Cibersegurança para Startups · Conformidade & Regulação

Requisitos de segurança cibernética do Banco Central e do Open Finance para fintechs

Em resumo

Fintechs reguladas pelo Banco Central devem cumprir a Resolução BCB nº 85/2021, que exige política de segurança cibernética formalizada, plano de resposta a incidentes, comunicação de incidentes relevantes ao BCB, diretor responsável indicado e contratos de nuvem em conformidade. As participantes do Open Finance também precisam implementar APIs com certificados ICP-Brasil, perfil de segurança FAPI 1.0 Advanced, consentimento granular e registro no diretório oficial da estrutura responsável.

A Decripte é uma empresa de cibersegurança que atende empresas de 1 a mais de 100.000 colaboradores — de MVPs a scale-ups. Plataforma e serviços completos, começando pelo plano gratuito de Gestão de Ameaças.

Pontos-chave

  • A Resolução BCB nº 85/2021 obriga toda instituição autorizada a manter política de segurança cibernética documentada e atualizada periodicamente.
  • O plano de resposta a incidentes deve contemplar detecção, contenção, erradicação e recuperação, com testes regulares e comunicação ao BCB em até 72 horas para incidentes relevantes.
  • Um diretor estatutário ou equivalente deve ser formalmente designado como responsável pela política de segurança cibernética da instituição.
  • Contratos com provedores de nuvem (IaaS, PaaS e SaaS) precisam incluir cláusulas obrigatórias sobre auditabilidade, localização de dados, continuidade de serviço e acesso do BCB.
  • O Open Finance Brasil exige FAPI 1.0 Advanced, certificados ICP-Brasil, Mutual TLS (mTLS) e registro no diretório de participantes mantido pela estrutura de governança.
  • O programa de conformidade cibernética do BCB se integra à LGPD (Lei nº 13.709/2018) e pode ser complementado por PCI DSS para fintechs que processam cartões.

A Resolução BCB nº 85/2021 e a política de segurança cibernética

A Resolução BCB nº 85/2021, que revogou a Resolução CMN nº 4.658/2018, estabelece as diretrizes de segurança cibernética aplicáveis às instituições autorizadas a funcionar pelo Banco Central do Brasil. O normativo abrange bancos, fintechs de pagamento, sociedades de crédito direto, cooperativas de crédito e demais entidades do sistema financeiro nacional, independentemente do porte.

A política de segurança cibernética é o documento central exigido pela norma. Ela deve ser aprovada pelo conselho de administração ou pela diretoria, publicada em canal de fácil acesso aos colaboradores e revisada com periodicidade mínima anual. O documento precisa contemplar objetivos, responsabilidades, classificação de ativos de informação, procedimentos de gestão de vulnerabilidades e de controle de acesso, além de diretrizes para uso seguro de computação em nuvem.

Plano de resposta a incidentes e comunicação ao BCB

Além da política, a Resolução BCB nº 85/2021 exige que a instituição mantenha um plano de resposta e de recuperação para incidentes relevantes. Esse plano deve cobrir as fases de preparação, identificação e análise, contenção, erradicação, recuperação e lições aprendidas, com papéis e responsabilidades claramente atribuídos. É obrigatória a realização de testes periódicos do plano, com registros mantidos à disposição do BCB.

Quando um incidente for considerado relevante — critério definido internamente com base em impacto à confidencialidade, integridade ou disponibilidade de dados e serviços —, a instituição tem até 72 horas para comunicá-lo ao Banco Central por meio dos canais oficiais. A comunicação deve descrever a natureza do incidente, os sistemas afetados, as medidas adotadas e o status de recuperação. A ausência de comunicação tempestiva é considerada infração punível com sanções administrativas.

Comece pela visibilidade

Veja de graça o que já vazou e onde sua startup está exposta.

O plano gratuito de Gestão de Ameaças da Decripte mapeia vulnerabilidades, monitora ameaças e mostra credenciais vazadas — sem cartão e sem precisar de um time de segurança.

Comece grátis agora

Diretor responsável e contratação de serviços em nuvem

A norma exige a designação formal de um diretor responsável pela política de segurança cibernética. Nas instituições de menor porte, o mesmo diretor pode acumular outras funções, mas a atribuição precisa constar em ata e ser comunicada ao BCB por meio do sistema de registro de responsáveis. Esse profissional responde perante o regulador pelo cumprimento das obrigações previstas na resolução.

Para a contratação de serviços de processamento e armazenamento em nuvem, a Resolução BCB nº 85/2021 impõe requisitos contratuais obrigatórios: o provedor deve permitir auditoria pela instituição e pelo BCB, informar a localização geográfica dos dados e dos backups, garantir continuidade do serviço em caso de encerramento contratual e assegurar que os dados serão retornados ou destruídos ao término da relação. Provedores estrangeiros precisam cumprir os mesmos requisitos, e a instituição permanece integralmente responsável pela conformidade.

