Conformidade de Cibersegurança do Banco Central para Fintechs: tudo sobre a Resolução BCB nº 85/2021
Resposta direta
A Resolução BCB nº 85/2021 exige que fintechs autorizadas pelo Banco Central adotem política de segurança cibernética, plano de ação e resposta a incidentes, controles para contratação de serviços em nuvem e designação de diretor responsável. O descumprimento sujeita a instituição a penalidades administrativas, suspensão de atividades e danos reputacionais irreversíveis.
Principais conclusões
- ›A Resolução BCB nº 85/2021 substituiu a Resolução CMN nº 4.658/2018 e unificou as exigências de cibersegurança para todas as instituições autorizadas a funcionar pelo Banco Central do Brasil.
- ›Toda fintech autorizada pelo BCB — incluindo instituições de pagamento, financeiras, administradoras de consórcio e cooperativas — deve ter política de segurança cibernética aprovada pelo conselho de administração ou pela diretoria.
- ›A contratação de processamento e armazenamento de dados em nuvem exige cláusulas contratuais específicas, avaliação de risco prévia e comunicação ao BCB quando os dados são mantidos no exterior.
- ›O plano de ação e resposta a incidentes deve prever SOC 24x7, análise forense, comunicação estruturada e relatório pós-incidente entregue ao BCB em até 72 horas nos casos relevantes.
- ›A relação entre Resolução BCB nº 85/2021, PCI-DSS, LGPD e Open Finance cria uma camada regulatória sobrepostas que demanda programa de conformidade integrado, não ações isoladas.
- ›O risco financeiro e reputacional de não cumprir supera o custo de adequação: o BCB pode suspender autorizações, aplicar multas e responsabilizar diretores individualmente.
Quem deve cumprir a Resolução BCB nº 85/2021
A Resolução BCB nº 85/2021 se aplica a todas as instituições autorizadas a funcionar pelo Banco Central do Brasil que realizam atividades financeiras, de pagamento ou de crédito no país. O universo de obrigadas inclui bancos comerciais, bancos de investimento, financeiras, sociedades de crédito direto (SCD), sociedades de empréstimo entre pessoas (SEP), instituições de pagamento (IP) de qualquer modalidade — emissoras de moeda eletrônica, credenciadoras, iniciadoras de transação de pagamento e sub-credenciadoras —, cooperativas de crédito, administradoras de consórcio e fintechs de crédito.
Para as fintechs, a norma é especialmente relevante porque a maioria inicia suas operações com infraestrutura enxuta, processamento terceirizado em nuvem pública e equipes reduzidas de tecnologia. A Resolução BCB nº 85/2021 reconhece essa realidade ao exigir controles proporcionais ao porte, à natureza das operações e ao perfil de risco de cada instituição, mas não isenta nenhuma das obrigações mínimas.
Fintechs que operam sob licença de terceiros (Banking as a Service ou Payment as a Service) também precisam atenção: mesmo que o contrato com o parceiro bancário preveja responsabilidades compartilhadas, o BCB trata a instituição licenciada como solidariamente responsável pelos controles de cibersegurança aplicáveis à sua operação.
O que a Resolução BCB nº 85/2021 exige: as obrigações centrais
A norma estrutura as exigências em torno de seis pilares: (1) política de segurança cibernética documentada e aprovada; (2) plano de ação e resposta a incidentes; (3) controles para contratação de serviços em nuvem e processamento de dados no exterior; (4) diretor responsável formalmente designado; (5) testes e avaliações periódicas de efetividade; e (6) comunicação de incidentes relevantes ao BCB.
A política de segurança cibernética deve ser compatível com o porte e o perfil de risco da instituição, aprovada no nível de conselho ou diretoria, revisada ao menos anualmente e disponibilizada aos colaboradores e prestadores de serviços que acessem sistemas críticos. Ela precisa cobrir, no mínimo: objetivos de proteção de dados e ativos, responsabilidades, procedimentos para classificação de informações, controles de acesso, criptografia, monitoramento contínuo e gestão de vulnerabilidades.
