Ciberseguridad para Startups · Cumplimiento y Regulación

Requisitos de ciberseguridad del Banco Central y del Open Finance para fintechs

En resumen

Las fintechs reguladas por el Banco Central deben cumplir la Resolución BCB nº 85/2021, que exige una política de ciberseguridad formalizada, un plan de respuesta a incidentes, la comunicación de incidentes relevantes al BCB, un director responsable designado y contratos de nube en conformidad. Las participantes del Open Finance también deben implementar APIs con certificados ICP-Brasil, perfil de seguridad FAPI 1.0 Advanced, consentimiento granular y registro en el directorio oficial de la estructura responsable.

Decripte es una empresa de ciberseguridad que atiende a empresas de 1 a más de 100.000 empleados — de MVPs a scale-ups. Plataforma y servicios completos, empezando por el plan gratuito de Gestión de Amenazas.

Puntos clave

  • La Resolución BCB nº 85/2021 obliga a toda institución autorizada a mantener una política de ciberseguridad documentada y actualizada periódicamente.
  • El plan de respuesta a incidentes debe contemplar detección, contención, erradicación y recuperación, con pruebas regulares y comunicación al BCB en hasta 72 horas para incidentes relevantes.
  • Un director estatutario o equivalente debe ser designado formalmente como responsable de la política de ciberseguridad de la institución.
  • Los contratos con proveedores de nube (IaaS, PaaS y SaaS) deben incluir cláusulas obligatorias sobre auditabilidad, localización de datos, continuidad de servicio y acceso del BCB.
  • El Open Finance Brasil exige FAPI 1.0 Advanced, certificados ICP-Brasil, Mutual TLS (mTLS) y registro en el directorio de participantes mantenido por la estructura de gobernanza.
  • El programa de conformidad cibernética del BCB se integra con la LGPD (Ley nº 13.709/2018) y puede complementarse con PCI DSS para fintechs que procesan tarjetas.

La Resolución BCB nº 85/2021 y la política de ciberseguridad

La Resolución BCB nº 85/2021, que revocó la Resolución CMN nº 4.658/2018, establece las directrices de ciberseguridad aplicables a las instituciones autorizadas a funcionar por el Banco Central de Brasil. La norma abarca bancos, fintechs de pago, sociedades de crédito directo, cooperativas de crédito y demás entidades del sistema financiero nacional, con independencia de su tamaño.

La política de ciberseguridad es el documento central exigido por la norma. Debe ser aprobada por el consejo de administración o por la directiva, publicarse en un canal de fácil acceso para los colaboradores y revisarse con una periodicidad mínima anual. El documento debe contemplar objetivos, responsabilidades, clasificación de activos de información, procedimientos de gestión de vulnerabilidades y de control de acceso, además de directrices para el uso seguro de la computación en la nube.

Plan de respuesta a incidentes y comunicación al BCB

Además de la política, la Resolución BCB nº 85/2021 exige que la institución mantenga un plan de respuesta y de recuperación para incidentes relevantes. Ese plan debe cubrir las fases de preparación, identificación y análisis, contención, erradicación, recuperación y lecciones aprendidas, con roles y responsabilidades claramente asignados. Es obligatoria la realización de pruebas periódicas del plan, con registros mantenidos a disposición del BCB.

Cuando un incidente se considere relevante —criterio definido internamente con base en el impacto a la confidencialidad, integridad o disponibilidad de datos y servicios—, la institución tiene hasta 72 horas para comunicarlo al Banco Central a través de los canales oficiales. La comunicación debe describir la naturaleza del incidente, los sistemas afectados, las medidas adoptadas y el estado de recuperación. La ausencia de comunicación oportuna se considera una infracción sancionable con medidas administrativas.

Empieza por la visibilidad

Descubre gratis qué ya se filtró y dónde está expuesta tu startup.

El plan gratuito de Gestión de Amenazas de Decripte mapea vulnerabilidades, monitorea amenazas y muestra credenciales filtradas — sin tarjeta y sin equipo de seguridad.

Empieza gratis ahora

Director responsable y contratación de servicios en la nube

La norma exige la designación formal de un director responsable de la política de ciberseguridad. En las instituciones de menor tamaño, el mismo director puede acumular otras funciones, pero la atribución debe constar en acta y comunicarse al BCB a través del sistema de registro de responsables. Ese profesional responde ante el regulador por el cumplimiento de las obligaciones previstas en la resolución.

Para la contratación de servicios de procesamiento y almacenamiento en la nube, la Resolución BCB nº 85/2021 impone requisitos contractuales obligatorios: el proveedor debe permitir la auditoría por parte de la institución y del BCB, informar la localización geográfica de los datos y de los backups, garantizar la continuidad del servicio en caso de terminación contractual y asegurar que los datos serán devueltos o destruidos al término de la relación. Los proveedores extranjeros deben cumplir los mismos requisitos, y la institución sigue siendo íntegramente responsable de la conformidad.

