WHITEPAPER · REGULAÇÃO BANCO CENTRAL

Segurança cibernética sob a ótica do Banco Central.

Como a gestão contínua de superfície de ataque externa apoia instituições autorizadas pelo Banco Central a atender às exigências de segurança cibernética das Resoluções CMN nº 4.893/2021 e nº 4.557/2017 — com descoberta de ativos, validação de exploitabilidade e evidência auditável.

Público: CISOs, áreas de risco e compliance, diretoria Setor: Instituições financeiras e de pagamento Tema: Conformidade regulatória e exposição externa

SUMÁRIO EXECUTIVO

O que este documento aborda

O Conselho Monetário Nacional (CMN) e o Banco Central do Brasil estabeleceram um arcabouço regulatório que obriga instituições financeiras e de pagamento a manter uma política formal de segurança cibernética, a gerenciar riscos cibernéticos como parte da sua estrutura de gerenciamento de riscos e a controlar os riscos associados à contratação de serviços de processamento, armazenamento de dados e computação em nuvem.

Esse arcabouço é orientado a princípios e a resultados: ele exige que a instituição demonstre, de forma documentada e verificável, que conhece seus ativos, identifica suas vulnerabilidades, avalia seus riscos, testa seus controles e responde a incidentes — sem prescrever uma ferramenta específica para cada obrigação. A fiscalização do Banco Central opera sobre evidência; declarações de intenção, sem lastro técnico, são insuficientes.

A maior parte das superfícies de ataque hoje exploradas começa fora do perímetro tradicional: domínios e subdomínios esquecidos, ambientes de homologação expostos, ativos de subsidiárias e da cadeia de fornecedores, credenciais corporativas vazadas e serviços em nuvem mal configurados. É exatamente essa camada — a superfície de ataque externa — que a CSURFACE descobre, monitora e prioriza continuamente.

Este whitepaper mapeia, de forma temática, os requisitos de segurança cibernética da regulação do Banco Central às capacidades da plataforma CSURFACE, delimitando com precisão o escopo de cobertura: a CSURFACE atua sobre a exposição externa e produz evidência técnica auditável; ela apoia a conformidade — não a substitui. A governança, a definição de políticas, a resposta a incidentes e os controles internos permanecem sob responsabilidade da instituição.

1 · CONTEXTO REGULATÓRIO

O que o Banco Central exige

A segurança cibernética das instituições reguladas pelo Banco Central do Brasil está ancorada em duas resoluções do Conselho Monetário Nacional que se complementam: uma trata especificamente da política de segurança cibernética e da nuvem; a outra trata da estrutura de gerenciamento de riscos na qual o risco cibernético se insere.

Resolução CMN nº 4.893, de 26 de fevereiro de 2021

A Resolução CMN nº 4.893/2021 dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições autorizadas a funcionar pelo Banco Central. Ela consolidou e atualizou o arcabouço anteriormente estabelecido pela Resolução CMN nº 4.658/2018.

Em linhas gerais, a 4.893/2021 exige que a instituição:

  • implemente e mantenha uma política de segurança cibernética formal, aprovada pela alta administração e compatível com o porte, o perfil de risco e o modelo de negócio da instituição;
  • adote controles para prevenção e tratamento de incidentes relevantes, incluindo um plano de resposta e a comunicação de incidentes;
  • realize avaliações e testes periódicos dos seus controles de segurança;
  • controle os riscos da contratação de serviços em nuvem e de terceiros relevantes para o processamento de dados, com diligência prévia e monitoramento contínuo do prestador;
  • designe um diretor responsável pela política de segurança cibernética e divulgue ao público as suas linhas gerais.

Resolução CMN nº 4.557, de 23 de fevereiro de 2017

A Resolução CMN nº 4.557/2017 dispõe sobre a estrutura de gerenciamento de riscos e de capital das instituições financeiras. Ela exige uma estrutura de gerenciamento contínuo e integrado de riscos — abrangendo, entre outros, o risco operacional, no qual se enquadram os riscos decorrentes de falhas de segurança da informação e de sistemas, e o risco associado à terceirização.

