bacen-4658 - RunkIntel

# BACEN Resolução 4.658 - Segurança Cibernética e Cloud > [!abstract] Síntese > A Resolução BACEN 4.658/2018 foi o primeiro marco regulatório brasileiro específicamente voltado à cibersegurança no sistema financeiro. Pioneira na regulamentação de cloud computing para IFs, estabeleceu a base que a Res. 4.893/2021 aprimorou. Aplicável a todas as instituições autorizadas pelo BACEN - bancos, corretoras, fintechs e Instituições de Pagamento (IPs). --- ## Visão Geral A Resolução 4.658/2018 representa um marco histórico na regulação de cibersegurança do sistema financeiro brasileiro. Publicada pelo Banco Central em 26 de abril de 2018, a norma foi a primeira a estabelecer requisitos mínimos estruturados de segurança cibernética para instituições financeiras autorizadas a funcionar pelo [[bacen-4893|BACEN]], incluindo bancos comerciais, corretoras, fintechs e Instituições de Pagamento. Antes dela, as obrigações de segurança das IFs eram genéricas e dispersas em normativos distintos. A norma surgiu num momento crítico: apenas dois anos após o maior assalto cibernético a bancos da história - o ataque ao Banco Central de Bangladesh via SWIFT (2016) que resultou em perda de US$81 milhões - e em meio à escalada de ataques de trojans bancários brasileiros como [[s0531-grandoreiro|Grandoreiro]] e [[s0373-astaroth|Astaroth]] contra o setor financeiro nacional. A Res. 4.658 foi formalmente substituída pela [[bacen-4893|Res. 4.893/2021]], mas seus conceitos fundamentam toda a regulação subsequente. > [!latam] Relevância para o Brasil > A BACEN 4.658 moldou a postura de segurança de mais de 1.600 instituições financeiras no Brasil. O Brasil é o maior mercado de banking digital da América Latina, com mais de 700 milhões de chaves PIX e mais de 170 bilhões de transações instantâneas processadas em 2024. A regulamentação robusta do setor financeiro é fator crítico na contenção de ameaças como os trojans bancários que exportam credenciais para grupos criminosos regionais. --- ## Contexto Histórico A Resolução 4.658 foi públicada em **26 de abril de 2018**, três anos após o maior assalto cibernético a bancos da história - o ataque ao Banco Central de Bangladesh (2016) via SWIFT. No Brasil, o [[financial|setor financeiro]] já enfrentava escalada de ataques direcionados: trojans bancários como [[s0531-grandoreiro|Grandoreiro]], [[casbaneiro|Casbaneiro]] e [[s0373-astaroth|Astaroth]] mapeavam ativamente as IFs brasileiras como alvos prioritários. A norma preencheu uma lacuna crítica: até 2018, as obrigações de segurança das IFs eram genéricas e dispersas em normativos distintos. A Res. 4.658 consolidou requisitos mínimos e, pela primeira vez, regulamentou o uso de **cloud computing** pelo sistema financeiro - tema sensível dado o crescimento acelerado de fintechs e bancos digitais. > [!important] Substituída, mas não obsoleta > A [[bacen-4893|Res. 4.893/2021]] substituiu formalmente a 4.658, mas os conceitos e a estrutura desta norma fundamentam toda a regulação subsequente. Muitas IFs menores ainda alinham seus programas à lógica da 4.658 como baseline. --- ## Estrutura da Resolução ```mermaid graph TB R4658["⚖️ Res. BACEN 4.658/2018 Marco regulatório de ciberseg."] R4658 --> POL["📋 Política de Cibersegurança Aprovada pela Diretoria"] R4658 --> CLOUD["☁️ Cloud Computing Requisitos para contratação"] R4658 --> INC["🚨 Resposta a Incidentes Plano documentado"] R4658 --> REL["📊 Relatório Anual Avaliação de resultados"] POL --> P1["Objetivos e diretrizes"] POL --> P2["Rotinas de segurança e rastreabilidade"] POL --> P3["Divulgação e acesso dos funcionários"] CLOUD --> C1["Due diligence obrigatória"] CLOUD --> C2["Contrato com cláusulas mínimas"] CLOUD --> C3["Dados no Brasil ou com salvaguardas"] CLOUD --> C4["Direito de auditoria pela IF"] INC --> I1["Critérios de relevância definidos"] INC --> I2["Notificação ao BACEN"] INC --> I3["Comúnicação a clientes afetados"] REL --> R1["Métricas de efetividade"] REL --> R2["Incidentes do período"] REL --> R3["Plano para o próximo ciclo"] style R4658 fill:#1a1a2e,stroke:#e94560,color:#fff ``` --- ## Requisitos Principais ### 1. Política de Segurança Cibernética A IF deve públicar e manter política formal contemplando: - **Objetivos e princípios** de segurança da informação e cibersegurança - **Rotinas e procedimentos** de segurança voltados