Ir para o conteúdo principal
Resolução BCB 4.893/2021

Pentest para requisitos do BACEN

A Resolução BCB 4.893/2021 e a Circular 3.909 do Banco Central do Brasil estabelecem requisitos de segurança cibernética para instituições financeiras, fintechs, instituições de pagamento e participantes do Open Finance. O pentest é parte essencial do programa de testes de segurança exigido.

Base regulatória

O que o BACEN exige em segurança cibernética

A Resolução BCB 4.893/2021 determina que as instituições autorizadas a funcionar pelo Banco Central devem implementar uma política de segurança cibernética que inclua, entre outros requisitos, a realização de testes e varreduras periódicos para detecção de vulnerabilidades. O inciso VI do art. 4º exige especificamente "testes e varreduras em busca de vulnerabilidades" como parte do programa de segurança cibernética.

Além disso, a Circular 3.909/2018 (ainda vigente para IPs e reguladas pelo CMN) estabelece requisitos similares. Para participantes do Open Finance, a estrutura de segurança exige testes de penetração nas APIs e interfaces de integração.

Requisitos específicos

Artigos e incisos aplicáveis ao pentest

Art. 4º, VI
Testes e varreduras periódicos
Exige a realização de testes e varreduras em busca de vulnerabilidades nos ativos de informação como parte obrigatória da política de segurança cibernética.
Art. 4º, VII
Proteção de dados sensíveis
Mecanismos de proteção contra acesso, cópia, alteração ou destruição não autorizados de dados sensíveis. O pentest valida a efetividade desses mecanismos.
Art. 4º, IX
Rastreabilidade de informações
Requisito de rastreabilidade que inclui logs e trilhas de auditoria. O pentest verifica se controles de logging podem ser contornados por atacantes.
Art. 6º
Plano de ação e resposta a incidentes
O plano deve contemplar iniciativas para adequação da estrutura de segurança cibernética. Resultados do pentest alimentam diretamente esse plano com vulnerabilidades concretas a remediar.
Art. 7º
Relatório anual de revisão
Relatório anual sobre o plano de segurança deve incluir resultados dos testes de vulnerabilidade realizados no período, com as ações corretivas adotadas.
Open Finance
APIs e interfaces de integração
Participantes do Open Finance devem realizar testes de segurança nas APIs de compartilhamento de dados. O pentest de API cobre os requisitos técnicos do Manual de Segurança do Open Finance.
Escopo específico

Áreas prioritárias para instituições financeiras

Core bancário e transações

Testes de lógica de negócio nas funcionalidades financeiras: transferências, pagamentos PIX, TEDs, cobranças. Validação de limites, autorizações e reversões.

APIs do Open Finance

Pentest nas APIs de compartilhamento de dados (consentimento, dados cadastrais, transacionais, produtos e serviços) conforme específicações do Open Finance Brasil.

Autenticação e acesso

Avaliação de MFA, gestão de sessões, políticas de senha, reset de credenciais e autenticação adaptativa em canais digitais (internet banking, mobile banking).

Infraestrutura crítica

Segmentação de redes, proteção de servidores de banco de dados, controles de acesso privilegiado (PAM) e segurança de ambientes de processamento.

Canal mobile

Aplicativos de mobile banking: armazenamento de credenciais, comunicações SSL/TLS, proteção contra engenharia reversa, detecção de root/jailbreak.

Fornecedores terceirizados

A Resolução 4.893 exige gestão de riscos de terceiros. O pentest inclui avaliação de integrações com processadoras, gateways e fintechs parceiras.

Escopo de pentest

Tipos de pentest para atender à regulação do Banco Central

As instituições financeiras sujeitas à Resolução BCB 4.893/2021 devem cobrir todos os sistemas críticos com testes de penetração.

Pentest Web

Internet banking, plataformas de investimento e portais do cliente. Alta criticidade para dados financeiros.

Pentest Mobile

Aplicativos de banco digital, fintechs e carteiras digitais. OWASP MASVS e testes de lógica de negócio.

Pentest API

APIs do Open Finance, PIX e integrações B2B. Autenticação OAuth2, controle de acesso e vazamento de dados.

Pentest de Infraestrutura

Core banking, servidores de autenticação e redes internas de instituições reguladas pelo BACEN.

Pentest Cloud

Ambientes cloud de bancos digitais e fintechs. Configuração de IAM, segmentação e criptografia.

Red Team

Para instituições com maior maturidade, exercício de simulação avançada exigido por algumas normas do BACEN.

Atendemos especificamente fintechs e bancos e instituições financeiras com relatórios formatados para os requisitos do BACEN.

Pentest para atender a Resolução BCB 4.893/2021

Relatório com rastreabilidade para os requisitos do Banco Central e documentação para o relatório anual de revisão.

Solicitar orçamento