Em conjunto, as duas resoluções estabelecem que o risco cibernético não é um assunto isolado da área técnica: ele deve ser identificado, mensurado, avaliado, monitorado, controlado e reportado dentro da estrutura formal de gerenciamento de riscos da instituição, com papéis definidos e prestação de contas à alta administração.

As Resoluções CMN nº 4.893/2021 e nº 4.557/2017 são orientadas a princípios. Elas exigem capacidade demonstrável — conhecer ativos, identificar vulnerabilidades, avaliar riscos, testar controles e responder a incidentes — sem prescrever produtos. A conformidade se prova com processo documentado e evidência verificável. Síntese temática — não substitui a leitura integral das normas.

A quem se aplica. O arcabouço alcança instituições autorizadas a funcionar pelo Banco Central do Brasil — bancos, cooperativas de crédito, instituições de pagamento e demais entidades supervisionadas —, observados o porte e a natureza das operações de cada uma. Outras normas setoriais e a regulamentação aplicável às instituições de pagamento complementam esse conjunto, mas mantêm a mesma lógica: política formal, gestão de risco e demonstração de controle.

2 · REQUISITOS-CHAVE

O que a regulação pede, na prática

Lendo as Resoluções CMN nº 4.893/2021 e nº 4.557/2017 de forma temática, sete áreas concentram as exigências de segurança cibernética que tocam diretamente a superfície de ataque.

Política formal de segurança cibernética

Uma política aprovada pela alta administração, compatível com o porte e o perfil de risco da instituição, com objetivos, diretrizes e responsabilidades de segurança da informação claramente estabelecidos.

Gestão de riscos cibernéticos

O risco cibernético tratado dentro da estrutura de gerenciamento de riscos: identificado, mensurado, avaliado, monitorado e reportado de forma contínua e integrada, com prestação de contas à diretoria.

Plano de resposta a incidentes

Procedimentos e controles para prevenção, detecção e tratamento de incidentes relevantes, com registro, classificação, análise de causa e comunicação aos envolvidos e ao regulador quando aplicável.

Identificação e inventário de ativos

A instituição precisa conhecer os ativos de informação que sustentam suas operações — incluindo os expostos à internet — para poder protegê-los. Não se gerencia o risco do que não se enxerga.

Testes e avaliações periódicas

Avaliação periódica da eficácia dos controles de segurança, identificação de vulnerabilidades e verificação de que as correções aplicadas efetivamente reduziram a exposição.

Nuvem e risco de terceiros

Diligência prévia e monitoramento contínuo de prestadores de serviços de processamento, armazenamento de dados e computação em nuvem — e da cadeia de fornecedores relevante para a operação.

Governança: diretor responsável, revisão anual e transparência

Designação de um diretor responsável pela política de segurança cibernética, revisão e atualização periódica dos documentos e controles, e divulgação ao público das linhas gerais da política. A governança fecha o ciclo: define quem responde, com que frequência se revisa e o que se comunica.

3 · COMO A CSURFACE ATENDE

Da exigência regulatória à capacidade da plataforma

A CSURFACE é uma plataforma de gestão de superfície de ataque externa. Ela não cobre toda a regulação — cobre, com profundidade, a camada de exposição externa, que concentra a origem da maior parte dos vetores de ataque explorados contra instituições financeiras. A seguir, cada área regulatória é mapeada à capacidade correspondente da plataforma.

Identificação e inventário de ativos: descoberta contínua

A regulação exige que a instituição conheça os ativos que sustentam suas operações. Na prática, o que com maior frequência escapa ao controle é o que opera fora do conhecimento da área de segurança: subdomínios abandonados, ambientes de homologação publicados sem controle, ativos de subsidiárias incorporadas, certificados e serviços expostos por equipes sem interface formal com a função de segurança da informação. O inventário oficial registra apenas o que já é conhecido.