O plano de ação e resposta a incidentes deve definir fluxos claros de detecção, contenção, erradicação, recuperação e comunicação. A resolução exige que incidentes relevantes — definidos com base em critérios de materialidade, como volume de dados afetados, impacto operacional ou potencial de dano aos clientes — sejam reportados ao BCB no prazo máximo de 72 horas após a identificação. O relatório deve conter causa raiz, impacto estimado e medidas adotadas.
| Exigência | Como atender |
|---|---|
| Política de segurança cibernética | Elaborar documento formal, aprovado pelo conselho/diretoria, revisado anualmente, com escopo que cubra ativos, dados, fornecedores e colaboradores |
| Plano de ação e resposta a incidentes | Definir playbooks por categoria de incidente (ransomware, vazamento, fraude, DDoS), nomear equipe, estabelecer SLAs de resposta e realizar simulações ao menos duas vezes ao ano |
| Contratação de nuvem e processamento no exterior | Incluir cláusulas contratuais exigidas pelo BCB, realizar due diligence de risco pré-contratação, notificar o BCB quando dados de clientes forem armazenados fora do Brasil |
| Diretor responsável por cibersegurança | Formalizar ato societário designando o diretor (pode acumular outras funções em IPs de menor porte), registrar no Cadastro de Responsáveis do BCB |
| Testes e avaliações periódicas | Realizar pentests ao menos anualmente, testes de phishing, avaliações de código e revisões de controles de acesso com frequência compatível com o risco |
| Comunicação de incidentes ao BCB | Reportar incidentes relevantes em até 72 horas via Sistema de Informações do Banco Central (Sisbacen), com relatório de causa raiz e medidas adotadas |
| Monitoramento contínuo | Manter capacidade de detecção em tempo real (SIEM/SOC) para ativos críticos que suportam operações financeiras e de pagamento |
Contratação de nuvem: os requisitos específicos do BCB
Um dos pontos mais práticos — e frequentemente negligenciado pelas fintechs — é a disciplina para contratação de serviços de processamento e armazenamento de dados em nuvem. A Resolução BCB nº 85/2021 não proíbe o uso de nuvem pública, mas impõe condições contratuais e operacionais que o provedor deve aceitar.
Os contratos com provedores de nuvem devem prever: acesso do BCB às instalações e aos dados para fins de fiscalização; direito da instituição de realizar auditorias no provedor; garantias de continuidade do serviço; planos de saída e portabilidade de dados; e mecanismos de notificação em caso de incidente que afete dados de clientes brasileiros.
Quando os dados de clientes são mantidos fora do Brasil, a instituição deve comunicar previamente o BCB, demonstrar que os controles de segurança equivalem aos exigidos domesticamente e documentar a avaliação de risco que justificou a decisão. Provedores que não aceitam essas cláusulas — o que é raro nos grandes players, mas comum em SaaS especializados — não podem ser contratados para processar dados regulados pelo BCB sem aprovação específica.
Fintechs que utilizam infraestrutura compartilhada (por exemplo, um parceiro bancário que processa transações em nome da IP) precisam garantir que o contrato com o parceiro reflita as mesmas obrigações, criando uma cadeia de responsabilidade auditável.
A relação com PCI-DSS, LGPD e Open Finance
A conformidade com a Resolução BCB nº 85/2021 não substitui nem se sobrepõe às demais obrigações regulatórias a que as fintechs estão sujeitas — ela se soma a elas. Entender como cada norma se relaciona é essencial para construir um programa de conformidade eficiente e sem lacunas.
O PCI-DSS (Payment Card Industry Data Security Standard) é obrigatório para qualquer fintech que processe, armazene ou transmita dados de cartão de pagamento. Ele define 12 requisitos técnicos e operacionais, incluindo segmentação de rede, criptografia de dados de portador de cartão, monitoramento de logs e testes de vulnerabilidade. Um programa PCI-DSS bem implementado atende parcialmente os requisitos técnicos da Resolução BCB nº 85/2021, mas não os substitui: o BCB exige, adicionalmente, a política formalizada, o plano de resposta a incidentes e o diretor responsável.
A LGPD (Lei Geral de Proteção de Dados, Lei nº 13.709/2018) exige medidas técnicas e administrativas para proteger dados pessoais e obriga a comunicação de incidentes à ANPD e aos titulares quando houver risco ou dano relevante. O prazo da LGPD para notificação à ANPD é de 72 horas após a ciência do incidente — o mesmo prazo do BCB, o que simplifica o processo quando bem planejado. A base legal de tratamento, os registros de atividades e o relatório de impacto à proteção de dados (RIPD) são obrigações exclusivas da LGPD que a Resolução BCB nº 85/2021 não cobre.