Seguridad en el Open Finance Brasil: FAPI, mTLS y directorio de participantes

El Open Finance Brasil está regulado por el Banco Central mediante normas específicas y documentaciones técnicas mantenidas por la estructura responsable. Las APIs de las instituciones participantes deben seguir el perfil de seguridad FAPI 1.0 Advanced (Financial-grade API), que es una extensión de OAuth 2.0 diseñada para entornos de alto riesgo. FAPI exige el uso de Pushed Authorization Requests (PAR), JWT firmados para todos los objetos de autorización y binding entre el token de acceso y el certificado del cliente (MTLS Token Binding).

Cada participante debe poseer certificados emitidos por una Autoridad Certificadora acreditada por la ICP-Brasil para la autenticación mutua (mTLS) en las llamadas entre instituciones. Además de los certificados de transporte, son obligatorios los certificados de firma para operaciones sensibles. El registro en el directorio de participantes —mantenido por la estructura de gobernanza del Open Finance Brasil— es una condición previa para cualquier operación en el ecosistema. El directorio almacena metadatos de autenticación, alcances autorizados y Software Statements, que son artefactos criptográficamente verificables que identifican a cada aplicación registrada.

Consentimiento, LGPD e intersección con PCI DSS

El consentimiento en el Open Finance es granular, revocable en cualquier momento y limitado temporalmente. La institución receptora de datos debe recabar el consentimiento explícito para cada conjunto de datos accedido, almacenar el comprobante y garantizar que el dato sea eliminado o anonimizado tras el término del consentimiento. Esos requisitos se superponen a las obligaciones de la LGPD (Ley nº 13.709/2018), que exige una base legal para todo tratamiento de datos personales, la implementación de medidas técnicas y administrativas de seguridad y la notificación a la Autoridad Nacional de Protección de Datos (ANPD) en caso de incidente con riesgo relevante para los titulares.

Las fintechs que procesan, almacenan o transmiten datos de tarjetas de pago también están sujetas al PCI DSS (Payment Card Industry Data Security Standard). El estándar define 12 requisitos técnicos y operacionales, incluidos controles de red segmentada, cifrado de datos en reposo y en tránsito, gestión de vulnerabilidades y pruebas de penetración anuales. La conformidad con el PCI DSS es complementaria al programa del BCB y puede verificarse por un Qualified Security Assessor (QSA) acreditado.

Cómo Decripte implementa el programa de conformidad cibernética para fintechs

Decripte ofrece el programa de ciberseguridad exigido por el Banco Central y por el Open Finance para fintechs de todos los tamaños, desde el registro inicial en el Bacen hasta operaciones con más de 100.000 colaboradores. El servicio incluye la elaboración de la política de ciberseguridad conforme a la Resolución BCB nº 85/2021, la estructuración del plan de respuesta a incidentes con pruebas documentadas, el soporte a la designación y capacitación del director responsable, y la revisión de los contratos con proveedores de nube.

En el ámbito del Open Finance, Decripte apoya la adecuación al perfil FAPI 1.0 Advanced, el proceso de registro en el directorio de participantes y la implementación de mTLS y gestión de certificados ICP-Brasil. El SOC 24x7 propio de Decripte monitorea los entornos de las fintechs clientes en tiempo real, con detección y respuesta a incidentes (IR) integradas al plan exigido por el BCB. Para comenzar sin costo, la fintech puede activar el plan gratuito de gestión de amenazas y evaluar el nivel de adherencia actual antes de escalar a los planes completos de conformidad regulatoria.

Checklist práctico

  1. 1

    1. Elaborar la política de ciberseguridad

    Documenta los objetivos, alcance, responsabilidades, clasificación de activos, controles de acceso y directrices de nube. Sométela a la aprobación de la directiva, regístrala en acta y publícala internamente. Programa una revisión anual con evidencia auditable.

  2. 2

    2. Designar al director responsable

    Designa formalmente a un director estatutario o equivalente como responsable de la política de ciberseguridad. Registra la atribución en el sistema de responsables del Banco Central y capacita al profesional en los requisitos de la Resolución BCB nº 85/2021.

  3. 3

    3. Estructurar el plan de respuesta a incidentes

    Crea el plan cubriendo preparación, identificación, contención, erradicación, recuperación y lecciones aprendidas. Define el criterio de incidente relevante, el flujo de comunicación al BCB en 72 horas y realiza al menos una prueba documentada por año.

  4. 4

    4. Revisar los contratos con proveedores de nube

    Verifica que los contratos con IaaS, PaaS y SaaS incluyan cláusulas de auditabilidad, localización de datos, continuidad y devolución o destrucción de datos al término. Exige la adecuación de los proveedores que no cumplan los requisitos de la norma.

