O PIX, sistema de pagamento instantâneos, é um marco relevante para evolução do Brasil em relação aos meios pagamento, apresentando facilidade e agilidade, além do uso por toda população brasileira.
Tais benefícios acabam sendo um fator relevante para criminoso digitais, segundo informações do Banco Central existem mais de 177 milhões de usuários de PIX e 890 milhões de chaves no Brasil, e seis a cada 100 mil transações no PIX são fraudes.
A confiança como pilar do sistema
O pilar de confiança em sistemas de informação, como o Pix, é fundamental para garantir a segurança e a confiabilidade das informações e processos. Essa confiança depende de prevenção a fraudes, proteção de dados e continuidade dos serviços.
O crescimento acelerado do uso de novas tecnologias e riscos emergentes, como fraudes no sistema do Pix cresceram aproximadamente 70% no ano de 2024, destacando a importância da necessidade regulamentações e controles de segurança da informação cada vez mais robustos para elevar a segurança.
O papel do Banco Central na segurança da informação
O Banco Central tem o papel de definir normas e resoluções que estabelecem requisitos mínimos de segurança da informação e cibernética para todas as instituições supervisionadas. Essas normas visam reduzir riscos operacionais, fraudes e incidentes que possam comprometer a estabilidade do sistema financeiro.
Resolução BCB nº 498/2025
A resolução estabelece o credenciamento de Provedores de Serviços de Tecnologia da Informação (PSTI) que processam dados para acesso de instituições à RSFN/SFN, pilar chave do pacote: requisitos técnicos, asseguração independente e prazos de credenciamento, com efeito transversal sobre participantes do Pix/TED que utilizam PSTI.
O que muda?
Para atender às novas exigências da Resolução BCB nº 498/2025, as instituições e os provedores de tecnologia devem adotar uma abordagem completa de segurança da informação e cibernética, que vai muito além de controles pontuais.
O conceito central é evoluir da prevenção à inteligência cibernética, garantindo proteção, monitoramento contínuo e resiliência operacional em todas as camadas do sistema financeiro.
Pilares estratégicos da segurança
- Política de Segurança da Informação (ISO 27001)
Estabelece a base normativa internacional para segurança da informação, garantindo que processos, controles e auditorias sejam estruturados e auditáveis. - Controles Técnicos
Incluem:
- Criptografia de dados em trânsito e armazenamento;
- Sistemas IDS/IPS para detectar e prevenir intrusões em tempo real;
- Controle de acesso rigoroso, com privilégios mínimos e segregação de ambientes críticos.
Esses controles atendem aos artigos 16 e 17 da Resolução BCB nº 498/2025.
- Criptografia de dados em trânsito e armazenamento;
- Acesso Privilegiado
Gerenciamento rigoroso das permissões críticas, garantindo que apenas usuários autorizados tenham acesso a informações e sistemas sensíveis, mitigando riscos de uso indevido. - Monitoramento Ativo e Inteligência Cibernética
Inclui vigilância contínua, monitoramento de deep/dark web, integração de indicadores de ameaça e resposta rápida a campanhas de fraude emergentes.
Controles complementares e governança
- Sistema de Gestão de Segurança (SGSI): estabelece requisitos claros para governança da segurança da informação e processos auditáveis.
- Políticas e controles internos: definem regras, auditorias e boas práticas para proteção de dados.
- Confidencialidade e integridade: garantem que informações sensíveis em sistemas PIX/TED permaneçam seguras e confiáveis.
Proteção de dados e privacidade (ISO 27701)
A ISO 27701 complementa a ISO 27001, criando um Sistema de Gestão de Privacidade da Informação (SGPI) específico para dados pessoais, com:
- princípios de consentimento,
- minimização de dados,
- transparência no tratamento.
Em transações PIX/TED, assegura conformidade com LGPD e GDPR, reforçando os artigos 16, 17, 24 e 25 da Resolução BCB nº 498/2025.
Continuidade de negócios (ISO 22301)
Para manter operações críticas mesmo em cenários adversos, a ISO 22301 define:
- Análise de Impacto nos Negócios (BIA): identificação de processos críticos e avaliação de impactos de interrupções.
- Estratégias de Continuidade: definição de planos alternativos e recursos para manter operações essenciais.
- Testes e Validação: simulações periódicas para garantir a eficácia dos planos e a resiliência operacional.
Essas práticas atendem aos artigos 18 e 19 da Resolução BCB nº 498/2025, garantindo que as instituições possam operar de forma segura e confiável mesmo diante de crises.