O Open Finance (Resolução BCB nº 32/2020 e normas complementares) impõe requisitos adicionais de autenticação, consentimento, criptografia de APIs e monitoramento de transações para participantes do ecossistema. Fintechs participantes precisam manter certificados ICP-Brasil válidos, implementar autenticação mútua TLS (mTLS) nas APIs e garantir rastreabilidade das operações — controles que se integram naturalmente ao programa de cibersegurança exigido pela Resolução BCB nº 85/2021.
A abordagem mais eficiente é construir um programa de conformidade integrado com mapeamento de controles (control mapping) que identifique onde um único controle técnico atende múltiplos requisitos regulatórios, reduzindo custo e esforço de manutenção.
SOC 24x7 e resposta a incidentes como peças centrais do programa
A Resolução BCB nº 85/2021 não usa a sigla SOC (Security Operations Center), mas os requisitos de monitoramento contínuo, detecção tempestiva e resposta estruturada a incidentes tornam o SOC 24x7 a peça operacional mais crítica do programa de conformidade. Para a maioria das fintechs, manter um SOC próprio é inviável economicamente nos estágios iniciais; a alternativa regulatoriamente aceita é contratar um SOC gerenciado (MSSP) com escopo e SLAs documentados.
O monitoramento contínuo deve cobrir, no mínimo: tentativas de acesso não autorizado a sistemas críticos, anomalias em transações financeiras, exfiltração de dados, alterações em configurações de segurança e disponibilidade dos serviços essenciais. O SIEM (Security Information and Event Management) é a tecnologia central, mas precisa ser alimentado com fontes relevantes: logs de aplicação, rede, endpoint, nuvem e sistemas de pagamento.
A resposta a incidentes deve seguir um ciclo estruturado: detecção → triagem → contenção → erradicação → recuperação → lições aprendidas. O plano deve prever comunicação interna (diretor responsável, CEO, jurídico) e externa (BCB, ANPD se dados pessoais afetados, clientes impactados, parceiros de pagamento). Simulações (tabletop exercises) ao menos duas vezes por ano são consideradas boas práticas pelo BCB e demonstram maturidade durante processos de supervisão.
Para fintechs em estágio inicial, um modelo híbrido é recomendado: triagem e resposta L1/L2 gerenciadas externamente por um MSSP especializado em instituições financeiras, com o time interno responsável pela gestão do programa, comunicação regulatória e decisões de negócio durante crises.
Prazos, penalidades e o risco de não cumprir
A Resolução BCB nº 85/2021 entrou em vigor em 1º de julho de 2021, substituindo a Resolução CMN nº 4.658/2018 sem período de carência adicional para instituições já autorizadas. Fintechs que obtiveram autorização do BCB após essa data devem estar em conformidade desde o primeiro dia de operação — não existe fase de adequação pós-autorização.
O descumprimento das exigências da Resolução BCB nº 85/2021 pode resultar em: advertência formal registrada no cadastro da instituição; multa de até 2% do patrimônio líquido ou do capital mínimo requerido; inabilitação temporária de administradores; suspensão do exercício de atividades; e, em casos extremos, cancelamento da autorização de funcionamento. O BCB aplica as sanções com base na gravidade, na reincidência e no dano causado ao sistema financeiro ou aos consumidores.
Além das penalidades administrativas, o risco reputacional é potencialmente mais custoso. Um incidente cibernético seguido de notícia de que a fintech não cumpria os requisitos básicos do BCB destrói a confiança de clientes, investidores e parceiros comerciais em velocidade incompatível com qualquer plano de recuperação de imagem. Fintechs que passam por rodadas de investimento também enfrentam due diligence de conformidade regulatória, onde lacunas na Resolução BCB nº 85/2021 são red flags que travam ou encarecem captações.
O custo de adequação — que inclui política, plano, ferramentas de monitoramento, testes e, eventualmente, um MSSP — é significativamente menor do que o custo de um incidente seguido de processo administrativo do BCB. Para fintechs em estágio inicial, soluções gerenciadas permitem iniciar em conformidade sem montar uma equipe interna de segurança de dezenas de pessoas.