  5. 5

    5. Implementar FAPI 1.0 Advanced y certificados ICP-Brasil

    Para participar en el Open Finance Brasil, configura las APIs con el perfil FAPI 1.0 Advanced —PAR, JAR y MTLS Token Binding—. Obtén certificados de transporte y de firma emitidos por una Autoridad Certificadora ICP-Brasil acreditada.

  6. 6

    6. Registrarse en el directorio de participantes del Open Finance

    Accede al portal de la estructura responsable, crea la organización, registra las aplicaciones y genera los Software Statements necesarios. Mantén los metadatos actualizados y monitorea las revocaciones de certificados para evitar interrupciones en las llamadas entre instituciones.

  7. 7

    7. Integrar LGPD, PCI DSS y monitoreo continuo

    Mapea las bases legales de tratamiento de datos conforme a la LGPD, implementa la notificación a la ANPD para incidentes relevantes y, si aplica, realiza la evaluación de conformidad con PCI DSS. Conecta todos los controles a un SOC con monitoreo 24x7 para detección y respuesta en tiempo real.

Preguntas frecuentes

¿Qué fintechs están sujetas a la Resolución BCB nº 85/2021?

Todas las instituciones autorizadas por el Banco Central a funcionar en Brasil están sujetas a la norma, incluidas las fintechs de crédito (SCD y SEP), las instituciones de pago (IP), los bancos digitales y las cooperativas de crédito. El regulador no distingue por tamaño para la obligación de tener política de ciberseguridad y plan de respuesta a incidentes, aunque permite proporcionalidad en la complejidad de los controles.

¿Qué caracteriza a un incidente relevante que debe comunicarse al BCB?

La propia institución define los criterios de relevancia en su política de ciberseguridad, pero el BCB orienta que se consideren el impacto sobre la disponibilidad de servicios esenciales, la exposición de datos de clientes, el compromiso de sistemas críticos y el potencial de contagio a otras instituciones. Una vez clasificado como relevante, el incidente debe comunicarse al Banco Central en hasta 72 horas a través de los canales oficiales.

¿Qué es FAPI y por qué es obligatorio en el Open Finance Brasil?

FAPI (Financial-grade API) es un perfil de seguridad de OAuth 2.0 desarrollado por la OpenID Foundation para APIs de alto riesgo financiero. El Open Finance Brasil adopta FAPI 1.0 Advanced porque exige autenticación mutua (mTLS), binding del token al certificado del cliente, autorización con objetos firmados (JAR/PAR) y protección contra ataques de replay y PKCE bypass. Esto eleva significativamente la seguridad de los intercambios de datos entre instituciones financieras.

¿Los requisitos del BCB sustituyen a la LGPD o son independientes?

Son complementarios e independientes. La LGPD se aplica a cualquier organización que trate datos personales en Brasil, mientras que la Resolución BCB nº 85/2021 es sectorial y trata específicamente de ciberseguridad en instituciones financieras. Una fintech debe cumplir ambas normas simultáneamente. En la práctica, los controles técnicos como cifrado, control de acceso y gestión de incidentes atienden parcialmente a ambas, pero las obligaciones legales —como la notificación a la ANPD y al BCB— son distintas y deben gestionarse por separado.

¿La fintech necesita obtener una certificación externa, como SOC 2 o ISO 27001, para cumplir con el BCB?

La Resolución BCB nº 85/2021 no exige certificaciones externas específicas como SOC 2 o ISO 27001. Sin embargo, esas certificaciones son ampliamente reconocidas por el mercado y pueden servir como evidencia robusta de conformidad durante supervisiones y auditorías regulatorias. Las fintechs que procesan datos de tarjetas también necesitan el PCI DSS, que es una certificación obligatoria impuesta por las marcas de tarjetas, no por el BCB.

¿Cómo apoya Decripte a las fintechs en fase de licenciamiento en el Bacen?

Decripte actúa desde la fase de licenciamiento, apoyando la elaboración de la política de ciberseguridad y del plan de respuesta a incidentes exigidos como documentos obligatorios en el proceso de autorización por el Banco Central. El equipo también apoya la designación del director responsable, la revisión de los contratos de nube y, para las fintechs que pretenden participar en el Open Finance, la adecuación técnica al FAPI y al directorio de participantes. El plan gratuito de Decripte permite iniciar el diagnóstico de adherencia sin costo.

Seguridad para startups y fintechs

De la primera ronda al enterprise: Decripte crece contigo.

Plataforma y servicios completos: gestión de amenazas, SOC 24x7, respuesta a incidentes, pentest y cumplimiento (LGPD, ISO, BACEN). Empieza gratis y descubre qué ya se filtró de tu negocio.