à prevenção, detecção e redução de vulnerabilidades - **Controles de acesso** e rastreabilidade de transações - **Registro de ocorrências** e procedimentos para tratamento de incidentes - **Capacitação de funcionários** e prestadores de serviços A política deve ser divulgada a todos os funcionários e prestadores de serviços, com linguagem compatível com as funções exercidas. ### 2. Cloud Computing - Regulamentação Pioneira A norma foi pioneira ao regular o uso de computação em nuvem por IFs no Brasil. Os requisitos incluem: | Requisito | Detalhe | | --------- | ------- | | Due diligence prévia | Avaliar reputação, certificações, histórico de incidentes do provedor | | Contrato com cláusulas mínimas | SLA de segurança, direito de auditoria, portabilidade de dados | | Localização de dados | Dados de clientes devem estar em jurisdições com proteção adequada | | Continuidade | Plano de saída e portabilidade antes da contratação | | Concentração | Evitar dependência excessiva de um único provedor cloud | > [!warning] Risco de Concentração Cloud > O BACEN demonstrou preocupação explícita com o risco sistêmico gerado por múltiplas IFs usando os mesmos provedores de nuvem. Uma falha em AWS, Azure ou GCP afetaria simultaneamente todo o sistema financeiro. Esse risco é monitorado ativamente. ### 3. Plano de Ação e Resposta a Incidentes O plano deve definir: - **Critérios de relevância**: quais eventos constituem incidentes notificáveis - **Fluxo de notificação interna**: quem aciona quem e em qual prazo - **Notificação ao BACEN**: obrigatória para incidentes relevantes (prazo proporcional à gravidade) - **Comúnicação a clientes**: quando e como comúnicar clientes afetados - **Recuperação**: procedimentos de continuidade e restauração de sistemas ### 4. Relatório Anual de Avaliação Documento anual submetido à Diretoria com: - Resultados das iniciativas implementadas - Efetividade dos controles adotados - Incidentes relevantes do período e lições aprendidas - Plano de ação para o próximo ciclo --- ## Relação com a Resolução 4.893/2021 A [[bacen-4893|Res. 4.893]] substituiu formalmente a 4.658 em fevereiro de 2021. As principais diferenças: | Aspecto | Res. 4.658/2018 | Res. 4.893/2021 | | ------- | --------------- | --------------- | | Escopo | IFs e IPs | IFs, IPs e demais autorizadas | | Governança | Diretoria aprova política | Conselho de Administração aprova | | Testes | Recomendados | Obrigatórios (pentest, red team) | | Cloud | Requisitos básicos | Requisitos ampliados | | Terceiros | Geral | Gestão formal de risco de terceiros | | Prazo notificação | Não específicado | Proporcional à criticidade | --- ## Correlação com Ameaças > [!danger] Ameaças que motivaram a regulação A Res. 4.658 foi uma resposta direta ao ecossistema de ameaças direcionado ao sistema financeiro brasileiro. Os grupos e malware que mais influenciaram a norma: **Trojans Bancários Brasileiros:** - [[s0531-grandoreiro|Grandoreiro]] - infostealer com overlay de telas de internet banking, ativo desde 2016 - [[casbaneiro|Casbaneiro]] - focado em acesso a portais bancários e corretoras de criptomoedas - [[s0373-astaroth|Astaroth]] - usa Living-off-the-Land para roubar credenciais bancárias via [[t1566-phishing|phishing]] sofisticado - [[mekotio|Mekotio]] - especializado em transferências fraudulentas e bypass de autenticação **Vetores de Ataque aos Sistemas de Cloud:** - Misconfiguration de buckets S3 expondo dados de clientes bancários - Credential stuffing contra consoles de gerenciamento cloud ([[t1110-brute-force|T1110]]) - Supply chain attacks em bibliotecas usadas por fintechs ([[t1078-valid-accounts|T1078]]) **Impacto da Regulação:** A norma forçou as IFs a implementar controles que dificultaram ataques via phishing e trojans bancários, especialmente: - Autenticação multifator obrigatória para sistemas internos - Segregação de ambientes (dev/staging/prod) em cloud - Monitoramento de acesso privilegiado (PAM) para contas cloud --- ## Referências - [Resolução BCB 4.658/2018 - Texto Integral](https://www.bcb.gov.br/pre/normativos/busca/downloadNormativo.asp?arquivo=/Lists/Normativos/Attachments/50581/Res_4658_v1_O.pdf) - [BACEN - Perguntas Frequentes sobre a Res. 4.658](https://www.bcb.gov.br/) - [FEBRABAN - Guia de Implementação](https://febraban.org.br/) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**