14
controles obrigatórios BCB 538
5 anos
de documentação exigida
4 sem
do escopo ao relatório
24h
para notificar incidentes
Por que agir agora, e não em dezembro
A Resolução BCB nº 538/2025 e a CMN nº 5.274/2025 entraram em vigor em 1º de março de 2026 — prazo já vencido. Todas as instituições financeiras autorizadas pelo BC devem comprovar controles verificáveis: MFA, criptografia, isolamento de rede, gestão de certificados, threat intelligence e pentest anual por empresa independente com documentação formal. A fiscalização começou em ciclos escalonados a partir do 2º semestre.
Fintechs, bancos médios, cooperativas de crédito, instituições de pagamento, corretoras e DTVMs são todas obrigadas.
A cadeia Pix já é o setor mais atacado do Brasil em 2026
Casos públicos em 2025-2026 mostram o padrão: falha em terceiros, API mal defendida, credenciais legítimas usadas indevidamente. A resposta do BC foi endurecer os controles e exigir prova formal de pentest.
Jul/2025
C&M Software
≈ R$ 1 bilhão desviados via fornecedor Pix. 6 bancos atingidos. BC suspendeu fintechs do SPB.
Ago/2025
Sinqia (HSBC + Artta)
R$ 420 milhões via credenciais legítimas. Caso-escola de ataque supply chain no setor financeiro.
Jan-Fev/2026
JD Consultores
Intrusão + extração de certificados. BC suspendeu o serviço Pix diretamente da JD.
Abr/2026
Banco Rendimento
Invasão direta em contas de clientes. Pressão regulatória sobre a resposta a incidentes.
Fontes públicas: Exame, Convergência Digital, CISO Advisor, Infomoney.
Sua fintech está a quantos dias da fiscalização?
Diagnóstico de conformidade BCB 538 em 48h úteis, sem custo. Você recebe um mapa dos 14 controles com o status atual do seu ambiente.
Como cobrimos os controles da BCB 538 na prática
Nosso pentest é desenhado para produzir evidência regulatória — não só um relatório técnico. Cada achado é mapeado ao controle da BCB 538 correspondente, com narrativa aceita por auditores e pelo Banco Central.
Teste de intrusão anual
Pentest black/gray/white-box em apps, APIs e infra crítica. Cobertura de OWASP Top 10, OWASP API Top 10 e OWASP MASVS. Realizado por empresa independente, como exige o Art. 3º da BCB 538.
Documentação formal por 5 anos
Relatório executivo + técnico + narrativa de ataque + evidências, mantidos em ambiente auditável. Formato compatível com solicitações do BC e de auditores externos.
Autenticação MFA e criptografia
Validamos MFA em todos os pontos críticos (admin, API, Pix), TLS 1.3, gestão de certificados e ausência de credenciais em código. Mapeamos gaps ao Art. 6º da BCB 538.
Segmentação e isolamento de rede
Verificamos zoneamento, DMZ, firewalls internos e limites entre ambientes de produção, homologação e cadeia Pix. Sugestões priorizadas por criticidade.
Threat intelligence (CTI)
Cruzamos suas vulnerabilidades com IoCs ativos no Brasil (Qilin, Akira, Cl0p, Medusa). Contextualização de ataques reais contra o setor financeiro brasileiro em 2025-2026.
Plano de remediação com prazos
Cada achado vem com prazo sugerido, esforço estimado e responsável. Estrutura pronta para levar ao Comitê de Segurança Cibernética e comprovar governança ao BC.
Do escopo ao selo em 4 semanas
Sem atrasos que colocam seu ciclo regulatório em risco.
Semana 0 — Escopo
Reunião de kickoff, mapeamento dos ativos críticos (apps, APIs Pix, cadeia de fornecedores) e assinatura de NDA + Rules of Engagement. Alinhamento com seu Comitê de SegCiber.
Semana 1-2 — Execução
Reconhecimento, exploração manual e coleta de evidências. Findings críticos comunicados em tempo real para você acompanhar remediação em paralelo.
Semana 3 — Relatório
Entrega do relatório executivo + técnico + narrativa de ataque + mapeamento controle-a-controle da BCB 538. Debriefing ao vivo com seu time.
Semana 4 — Reteste
Após correções, validamos que os achados críticos e altos foram corrigidos. Emissão da carta final de conformidade para o Comitê.
Ciclo anual
Lembretes automatizados para o próximo ciclo, com opção de retainer para monitoramento contínuo entre pentests. Documentação preservada por 5 anos.
O que fintechs em adequação mais perguntam
Somos uma fintech pequena — a BCB 538 se aplica?
Sim. A Resolução BCB 538/2025 se aplica a todas as instituições autorizadas pelo BC no SFN, incluindo bancos, cooperativas, IPs, corretoras, DTVMs e fintechs. Apenas o nível de exigência é escalonado por porte. Nenhuma escapa do pentest anual.
O que significa "empresa independente" no Art. 3º?
A empresa que realiza o pentest não pode ser a mesma que desenvolveu, opera ou monitora o ambiente testado. O Banco Central quer independência entre quem constrói/opera e quem testa. Consultorias externas como a Evernow atendem essa exigência.
Meu prazo já venceu em 1/mar/2026. Estou em risco imediato?
Sim. A fiscalização em ciclos escalonados começou no 2º semestre de 2026. Instituições sem evidência de pentest anual documentado podem receber advertências, multas ou até suspensão de serviços do SPB (como aconteceu com fornecedores da cadeia Pix). Recomendamos priorizar em até 30 dias.
O relatório serve para auditoria BACEN e para ISO 27001?
Sim. O mesmo pentest cobre BCB 538, ISO 27001 Anexo A.8.29, LGPD Art. 46 e requisitos de PCI DSS (para instituições com autoridade PCI). Você paga um projeto e resolve várias frentes de compliance.
Quanto tempo até o BC exigir a evidência?
Solicitações formais podem chegar a qualquer momento durante o ciclo de fiscalização. O prazo de resposta ao BC costuma ser de 5 a 10 dias úteis. Ter a documentação pronta em pasta auditável é obrigatório — não algo para produzir sob demanda.
Pronto para colocar sua instituição em conformidade?
Preencha o formulário. Um especialista regulatório responde em até 24 horas úteis com escopo, prazo e proposta — já mapeados aos 14 controles da BCB 538.
Continue explorando
Pentest completo
Visão geral do nosso pentest — modalidades, entregáveis, metodologia. Base para todos os pacotes de compliance.
Adequação LGPD
Assessment, DPO as a service e remediação para instituições que também precisam responder à ANPD.
Consultoria ISO 27001
Sistema de Gestão de Segurança da Informação. Aproveita o mesmo pentest para responder ao Anexo A.8.29.
