As recentes atualizações regulatórias trazidas pela Resolução CMN nº 5.274/2025 e pela Resolução BCB nº 538/2025 redefinem o padrão mínimo de segurança cibernética no Sistema Financeiro Nacional (SFN) e já estão em vigor.

O que mudou no contexto regulatório

O Banco Central do Brasil e o Conselho Monetário Nacional reforçaram significativamente a política de segurança cibernética das instituições autorizadas a funcionar pelo BCB. Essas mudanças vão além de boas práticas. Agora, controles antes apenas recomendados passam a ser obrigações formais, auditáveis e supervisionadas.

Principais obrigações destacadas

  • Autenticação forte e criptografia robusta.
  • Gestão de vulnerabilidades e realização de testes de intrusão anuais com documentação formal.
  • Rastreabilidade de operações e controles de acesso.
  • Proteção de ambientes críticos como Pix, STR e sistemas conectados à RSFN.
  • Monitoramento contínuo com inteligência cibernética proativa.

Prazos importantes

Todas as instituições reguladas devem comprovar a adoção efetiva desses controles até 1º de março de 2026. O foco das normas está em evidências práticas. Não basta ter políticas se elas não forem operacionalizadas e documentadas.

Instituições que não se adequarem a tempo ficam expostas a multas, fiscalizações mais rígidas, riscos operacionais e impactos reputacionais, além de vulnerabilidades diante de ataques cada vez mais sofisticados no meio digital.

Como a Zerum pode apoiar sua instituição

A Zerum reúne expertise técnica, regulatória e operacional para oferecer soluções e serviços completos que apoiam sua instituição na adequação às novas resoluções do Banco Central.

Por meio de uma abordagem integrada, que combina governança, tecnologia e inteligência cibernética, auxiliamos na evolução do nível de maturidade em segurança da informação, atendendo aos requisitos regulatórios de forma prática, auditável e sustentável.

Evidências e auditoria

A Zerum está em conformidade com a ISO/IEC 27037, referência internacional em análise forense digital, o que nos permite projetar e operar estruturas robustas para o armazenamento seguro de informações relevantes à investigação de incidentes. Garantimos a coleta adequada de evidências digitais, preservando sua integridade e assegurando uma cadeia de custódia completa e auditável.

Nossa solução de NDR (Network Detection and Response), Zerum Lynx, possibilita a retenção de pacotes de rede com todas as informações necessárias para rastreabilidade e análise forense, enquanto nossa solução de SIEM, Oktos, realiza a centralização e retenção de logs de forma estruturada e conforme os requisitos regulatórios.

Além disso, produzimos relatórios técnicos, trilhas de auditoria e documentação comprobatória, atendendo às exigências de fiscalizações e auditorias do Banco Central, com foco em transparência, rastreabilidade e conformidade regulatória.

Monitoramento contínuo

Por meio da plataforma Zerum Titan, a Zerum opera um serviço de monitoramento contínuo de ameaças, com análise de riscos em tempo real para antecipar, identificar e mitigar incidentes de segurança.

O serviço inclui ações contínuas de inteligência cibernética, com monitoramento de informações sensíveis e de interesse da instituição na internet aberta, Deep Web e Dark Web, além do acompanhamento de grupos privados de comunicação, permitindo a detecção precoce de ameaças, vazamentos e movimentos adversos relevantes ao negócio.

Gestão de vulnerabilidades, testes e resposta a incidentes

A Zerum oferece suporte completo à gestão de vulnerabilidades, incluindo identificação, análise, priorização e acompanhamento de correções, alinhados às boas práticas de mercado e aos requisitos regulatórios aplicáveis.

Por meio do serviço Zerum Pentest, realizamos testes de intrusão de forma estruturada e documentada, avaliando continuamente a resiliência dos ambientes tecnológicos. Em caso de incidentes, atuamos com resposta coordenada e técnica, garantindo contenção, investigação, mitigação de impactos e geração de evidências e relatórios compatíveis com exigências de auditorias e fiscalizações.

Conclusão

Não deixe a conformidade ficar para depois. As Resoluções CMN nº 5.274/2025 e BCB nº 538/2025 representam um novo marco regulatório em segurança cibernética. Estar em conformidade já não é apenas um diferencial. É uma obrigação que protege sua instituição, seus clientes e todo o ecossistema financeiro.

Quer avaliar o nível de aderência da sua instituição?
Entre em contato com a Zerum para um diagnóstico de conformidade e um plano de adequação prático, auditável e sustentável.