Segurança no Open Finance Brasil: FAPI, mTLS e diretório de participantes

O Open Finance Brasil é regulado pelo Banco Central por meio de normas específicas e de documentações técnicas mantidas pela estrutura responsável. As APIs das instituições participantes devem seguir o perfil de segurança FAPI 1.0 Advanced (Financial-grade API), que é uma extensão do OAuth 2.0 projetada para ambientes de alto risco. O FAPI exige o uso de Pushed Authorization Requests (PAR), JWT assinados para todos os objetos de autorização e binding entre o token de acesso e o certificado do cliente (MTLS Token Binding).

Cada participante deve possuir certificados emitidos por uma Autoridade Certificadora credenciada pela ICP-Brasil para autenticação mútua (mTLS) nas chamadas entre instituições. Além dos certificados de transporte, são obrigatórios certificados de assinatura para operações sensíveis. O registro no diretório de participantes — mantido pela estrutura de governança do Open Finance Brasil — é condição prévia para qualquer operação no ecossistema. O diretório armazena metadados de autenticação, escopos autorizados e Software Statements, que são artefatos criptograficamente verificáveis que identificam cada aplicação registrada.

Consentimento, LGPD e interseção com PCI DSS

O consentimento no Open Finance é granular, revogável a qualquer momento e limitado temporalmente. A instituição receptora de dados deve coletar consentimento explícito para cada conjunto de dados acessado, armazenar o comprovante e garantir que o dado seja eliminado ou anonimizado após o término do consentimento. Esses requisitos se superpõem às obrigações da LGPD (Lei nº 13.709/2018), que exige base legal para todo tratamento de dados pessoais, implementação de medidas técnicas e administrativas de segurança e notificação à Autoridade Nacional de Proteção de Dados (ANPD) em caso de incidente com risco relevante aos titulares.

Fintechs que processam, armazenam ou transmitem dados de cartão de pagamento também estão sujeitas ao PCI DSS (Payment Card Industry Data Security Standard). O padrão define 12 requisitos técnicos e operacionais, incluindo controles de rede segmentada, criptografia de dados em repouso e em trânsito, gestão de vulnerabilidades e testes de penetração anuais. A conformidade com o PCI DSS é complementar ao programa do BCB e pode ser verificada por um Qualified Security Assessor (QSA) credenciado.

Como a Decripte implementa o programa de conformidade cibernética para fintechs

A Decripte oferece o programa de cibersegurança exigido pelo Banco Central e pelo Open Finance para fintechs de todos os portes — do registro inicial no Bacen até operações com mais de 100.000 colaboradores. O serviço inclui a elaboração da política de segurança cibernética aderente à Resolução BCB nº 85/2021, estruturação do plano de resposta a incidentes com testes documentados, suporte à designação e capacitação do diretor responsável, e revisão dos contratos com provedores de nuvem.

No âmbito do Open Finance, a Decripte apoia a adequação ao perfil FAPI 1.0 Advanced, o processo de registro no diretório de participantes e a implementação de mTLS e gestão de certificados ICP-Brasil. O SOC 24x7 próprio da Decripte monitora os ambientes das fintechs clientes em tempo real, com detecção e resposta a incidentes (IR) integradas ao plano exigido pelo BCB. Para começar sem custo, a fintech pode ativar o plano gratuito de gestão de ameaças e avaliar o nível de aderência atual antes de escalar para os planos completos de conformidade regulatória.

Checklist prático

  1. 1

    1. Elaborar a política de segurança cibernética

    Documente os objetivos, escopo, responsabilidades, classificação de ativos, controles de acesso e diretrizes de nuvem. Submeta à aprovação da diretoria, registre em ata e publique internamente. Programe revisão anual com evidência auditável.

  2. 2

    2. Designar o diretor responsável

    Indique formalmente um diretor estatutário ou equivalente como responsável pela política de segurança cibernética. Registre a atribuição no sistema de responsáveis do Banco Central e capacite o profissional nos requisitos da Resolução BCB nº 85/2021.

  3. 3

    3. Estruturar o plano de resposta a incidentes

    Crie o plano cobrindo preparação, identificação, contenção, erradicação, recuperação e lições aprendidas. Defina o critério de incidente relevante, o fluxo de comunicação ao BCB em 72 horas e realize ao menos um teste documentado por ano.

  4. 4

    4. Revisar contratos com provedores de nuvem

    Verifique se os contratos com IaaS, PaaS e SaaS incluem cláusulas de auditabilidade, localização de dados, continuidade e devolução ou destruição de dados ao término. Exija adequação de provedores que não atendam os requisitos da norma.

