A Resolução CMN nº 4.893, de 2021, determina que as instituições autorizadas pelo Banco Central mantenham uma política formal de segurança cibernética e atendam requisitos específicos para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem. A Resolução CMN nº 4.557, de 2017, estabelece a estrutura de gerenciamento contínuo de riscos, incluindo o risco associado a fornecedores relevantes.
O ponto em comum é a exigência de evidência. Em uma fiscalização, não basta ter a política no papel: é preciso demonstrar, com dados técnicos, que os controles estão operando — que os ativos são conhecidos, que as exposições são testadas, que os fornecedores são acompanhados e que a alta administração recebe essa informação. Reunir essa evidência manualmente, com planilhas e verificações pontuais, é um trabalho de semanas a cada ciclo.
A CSURFACE automatiza a coleta dessa evidência sobre a superfície de ataque externa da instituição — de forma contínua e exportável para a fiscalização.