A CSURFACE descobre continuamente a superfície de ataque externa da instituição usando Machine Learning para correlacionar domínios, certificados, blocos de rede, serviços e tecnologias e atribuí-los à organização — inclusive shadow IT e a presença digital de fornecedores. O resultado é um inventário externo dinâmico, atualizado de forma automática e contínua à medida que a superfície de exposição evolui — não um levantamento pontual sujeito à deterioração imediata. Cada ativo descoberto é classificado por criticidade, fornecendo à área de risco a base factual necessária para a priorização estruturada do tratamento.

Gestão de riscos cibernéticos: priorização e quantificação

Identificar ativos e vulnerabilidades é condição necessária, mas não suficiente; a regulação exige que o risco seja mensurado, avaliado e reportado. A CSURFACE prioriza as exposições pela exploitabilidade real — cruzando threat intelligence, exploits ativos e catálogos de exploração ativa com a criticidade de cada ativo. O resultado é uma fila de risco ordenada e objetivamente justificável, que substitui o volume indistinto de achados por uma agenda de tratamento estruturada.

Para a estrutura de gerenciamento de riscos exigida pela Resolução CMN nº 4.557/2017, a CSURFACE traduz a exposição externa em quantificação de risco em valor financeiro — métrica assimilável pela diretoria e pela área de risco, diretamente integrável ao reporte formal de risco operacional. O risco cibernético passa a ser expresso em grandeza comparável aos demais riscos da instituição, permitindo decisões de tratamento com base em critérios objetivos e hierarquizados.

Testes e avaliações periódicas: validação de exploitabilidade

A regulação espera avaliação periódica da eficácia dos controles. A CSURFACE opera de forma contínua — não em ciclos anuais — e, onde há módulos de teste disponíveis, valida ativamente a exploitabilidade de uma exposição, confirmando se ela é de fato atacável. Nos demais casos, a avaliação é por detecção passiva, com correspondência de versão e configuração. Quando uma correção é aplicada, a plataforma reverifica o ativo e confirma se o caminho de ataque foi efetivamente fechado.

Essa validação contínua complementa — não substitui — os testes de intrusão e as avaliações formais que a instituição contrata. Ela reduz a janela sem monitoramento entre avaliações periódicas, período em que novas exposições podem surgir e permanecer sem tratamento.

Nuvem e risco de terceiros: cadeia de fornecedores

A Resolução CMN nº 4.893/2021 dedica atenção específica à contratação de serviços em nuvem e à terceirização relevante. A CSURFACE monitora a superfície de ataque externa de fornecedores e prestadores da cadeia digital, identificando exposições em terceiros que podem se converter em risco para a instituição contratante. Para serviços em nuvem, a descoberta identifica ativos e serviços publicados em provedores de nuvem e sinaliza configurações expostas observáveis externamente.

Cabe delimitar o escopo com precisão: a CSURFACE avalia o terceiro a partir da sua exposição externa observável. A diligência contratual, a avaliação de cláusulas, a verificação de localização de dados e a auditoria do prestador permanecem processos da instituição — a plataforma fornece o componente técnico de monitoramento contínuo que sustenta e documenta esses processos.

Plano de resposta a incidentes: monitoramento de credenciais vazadas e alerta

Um plano de resposta a incidentes eficaz depende de detecção precoce. A CSURFACE monitora o vazamento de credenciais corporativas em fontes públicas e na deep e dark web, alertando quando dados de acesso da instituição ou de seus colaboradores aparecem expostos — frequentemente o primeiro indício de um comprometimento iminente.

Quando uma exposição crítica é descoberta, a plataforma emite alertas priorizados com contexto e sugestão de correção, alimentando o processo de resposta da instituição. A CSURFACE fornece o gatilho e a evidência técnica; a estrutura de resposta — equipe, procedimentos, comunicação ao regulador e análise de causa — é operada pela instituição conforme a sua política.

