14

controles obrigatórios BCB 538

5 anos

de documentação exigida

4 sem

do escopo ao relatório

24h

para notificar incidentes

Por que agir agora, e não em dezembro

A Resolução BCB nº 538/2025 e a CMN nº 5.274/2025 entraram em vigor em 1º de março de 2026 — prazo já vencido. Todas as instituições financeiras autorizadas pelo BC devem comprovar controles verificáveis: MFA, criptografia, isolamento de rede, gestão de certificados, threat intelligence e pentest anual por empresa independente com documentação formal. A fiscalização começou em ciclos escalonados a partir do 2º semestre.

Fintechs, bancos médios, cooperativas de crédito, instituições de pagamento, corretoras e DTVMs são todas obrigadas.

A cadeia Pix já é o setor mais atacado do Brasil em 2026

Casos públicos em 2025-2026 mostram o padrão: falha em terceiros, API mal defendida, credenciais legítimas usadas indevidamente. A resposta do BC foi endurecer os controles e exigir prova formal de pentest.

Jul/2025

C&M Software

≈ R$ 1 bilhão desviados via fornecedor Pix. 6 bancos atingidos. BC suspendeu fintechs do SPB.

Ago/2025

Sinqia (HSBC + Artta)

R$ 420 milhões via credenciais legítimas. Caso-escola de ataque supply chain no setor financeiro.

Jan-Fev/2026

JD Consultores

Intrusão + extração de certificados. BC suspendeu o serviço Pix diretamente da JD.

Abr/2026

Banco Rendimento

Invasão direta em contas de clientes. Pressão regulatória sobre a resposta a incidentes.

Fontes públicas: Exame, Convergência Digital, CISO Advisor, Infomoney.

Sua fintech está a quantos dias da fiscalização?

Diagnóstico de conformidade BCB 538 em 48h úteis, sem custo. Você recebe um mapa dos 14 controles com o status atual do seu ambiente.

Como cobrimos os controles da BCB 538 na prática

Nosso pentest é desenhado para produzir evidência regulatória — não só um relatório técnico. Cada achado é mapeado ao controle da BCB 538 correspondente, com narrativa aceita por auditores e pelo Banco Central.

Teste de intrusão anual

Pentest black/gray/white-box em apps, APIs e infra crítica. Cobertura de OWASP Top 10, OWASP API Top 10 e OWASP MASVS. Realizado por empresa independente, como exige o Art. 3º da BCB 538.

Documentação formal por 5 anos

Relatório executivo + técnico + narrativa de ataque + evidências, mantidos em ambiente auditável. Formato compatível com solicitações do BC e de auditores externos.

Autenticação MFA e criptografia

Validamos MFA em todos os pontos críticos (admin, API, Pix), TLS 1.3, gestão de certificados e ausência de credenciais em código. Mapeamos gaps ao Art. 6º da BCB 538.

Segmentação e isolamento de rede

Verificamos zoneamento, DMZ, firewalls internos e limites entre ambientes de produção, homologação e cadeia Pix. Sugestões priorizadas por criticidade.

Threat intelligence (CTI)

Cruzamos suas vulnerabilidades com IoCs ativos no Brasil (Qilin, Akira, Cl0p, Medusa). Contextualização de ataques reais contra o setor financeiro brasileiro em 2025-2026.

Plano de remediação com prazos

Cada achado vem com prazo sugerido, esforço estimado e responsável. Estrutura pronta para levar ao Comitê de Segurança Cibernética e comprovar governança ao BC.

Do escopo ao selo em 4 semanas

Sem atrasos que colocam seu ciclo regulatório em risco.

Semana 0 — Escopo

Reunião de kickoff, mapeamento dos ativos críticos (apps, APIs Pix, cadeia de fornecedores) e assinatura de NDA + Rules of Engagement. Alinhamento com seu Comitê de SegCiber.

Semana 1-2 — Execução

Reconhecimento, exploração manual e coleta de evidências. Findings críticos comunicados em tempo real para você acompanhar remediação em paralelo.

Semana 3 — Relatório

Entrega do relatório executivo + técnico + narrativa de ataque + mapeamento controle-a-controle da BCB 538. Debriefing ao vivo com seu time.

Semana 4 — Reteste

Após correções, validamos que os achados críticos e altos foram corrigidos. Emissão da carta final de conformidade para o Comitê.

Ciclo anual

Lembretes automatizados para o próximo ciclo, com opção de retainer para monitoramento contínuo entre pentests. Documentação preservada por 5 anos.

O que fintechs em adequação mais perguntam

Somos uma fintech pequena — a BCB 538 se aplica?

Sim. A Resolução BCB 538/2025 se aplica a todas as instituições autorizadas pelo BC no SFN, incluindo bancos, cooperativas, IPs, corretoras, DTVMs e fintechs. Apenas o nível de exigência é escalonado por porte. Nenhuma escapa do pentest anual.

O que significa "empresa independente" no Art. 3º?

A empresa que realiza o pentest não pode ser a mesma que desenvolveu, opera ou monitora o ambiente testado. O Banco Central quer independência entre quem constrói/opera e quem testa. Consultorias externas como a Evernow atendem essa exigência.

Meu prazo já venceu em 1/mar/2026. Estou em risco imediato?

Sim. A fiscalização em ciclos escalonados começou no 2º semestre de 2026. Instituições sem evidência de pentest anual documentado podem receber advertências, multas ou até suspensão de serviços do SPB (como aconteceu com fornecedores da cadeia Pix). Recomendamos priorizar em até 30 dias.

O relatório serve para auditoria BACEN e para ISO 27001?

Sim. O mesmo pentest cobre BCB 538, ISO 27001 Anexo A.8.29, LGPD Art. 46 e requisitos de PCI DSS (para instituições com autoridade PCI). Você paga um projeto e resolve várias frentes de compliance.

Quanto tempo até o BC exigir a evidência?

Solicitações formais podem chegar a qualquer momento durante o ciclo de fiscalização. O prazo de resposta ao BC costuma ser de 5 a 10 dias úteis. Ter a documentação pronta em pasta auditável é obrigatório — não algo para produzir sob demanda.

Pronto para colocar sua instituição em conformidade?

Preencha o formulário. Um especialista regulatório responde em até 24 horas úteis com escopo, prazo e proposta — já mapeados aos 14 controles da BCB 538.

Sem compromisso NDA + destruição de dados Resposta em 24h úteis