  5. 5

    5. Implementar FAPI 1.0 Advanced e certificados ICP-Brasil

    Para participar do Open Finance Brasil, configure as APIs com o perfil FAPI 1.0 Advanced — PAR, JAR e MTLS Token Binding. Obtenha certificados de transporte e de assinatura emitidos por Autoridade Certificadora ICP-Brasil credenciada.

  6. 6

    6. Registrar-se no diretório de participantes do Open Finance

    Acesse o portal da estrutura responsável, crie a organização, registre as aplicações e gere os Software Statements necessários. Mantenha os metadados atualizados e monitore revogações de certificados para evitar interrupção nas chamadas entre instituições.

  7. 7

    7. Integrar LGPD, PCI DSS e monitoramento contínuo

    Mapeie as bases legais de tratamento de dados conforme a LGPD, implemente notificação à ANPD para incidentes relevantes e, se aplicável, realize a avaliação de conformidade com PCI DSS. Conecte todos os controles a um SOC com monitoramento 24x7 para detecção e resposta em tempo real.

Perguntas frequentes

Quais fintechs estão sujeitas à Resolução BCB nº 85/2021?

Todas as instituições autorizadas pelo Banco Central a funcionar no Brasil estão sujeitas à norma, incluindo fintechs de crédito (SCD e SEP), instituições de pagamento (IP), bancos digitais e cooperativas de crédito. O regulador não faz distinção de porte para a obrigação de ter política de segurança cibernética e plano de resposta a incidentes, embora permita proporcionalidade na complexidade dos controles.

O que caracteriza um incidente relevante que precisa ser comunicado ao BCB?

A própria instituição define os critérios de relevância em sua política de segurança cibernética, mas o BCB orienta que sejam considerados o impacto sobre a disponibilidade de serviços essenciais, a exposição de dados de clientes, o comprometimento de sistemas críticos e o potencial de contágio para outras instituições. Uma vez classificado como relevante, o incidente deve ser comunicado ao Banco Central em até 72 horas por meio dos canais oficiais.

O que é FAPI e por que ele é obrigatório no Open Finance Brasil?

FAPI (Financial-grade API) é um perfil de segurança do OAuth 2.0 desenvolvido pela OpenID Foundation para APIs de alto risco financeiro. O Open Finance Brasil adota o FAPI 1.0 Advanced porque ele exige autenticação mútua (mTLS), binding de token ao certificado do cliente, autorização com objetos assinados (JAR/PAR) e proteção contra ataques de replay e PKCE bypass. Isso eleva significativamente a segurança das trocas de dados entre instituições financeiras.

Os requisitos do BCB substituem a LGPD ou são independentes?

São complementares e independentes. A LGPD se aplica a qualquer organização que trate dados pessoais no Brasil, enquanto a Resolução BCB nº 85/2021 é setorial e trata especificamente de segurança cibernética em instituições financeiras. Uma fintech precisa cumprir as duas normas simultaneamente. Na prática, os controles técnicos como criptografia, controle de acesso e gestão de incidentes atendem parcialmente a ambas, mas as obrigações legais — como a notificação à ANPD e ao BCB — são distintas e devem ser gerenciadas separadamente.

A fintech precisa obter uma certificação externa, como SOC 2 ou ISO 27001, para atender ao BCB?

A Resolução BCB nº 85/2021 não exige certificações externas específicas como SOC 2 ou ISO 27001. No entanto, essas certificações são amplamente reconhecidas pelo mercado e podem servir como evidência robusta de conformidade durante supervisões e auditorias regulatórias. Fintechs que processam dados de cartão também precisam do PCI DSS, que é uma certificação obrigatória imposta pelas bandeiras de cartão, não pelo BCB.

Como a Decripte apoia fintechs em fase de licenciamento no Bacen?

A Decripte atua desde a fase de licenciamento, apoiando a elaboração da política de segurança cibernética e do plano de resposta a incidentes exigidos como documentos obrigatórios no processo de autorização pelo Banco Central. A equipe também apoia a designação do diretor responsável, a revisão dos contratos de nuvem e, para fintechs que pretendem participar do Open Finance, a adequação técnica ao FAPI e ao diretório de participantes. O plano gratuito da Decripte permite iniciar o diagnóstico de aderência sem custo.

Segurança para startups e fintechs

Da primeira rodada ao enterprise: a Decripte cresce com você.

Plataforma e serviços completos: gestão de ameaças, SOC 24x7, resposta a incidentes, pentest e conformidade (LGPD, ISO, BACEN). Comece de graça e veja o que já vazou do seu negócio.