# BACEN Res. 4.893 - Política de Cibersegurança para IFs > [!abstract] Síntese > A Resolução BCB 4.893/2021 consolida e atualiza os requisitos de cibersegurança para todas as instituições financeiras autorizadas pelo BACEN no [[brasil|Brasil]]. Substitui a Resolução 4.658/2018, ampliando o escopo para incluir bancos digitais, fintechs e IPs (Instituições de Pagamento) - cobrindo todo o ecossistema do [[financial|setor financeiro]] regulado. --- ## Contexto e Objetivo A Resolução 4.893 foi publicada em resposta à crescente sofisticação de ataques ao sistema financeiro brasileiro. O ataque ao SWIFT do [[brasil|Banco de Bangladesh]] (2016) e ataques subsequentes a sistemas SWIFT de bancos brasileiros evidenciaram a necessidade de requisitos mandatórios e auditáveis de cibersegurança. A norma exige que as IFs adotem uma abordagem sistêmica de cibersegurança - não apenas controles técnicos pontuais, mas um programa completo com governança, gestão de riscos, resposta a incidentes e requisitos para terceiros (cloud providers, fintechs parceiras). --- ## Visão Geral > [!info] Em revisão > Esta seção está sendo elaborada com contexto histórico, relevância para o Brasil e LATAM. ## Estrutura da Resolução ```mermaid graph TB BCB["⚖️ Res. BCB 4.893/2021"] BCB --> GOV["🏛️ Governança<br/>Política aprovada pelo Conselho"] BCB --> SEC["🛡️ Segurança Técnica<br/>Controles mínimos obrigatórios"] BCB --> CLOUD["☁️ Nuvem e Terceiros<br/>Due diligence e contratos"] BCB --> INC["🚨 Incidentes<br/>Plano de resposta e notificação"] BCB --> TEST["🔍 Testes<br/>Pentest, red team, auditoria"] GOV --> G1["Política documentada"] GOV --> G2["Diretor responsável nomeado"] GOV --> G3["Relatório anual ao Conselho"] SEC --> S1["Criptografia de dados sensíveis"] SEC --> S2["Controles de acesso MFA"] SEC --> S3["Monitoramento contínuo (SIEM)"] CLOUD --> C1["Due diligence de provedores"] CLOUD --> C2["Contratos com SLAs de segurança"] CLOUD --> C3["Portabilidade e auditabilidade"] INC --> I1["Plano de resposta documentado"] INC --> I2["Notificação ao BACEN (72h)"] INC --> I3["Comúnicação aos clientes"] style BCB fill:#1a1a2e,stroke:#e94560,color:#fff ``` --- ## Requisitos Principais ### 1. Política de Cibersegurança A IF deve manter política formal de cibersegurança aprovada pelo **Conselho de Administração** (ou equivalente) que contemple: - Objetivos e princípios de segurança cibernética - Papéis e responsabilidades (incluindo Diretor responsável por cibersegurança) - Controles mínimos de segurança - Procedimentos para gestão de incidentes - Requisitos para contratação de serviços e produtos de tecnologia > [!important] Diferencial vs. LGPD > Enquanto a [[lgpd|LGPD]] é genérica quanto aos controles técnicos, a Res. 4.893 específica requisitos mínimos auditáveis pelo BACEN - criando obrigações mais granulares para o setor [[financial|financeiro]]. ### 2. Plano de Ação e Resposta a Incidentes O plano deve incluir: - Procedimentos de resposta para diferentes categorias de incidente - Critérios de comúnicação ao BACEN (prazo: conforme criticidade, geralmente 72h para incidentes graves) - Comúnicação aos clientes afetados - Procedimentos de recuperação e lições aprendidas - Teste periódico do plano (simulações, exercícios de mesa) ### 3. Testes de Segurança A resolução exige testes periódicos, cuja frequência e profundidade devem ser proporcionais ao porte e risco da IF: | Tipo de Teste | Frequência Mínima Recomendada | | ------------- | ----------------------------- | | Vulnerability Assessment | Trimestral | | Pentest Externo | Anual | | Pentest Interno | Anual | | Red Team Exercise | A cada 2 anos (IFs de grande porte) | | Teste do Plano de Resposta | Anual | | Revisão de Código (sistemas