Especialista da LC SEC analisa por que exigências do CMN e do Banco Central tornam a segurança digital auditável no sistema financeiro
Na avaliação da LC SEC, consultoria especializada em cibersegurança e compliance internacional, as normas publicadas pelo Conselho Monetário Nacional (CMN) e pelo Banco Central em 18 de dezembro de 2025 mudam a lógica de cobrança sobre segurança digital no sistema financeiro. Com prazo de adequação plena até 1º de março de 2026, as resoluções deixam de tratar o tema como diretriz genérica e passam a exigir controles mínimos operando com evidências, o que torna falhas técnicas objetivas, rastreáveis e auditáveis.
1. Porque os controles passam a ser obrigatórios, verificáveis e padronizados
As regras determinam a implementação e comprovação de um conjunto mínimo de 14 controles de cibersegurança que precisam existir, funcionar e gerar registros. Entre eles estão autenticação forte, criptografia, prevenção e detecção de intrusão, antimalware, prevenção de vazamento de dados, rastreabilidade, rotinas de backup, correção de vulnerabilidades, controle de acesso, hardening de sistemas, proteção de rede, gestão de certificados digitais, segurança em APIs e inteligência cibernética com monitoramento contínuo da internet, deep web e dark web. Para a LC SEC, a padronização elimina a subjetividade sobre o que é ou não segurança adequada.
2. Porque a segurança deixa de ser apenas técnica e passa a impactar governança e decisões estratégicas
Segundo Luiz Claudio, CEO e fundador da LC SEC, a exigência de evidências muda o papel da cibersegurança dentro das organizações. “Quando o controle precisa ser comprovado, o risco deixa de ser abstrato. Ele passa a influenciar auditorias, conselhos de administração, avaliações de continuidade de negócio e até processos de investimento e M&A”, afirma. Nesse cenário, falhas técnicas deixam de ser eventos isolados e passam a compor o mapa formal de riscos da instituição.
3. Porque o regulador amplia a responsabilidade sobre fornecedores, nuvem e ambientes críticos
As resoluções reforçam que os controles devem ser mantidos mesmo quando sistemas são desenvolvidos por terceiros ou operam em ambientes de computação em nuvem. Nos ambientes mais sensíveis do Sistema de Pagamentos Brasileiro, como RSFN, Pix e STR, há exigências adicionais, incluindo autenticação multifator para acessos administrativos, isolamento físico e lógico dos ambientes, inclusive em nuvem, com instâncias dedicadas, proteção de chaves criptográficas, monitoramento de certificados digitais e validação de integridade antes da assinatura digital. “Terceirizar tecnologia não significa terceirizar responsabilidade. A cobrança recai integralmente sobre quem presta o serviço financeiro”, explica Luiz Claudio.
Além disso, as normas determinam a realização anual de testes de intrusão por empresa independente, com documentação dos resultados e dos planos de ação mantidos por cinco anos. Para o executivo, a medida consolida um ciclo contínuo de responsabilização. “Não é só identificar a vulnerabilidade. É demonstrar correção, evolução e maturidade ao longo do tempo”, conclui.
A LC SEC atua no apoio a instituições financeiras e de pagamento por meio de diagnósticos de aderência regulatória, priorização de riscos, estruturação de trilhas de evidências, governança de terceiros e ambientes em nuvem, além da realização de pentests independentes e serviços de inteligência cibernética.