Política e governança: trilha auditável de evidências

A política formal, a designação do diretor responsável e a revisão periódica são atos de governança que cabem à instituição. O que a CSURFACE oferece é o insumo factual que dá substância a essa governança: um registro contínuo e datado da superfície de ataque, das exposições identificadas, das priorizações e da evolução da remediação ao longo do tempo. A revisão anual da política passa a se fundamentar em dados objetivos sobre como a exposição externa da instituição evoluiu no período, com evidência factual.

Mapa de cobertura

Área regulatóriaCoberturaComo a CSURFACE contribui
Identificação e inventário de ativos Plataforma Descoberta contínua da superfície externa por Machine Learning — domínios, serviços, nuvem, shadow IT — com classificação automática de criticidade. Cobre o que é exposto à internet; o inventário interno da rede permanece com a instituição.
Gestão de riscos cibernéticos Compartilhada Priorização por exploitabilidade real e quantificação do risco em valor financeiro, prontos para o reporte de risco operacional. A integração à estrutura formal de risco e as decisões de tratamento são da instituição.
Testes e avaliações periódicas Plataforma Avaliação contínua da superfície externa; validação ativa de exploitabilidade onde há módulos disponíveis e detecção passiva nos demais casos; reverificação após correção. Complementa, não substitui, o pentest formal.
Nuvem e risco de terceiros Compartilhada Monitoramento contínuo da superfície externa de fornecedores e de ativos em nuvem. A diligência contratual, a auditoria e a avaliação jurídica do prestador são processos da instituição.
Plano de resposta a incidentes Compartilhada Monitoramento de credenciais vazadas e alertas priorizados de exposições críticas — gatilho e evidência para a resposta. A operação do plano, a equipe e a comunicação ao regulador são da instituição.
Política formal de segurança cibernética Compartilhada Fornece dados contínuos da exposição externa que dão substância e base factual à política. A redação, a aprovação e a manutenção da política são da instituição.
Governança, revisão e transparência Compartilhada Trilha auditável e datada de exposições e remediações, útil à revisão periódica e à prestação de contas. A designação do diretor responsável e a divulgação pública são atos da instituição.
Sobre este mapa.  Plataforma indica áreas em que a CSURFACE entrega a capacidade técnica diretamente, sobre a superfície externa. Compartilhada indica áreas em que a plataforma fornece dados, evidência e capacidades, mas a conformidade depende de processos, decisões e governança da instituição. A CSURFACE apoia a conformidade com as Resoluções CMN nº 4.893/2021 e nº 4.557/2017 — não a confere automaticamente e não substitui a estrutura interna de risco, compliance e segurança da informação.

4 · EVIDÊNCIA PARA A FISCALIZAÇÃO

Conformidade se demonstra com evidência

A supervisão do Banco Central exige evidência verificável — não declarações de intenção. O regulador espera registros que demonstrem que os controles existem, operam de forma eficaz e são periodicamente revisados. A CSURFACE foi projetada para produzir esse registro de forma contínua, datada e exportável.

Inventário externo datado

Um registro contínuo da superfície de ataque externa, com data de descoberta de cada ativo — demonstra que a instituição mantém visibilidade atualizada sobre o que expõe à internet.

Histórico de exposições

Cada exposição identificada fica registrada com severidade, criticidade do ativo e fundamento da priorização — uma trilha que comprova que o risco foi identificado e avaliado, não ignorado.

Evidência de remediação

A reverificação após correção registra quando uma exposição foi aberta e quando foi efetivamente fechada — prova objetiva de que o ciclo de tratamento funciona.

Validação de exploitabilidade

Onde há validação ativa, o registro mostra que a avaliação confirmou — ou descartou — a exploitabilidade real, sustentando decisões de risco com base técnica.

Monitoramento de terceiros

Registros da exposição externa de fornecedores relevantes, que dão substância ao monitoramento contínuo de prestadores exigido para serviços em nuvem e terceirização.