críticos) | A cada release major | ### 4. Computação em Nuvem e Terceiros Requisitos específicos para serviços em nuvem e terceiros com acesso a dados ou sistemas críticos: - **Due diligence** prévia à contratação (certificações, histórico de incidentes, controles) - **Contratos** com cláusulas de segurança, SLAs, direito de auditoria e portabilidade de dados - **Gestão contínua** de risco de terceiros (revisão periódica) - **Localização de dados**: dados críticos de IFs não podem estar exclusivamente em nuvens estrangeiras sem salvaguardas adequadas --- ## Obrigações por Tipo de Instituição | Tipo de IF | Requisitos Adicionais | | ---------- | --------------------- | | Bancos S1/S2 (grandes) | Estrutura dedicada de cibersegurança, CISO formal, relatório anual ao Conselho | | Bancos S3/S4 (médios) | Política aprovada por Diretoria, função de segurança designada | | IPs e Fintechs | Proporcional ao volume transacionado e dados processados | | Cooperativas de Crédito | Podem compartilhar estrutura com sistema cooperativo | --- ## Integração com Outros Frameworks A conformidade com a Res. 4.893 se beneficia de frameworks complementares: | Framework | Como Complementa | | --------- | ---------------- | | [[iso-27001\|ISO 27001:2022]] | Estrutura de SGSI alinhada aos requisitos de governança | | [[pci-dss\|PCI-DSS v4.0]] | Controles específicos para processamento de cartão de pagamento | | [[lgpd\|LGPD]] | Requisitos de proteção de dados pessoais dos clientes | | NIST CSF | Framework de gestão de riscos compatível com a política exigida | | CIS Controls | Controles técnicos que aténdem requisitos de segurança técnica | --- > [!latam] Relevância para o Brasil > A Res. 4.893 é a norma mais relevante de cibersegurança para o setor financeiro brasileiro, cobrindo mais de 2.000 instituições autorizadas pelo BACEN - de grandes bancos como Itaú e Bradesco a fintechs como Nubank e Inter. O Brasil é o principal alvo de trojans bancários na América Latina (**Grandoreiro**, **Casbaneiro**, **Astaroth**), e grupos como **APT38** e **Lazarus Group** já realizaram tentativas documentadas contra sistemas SWIFT de bancos brasileiros. A norma cria obrigações de pentest, SIEM e resposta a incidentes que são fiscalizadas diretamente pelo BACEN em suas inspeções anuais. ## Impacto para SOC de Instituições Financeiras > [!tip] Para o Blue Team > A Res. 4.893 cria obrigações operacionais diretas para o SOC de IFs brasileiras. **Obrigações operacionais:** - Monitoramento contínuo com capacidade de detecção e resposta (MDR/SIEM obrigatório na prática) - Log retention suficiente para investigações (mínimo 5 anos para dados de transações) - Processo formal de gestão de vulnerabilidades com SLAs de remediação - Playbooks documentados para incidentes de PIX, fraude, ransomware e violação de dados - Exercício de resposta a incidentes documentado pelo menos anualmente --- ## Principais Riscos de Non-Compliance ```mermaid graph LR NC["Non-Compliance<br/>Res. 4.893"] --> R1["🔴 Intervenção BACEN<br/>Suspensão de autorização"] NC --> R2["🟧 Multa Administrativa<br/>Valores elevados"] NC --> R3["🟧 Responsabilização<br/>Pessoal de diretores"] NC --> R4["🟨 Reputacional<br/>Publicação de sanções"] NC --> R5["🟨 Operacional<br/>Restrição de produtos"] ``` --- ## Referências - [Resolução BCB 4.893/2021 - Texto Integral](https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolução%20BCB&número=4893) - [BACEN - Guia de Cibersegurança para IFs](https://www.bcb.gov.br/) - [FEBRABAN - Normas de Cibersegurança](https://febraban.org.br/) - [Resolução BCB 85/2021 - Incidentes de Segurança (substitui Circular 3.909)](https://www.bcb.gov.br/) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**