Termos importantes
- Política de Segurança Cibernética
- Documento formal, aprovado pelo conselho de administração ou pela diretoria da instituição, que estabelece os objetivos, princípios, responsabilidades e controles adotados para proteger dados, sistemas e ativos de informação contra ameaças cibernéticas. Exigida pela Resolução BCB nº 85/2021 para todas as instituições autorizadas pelo Banco Central do Brasil.
- Incidente Relevante
- Evento de segurança cibernética que, pela sua natureza, extensão ou impacto potencial, exige comunicação formal ao Banco Central do Brasil no prazo de 72 horas. A relevância é avaliada com base em critérios como número de clientes afetados, volume financeiro impactado, interrupção de serviços essenciais e risco de contágio para o sistema financeiro.
- SOC (Security Operations Center)
- Centro de Operações de Segurança: estrutura responsável pelo monitoramento contínuo (24 horas por dia, 7 dias por semana) de ativos de tecnologia da informação em busca de ameaças, vulnerabilidades e incidentes. Pode ser mantido internamente pela instituição ou contratado como serviço gerenciado (MSSP), sendo a peça operacional central para atender os requisitos de detecção e resposta da Resolução BCB nº 85/2021.
- mTLS (Mutual TLS)
- Autenticação TLS mútua: protocolo de comunicação segura em que tanto o cliente quanto o servidor apresentam certificados digitais para autenticação, garantindo que apenas partes autorizadas troquem dados. Exigido pelo Open Finance (Resolução BCB nº 32/2020) para comunicação entre participantes e fundamental para fintechs que oferecem ou consomem APIs financeiras reguladas.
Por onde começar
- Elabore e aprove a política de segurança cibernética: Documente a política cobrindo objetivos, escopo, responsabilidades, classificação de informações, controles de acesso, criptografia, monitoramento e gestão de vulnerabilidades. Submeta ao conselho de administração ou à diretoria para aprovação formal e registre a ata. Distribua para todos os colaboradores e prestadores que acessam sistemas críticos. Revise ao menos uma vez por ano ou após incidentes relevantes.
- Designe formalmente o diretor responsável por cibersegurança: Formalize em ata de reunião de diretoria ou assembleia a designação do diretor responsável pela política de segurança cibernética. Em instituições de pagamento de menor porte, o cargo pode ser acumulado com outras funções executivas. Registre o responsável no Cadastro de Responsáveis do Banco Central (CadRem) e mantenha o cadastro atualizado em caso de mudança.
- Construa ou contrate o plano de ação e resposta a incidentes: Desenvolva playbooks detalhados para as categorias de incidente mais prováveis: ransomware, vazamento de dados, fraude em transações, DDoS e comprometimento de credenciais. Defina papéis, SLAs de resposta, fluxos de comunicação interna e externa (BCB, ANPD, clientes) e gatilhos para acionamento do BCB. Realize ao menos dois exercícios de simulação (tabletop) por ano e documente os resultados.
- Avalie e contrate o monitoramento contínuo (SOC): Mapeie os ativos críticos (sistemas de pagamento, APIs, banco de dados de clientes, infraestrutura de nuvem) e implante um SIEM alimentado pelos logs relevantes. Se o time interno não suportar monitoramento 24x7, contrate um MSSP com experiência em instituições financeiras reguladas pelo BCB. Documente o escopo, os SLAs e os procedimentos de escalonamento no contrato e no plano de resposta a incidentes.
- Adeque os contratos com provedores de nuvem e processamento: Revise todos os contratos com provedores de nuvem e processadores de dados para incluir as cláusulas exigidas pelo BCB: acesso para fiscalização, direito de auditoria, garantias de continuidade, plano de saída e notificação de incidentes. Quando dados de clientes forem armazenados fora do Brasil, notifique o BCB com antecedência e documente a avaliação de risco que embasou a decisão.
- Execute testes periódicos de efetividade: Realize pentests ao menos uma vez por ano em sistemas críticos, realizados por empresa independente com metodologia documentada. Complemente com testes de phishing simulado, avaliações de código-fonte de aplicações financeiras, revisões de controles de acesso e testes de continuidade de negócios. Documente os resultados, os planos de remediação e os prazos de correção — essa documentação é solicitada pelo BCB em processos de supervisão.