Relatórios exportáveis

Visões executivas e técnicas exportáveis — para a revisão anual da política, o reporte de risco operacional à diretoria e o atendimento a demandas da supervisão.

A CSURFACE produz a evidência técnica relativa à exposição externa. Cabe à instituição organizá-la dentro do seu programa de conformidade, articulá-la com os demais controles internos e apresentá-la à fiscalização no contexto da sua política e da sua estrutura de gerenciamento de riscos.

5 · CONCLUSÃO

A ferramenta certa para a camada certa

As Resoluções CMN nº 4.893/2021 e nº 4.557/2017 não prescrevem uma tecnologia específica — exigem capacidade demonstrável. Exigem que a instituição conheça o que expõe à internet, mensure o risco que isso representa, teste seus controles, monitore seus fornecedores e responda a incidentes, tudo dentro de uma estrutura de governança com papéis definidos e prestação de contas à alta administração.

A maior parte dessa exigência se materializa na superfície de ataque externa — e é precisamente nela que a CSURFACE atua com profundidade. Descoberta contínua de ativos por Machine Learning, priorização por exploitabilidade real, validação, monitoramento de credenciais vazadas, vigilância da cadeia de fornecedores e quantificação do risco em valor financeiro: cada uma dessas capacidades responde diretamente a uma área da regulação e produz a evidência auditável que a fiscalização espera.

A CSURFACE não promete conformidade automática, e nenhuma plataforma responsável o faria. A política, a governança, a resposta a incidentes e os controles internos permanecem sob responsabilidade da instituição. O que a CSURFACE oferece é a base técnica mais sólida disponível para a camada externa: visibilidade contínua da superfície de exposição, risco quantificado em termos financeiros e uma trilha de evidências estruturada para a supervisão. Para a instituição regulada pelo Banco Central, esses elementos representam a diferença entre apresentar declarações de conformidade e demonstrá-la com dados verificáveis.

PERGUNTAS FREQUENTES

FAQ

A CSURFACE garante conformidade com a regulação do Banco Central?

Não. Nenhuma ferramenta confere conformidade automática. A CSURFACE fornece capacidades e evidência auditável que apoiam a instituição no atendimento às Resoluções CMN nº 4.893/2021 e nº 4.557/2017 — especificamente na camada de exposição externa. A política, a governança e os controles internos permanecem responsabilidade da instituição.

A CSURFACE cobre toda a regulação de segurança cibernética?

Não. A CSURFACE é uma plataforma de gestão de superfície de ataque externa. Ela cobre, com profundidade, a descoberta de ativos expostos, a priorização de risco, a validação de exploitabilidade, o monitoramento de credenciais e de terceiros. Controles internos, segurança de endpoints, processos de RH e governança não fazem parte do seu escopo.

A CSURFACE substitui os testes de intrusão exigidos?

Não — complementa. A CSURFACE opera de forma contínua e reduz a janela de exposição não monitorada entre avaliações formais, validando a exploitabilidade da superfície externa onde há módulos disponíveis. Os testes de intrusão periódicos continuam sendo uma prática recomendada e necessária para a conformidade plena.

Como a CSURFACE ajuda na revisão anual e na prestação de contas?

A plataforma mantém um registro contínuo e datado da superfície de ataque, das exposições e da remediação. Esse histórico fornece base factual para a revisão periódica da política, para o reporte de risco operacional à diretoria e para o atendimento a demandas da supervisão.

A CSURFACE atende instituições de pagamento, além de bancos?

Sim. As exigências de política de segurança cibernética e de gestão de risco alcançam instituições autorizadas pelo Banco Central de forma ampla, observados porte e perfil. A superfície de ataque externa precisa ser gerida em qualquer instituição que opere serviços digitais.

Veja a sua exposição externa antes da fiscalização.

Informe o domínio da sua instituição e receba uma análise preliminar da superfície de ataque externa — o ponto de partida factual para sustentar a conformidade com as Resoluções CMN nº 4.893/2021 e nº 4.557/2017.

Receber análise preliminar