até 1º de março de 2026.