- Estabeleça o processo de comunicação ao BCB e integre LGPD e PCI-DSS: Implante um processo formal para triagem, classificação e comunicação de incidentes relevantes ao BCB (prazo: 72 horas). Alinhe esse fluxo com a obrigação de notificação à ANPD (LGPD) e com os procedimentos de resposta a incidentes do PCI-DSS, criando um processo unificado. Mapeie os controles que atendem simultaneamente múltiplas normas para reduzir retrabalho e garantir cobertura completa.
Perguntas frequentes
A Resolução BCB nº 85/2021 se aplica a fintechs que ainda estão em processo de autorização pelo Banco Central?
Sim. O BCB avalia a maturidade do programa de cibersegurança como parte do processo de autorização. Fintechs em fase de licenciamento devem apresentar a política de segurança cibernética e o plano de resposta a incidentes como documentos pré-operacionais. Estar em conformidade desde o início acelera o processo de autorização e demonstra governança adequada ao regulador.
Uma fintech pode terceirizar completamente a cibersegurança e ainda estar em conformidade?
Parcialmente. A Resolução BCB nº 85/2021 permite a terceirização de serviços operacionais de segurança (como SOC e pentests), mas a responsabilidade pela política, pelo plano de resposta a incidentes e pela comunicação ao BCB permanece intransferível. O diretor responsável designado internamente deve supervisionar os prestadores e responder perante o BCB pelo programa como um todo.
Qual é a diferença entre a Resolução BCB nº 85/2021 e a Resolução CMN nº 4.658/2018?
A Resolução CMN nº 4.658/2018 foi a norma pioneira de cibersegurança para o sistema financeiro, aplicável a instituições financeiras e de pagamento autorizadas pelo BCB. A Resolução BCB nº 85/2021 a revogou e substituiu, ampliando o escopo para todas as instituições autorizadas pelo BCB, atualizando os requisitos de nuvem e alinhando o texto às melhores práticas internacionais. A estrutura central de obrigações foi mantida e aprofundada.
O que caracteriza um 'incidente relevante' que deve ser comunicado ao BCB?
A Resolução BCB nº 85/2021 não define um critério numérico fixo, mas orienta que a relevância seja avaliada com base em: número de clientes afetados, volume financeiro impactado, interrupção de serviços essenciais, comprometimento de dados sigilosos e potencial de contágio para outras instituições do sistema financeiro. A instituição deve documentar internamente os critérios que utiliza para classificar a relevância dos incidentes, o que também é examinado pelo BCB em inspeções.
Como a Resolução BCB nº 85/2021 interage com a LGPD em caso de vazamento de dados de clientes?
Em caso de vazamento que envolva dados pessoais de clientes, a fintech deve cumprir obrigações paralelas: notificar o BCB em até 72 horas (Resolução BCB nº 85/2021) e notificar a ANPD e os titulares afetados quando o incidente possa causar risco ou dano relevante (LGPD). Os prazos coincidem, mas os relatórios têm formatos e destinatários distintos. Um plano de resposta integrado evita inconsistências e reduz o estresse operacional durante crises.
Fintechs pequenas, com menos de 10 colaboradores, precisam cumprir todos os requisitos da Resolução BCB nº 85/2021?
Sim, mas a norma adota o princípio da proporcionalidade: os controles devem ser compatíveis com o porte, a natureza das operações e o perfil de risco da instituição. Uma IP de emissão de moeda eletrônica com pequeno volume de transações pode ter uma política mais enxuta do que um banco digital de grande porte, mas precisa ter política, plano, diretor designado e capacidade de comunicar incidentes ao BCB. Soluções gerenciadas tornam viável a conformidade sem equipe interna dedicada.
Como a Decripte ajuda startups e fintechs
Do diagnóstico gratuito ao SOC gerenciado — atendemos empresas de 1 a mais de 100.000 colaboradores.
Gestão de Ameaças (Grátis)
Veja, de graça e sem cartão, o que já está exposto da sua startup.
Pentest e Segurança Ofensiva
Pentest de app, API e cloud — relatório para clientes e investidores.
Segurança Normativa (LGPD/ISO/vCISO)
SOC 2/ISO 27001, LGPD e vCISO para destravar vendas e rodadas.
SOC 24x7 Gerenciado
Detecção e resposta 24x7 sem montar um time interno.
Segurança que destrava rodada e venda enterprise — sem montar um time.
Pentest, conformidade (SOC 2/ISO/LGPD), vCISO e SOC 24x7. Ou comece de graça vendo o que já vazou da sua empresa.