CONFORMIDADE · BACEN

Evidência técnica para a regulação de cibersegurança do Banco Central.

As Resoluções CMN 4.893 e 4.557 exigem das instituições autorizadas pelo Banco Central uma postura de segurança cibernética demonstrável, sustentada por evidência técnica. A CSURFACE produz, de forma contínua e auditável, a evidência técnica que sustenta essa demonstração.

O QUE A REGULAÇÃO EXIGE

Cibersegurança que precisa ser comprovada

A Resolução CMN nº 4.893, de 2021, determina que as instituições autorizadas pelo Banco Central mantenham uma política formal de segurança cibernética e atendam requisitos específicos para a contratação de serviços de processamento, armazenamento de dados e computação em nuvem. A Resolução CMN nº 4.557, de 2017, estabelece a estrutura de gerenciamento contínuo de riscos, incluindo o risco associado a fornecedores relevantes.

O ponto em comum é a exigência de evidência. Em uma fiscalização, não basta ter a política no papel: é preciso demonstrar, com dados técnicos, que os controles estão operando — que os ativos são conhecidos, que as exposições são testadas, que os fornecedores são acompanhados e que a alta administração recebe essa informação. Reunir essa evidência manualmente, com planilhas e verificações pontuais, é um trabalho de semanas a cada ciclo.

A CSURFACE automatiza a coleta dessa evidência sobre a superfície de ataque externa da instituição — de forma contínua e exportável para a fiscalização.

COBERTURA

Como a CSURFACE apoia cada exigência

A plataforma atua sobre a exposição externa — a parcela da superfície de ataque acessível pela internet.

1

Política de segurança cibernética

A regulação exige uma política formal de segurança cibernética. A CSURFACE gera a evidência técnica de que essa política está sendo executada na prática — em descoberta de ativos, monitoramento de credenciais e validação de exposições.

2

Inventário contínuo de ativos

A instituição precisa conhecer e manter atualizado o inventário dos seus ativos. A CSURFACE descobre continuamente a superfície de ataque externa, classifica cada ativo por criticidade de negócio e registra uma trilha auditável de cada mudança.

3

Testes e avaliações periódicas

A norma prevê a avaliação periódica dos controles e das vulnerabilidades. A CSURFACE valida exposições de forma contínua e produz evidência verificável de cada teste, sempre atualizada ao longo de todo o período.

4

Risco de fornecedores e de nuvem

A Resolução 4.893 trata da contratação de serviços em nuvem e a 4.557 da avaliação de fornecedores relevantes. A CSURFACE mapeia a cadeia digital de fornecedores embutida nos seus ativos e acompanha continuamente a exposição de cada terceiro.

5

Resposta a incidentes

A regulação exige um plano de resposta a incidentes. Ao monitorar credenciais corporativas vazadas e ameaças emergentes, a CSURFACE reduz a janela entre o comprometimento e a detecção, dando ao plano de resposta um gatilho mais rápido.

6

Reporting à diretoria

A política deve ser acompanhada pela alta administração. A CSURFACE entrega relatórios periódicos com a evolução do risco traduzida em valor financeiro, prontos para o comitê de risco e a diretoria.

WHITEPAPER

Conformidade BACEN em segurança cibernética com a CSURFACE

O documento completo: o que as Resoluções 4.893 e 4.557 exigem, requisito a requisito, e como a CSURFACE sustenta a evidência de cada um.

Ler o whitepaper →

PERGUNTAS FREQUENTES

FAQ

A CSURFACE garante conformidade com o BACEN?

A conformidade é da instituição. A CSURFACE fornece as capacidades técnicas e a evidência contínua e auditável que sustentam vários dos requisitos das Resoluções 4.893 e 4.557 — especialmente os relacionados à exposição externa.

Qual parte da regulação a CSURFACE cobre?

A parcela ligada à superfície de ataque externa: inventário de ativos expostos, avaliação contínua de vulnerabilidades, risco da cadeia de fornecedores e evidência para o reporting à diretoria. A plataforma não analisa a rede interna.

A evidência serve para a fiscalização?

Sim. A CSURFACE mantém uma trilha auditável das descobertas, classificações e testes, exportável no formato necessário para demonstrar a operação dos controles.

Quanto tempo leva para ter a evidência disponível?

A descoberta começa a produzir dados em horas e consolida nos primeiros dias — sem o ciclo de implantação dos scanners tradicionais.

Comece pela evidência da sua exposição externa.

Informe o domínio da instituição e receba uma análise preliminar da superfície de ataque. Sem cartão, sem reunião.

Receber análise preliminar