Degemer / Blog / General / Resoluções BCB 538 e CMN 5274: como estar em conformidade a partir das ferramentas da ManageEngine?

Resoluções BCB 538 e CMN 5274: como estar em conformidade a partir das ferramentas da ManageEngine?

Com a rápida digitalização do mercado financeiro e serviços relacionados, as ameaças também cresceram exponencialmente. Por isso, o Banco Central do Brasil (BCB) e o Conselho Monetário Nacional (CMN) publicaram duas novas resoluções: BCB 538 e CMN 5.274.

Elas marcam um esforço das autoridades financeiras do país para garantir a segurança em transações e outros serviços, elevando os padrões de resiliência cibernética para o setor.

No artigo de hoje, vamos entender quais são as principais mudanças e como a ManageEngine pode te ajudar a atingir conformidade. Continue lendo!

Panorama geral da cibersegurança no mercado financeiro

O percentual de golpes digitais ou tentativas de fraude aumentou de 33% em 2024 para 38% em 2025, segundo a pesquisa Radar Febraban. Os golpes mais comuns são: clonagem do cartão de crédito, engenharia social por aplicativos de mensagem e ligações fraudulentas de centrais de banco.

Esse aumento deixa claro que as instituições financeiras ainda têm processos de segurança falhos, porque criminosos estão, cada vez mais, conseguindo dados sensíveis de clientes dessas instituições.

O Banco Central registrou, até outubro de 2025, cerca de 68 ocorrências envolvendo invasão ao sistema de instituições financeiras do país; em comparação, foram registradas 24 ocorrências em 2023.

Em dois anos, houve uma exploração de vulnerabilidades em todos os níveis do setor, o que deixa claro que os criminosos possuem as ferramentas e o conhecimento necessário para burlar medidas de seguranças que, até então, eram consideradas robustas.

Por que as resoluções BCB 538 e CMN 5274 são importantes?

A última resolução para regulamentação da segurança cibernética em instituições financeiras foi publicada em 2021 — a resolução 85 do BCB. A atualização sinaliza o comprometimento do Banco Central do Brasil para elevar o nível de segurança nesse setor, que é o mais visado entre os criminosos.

As principais mudanças foram feitas para aprimorar a política de segurança e estabelecer novos requisitos para contratação de serviços para processamento de dados e computação em cloud. A nova resolução é voltada para:

Instituições de pagamento;
Sociedades corretoras de títulos e valores mobiliários;
Sociedades distribuidoras de títulos e valores mobiliários;
Sociedades corretoras de câmbio.

Já a resolução CMN 5.274, altera e endurece as diretrizes da resolução CMN 4.893 — também publicada em 2021. Ela é voltada para:

Bancos;
Cooperativas de crédito;
Administradoras de consórcio.

Os novos 14 requisitos do BCB 538/2025 e CMN 5.274/2025

De maneira geral, as novas normas estabelecem 14 controles mínimos e obrigatórios, que devem estar integrados à política de segurança de todas as instituições do setor financeiro, sejam elas bancos ou sociedades corretoras de câmbio.

São eles:

1. Autenticação robusta

É a exigência de mecanismos de autenticação fortes, como a autenticação multifator (MFA), para acessar ambientes críticos. O objetivo é garantir a identidade do usuário que está tentando acessar esses ambientes, evitando roubo de credenciais.

Por exemplo: se uma aplicação interna não possui uma autenticação robusta, isso facilita o acesso indevido de agentes internos em ambientes que eles não possuem autorização.

A solução ADSelfService Plus da ManageEngine inutiliza as credenciais de AD roubadas em ataques bem-sucedidos, por conta dos seus fortes fatores de autenticação, diminuindo a superfície de vulnerabilidade.

2. Criptografia efetiva

A falta de mecanismos de criptografia em ambientes financeiros digitais abre portas para criminosos explorarem falhas de software e conseguirem extrair informações sensíveis para realizar transações ilícitas.

Os golpes mais comuns são:

Interceptação de dados em trânsito, no qual os criminosos conseguem "escutar" as comunicações entre usuário e o banco. Sem criptografia de ponta a ponta, eles conseguem roubar senhas e tokens de acesso;
Exploração de credenciais administrativas em bancos de dados ou em ferramentas de gestão, permitindo que criminosos utilizem credenciais internas para movimentar dinheiro de maneira irregular.

Para proteger a rede de instituições financeiras, o Key Manager Plus gerencia o ciclo de vidas de chaves SSH e certificados SSL/TLS, fazendo a descoberta de certificados em uso e gerenciando renovações para evitar expirações. A ferramenta também realiza a rotação de chaves, garantindo o uso de algoritmos criptográficos fortes e atualizados.

3. Prevenção e Detecção de Intrusão (IDS/IPS)

O sistema Intrusion Detection System (IDS) é uma ferramenta de segurança que monitora o tráfego da rede e de dispositivos em busca de atividades maliciosas ou suspeitas, gerando um alerta para a equipe de TI.

Já o Intrusion Prevention System (IPS) analisa o pacote de dados de uma rede em tempo real, bloqueando ou mitigando ameaças antes que elas atuem.

Em instituições financeiras, esses sistemas são indispensáveis para impedir que invasores acessem a rede e extraiam dados sensíveis, por meio da aplicação do ransomware.

O EventLog Analyzer, da ManageEngine, coleta automaticamente logs de IDS/IPS e os armazena em um único local para facilitar o monitoramento de movimentos suspeitos. A ferramenta também envia alertas automatizados sempre que uma atividade maliciosa for detectada.

4. Data Loss Prevention (DLP)

O objetivo principal de adotar uma ferramenta de Data Loss Prevention é identificar, classificar e monitorar dados sensíveis, como números de conta bancárias ou cartões de crédito, e bloquear o compartilhamento indevido.

Com o Endpoint Central DLP, por exemplo, é possível descobrir onde dados confidenciais estão armazenados, realizar a conteinerização e impedir que sejam compartilhados via cloud.

Com ele, instituições financeiras conseguem bloquear transferências de dados feitas fora da rede corporativa, como envio por ferramentas de terceiros ou cópia não autorizada para dispositivos USB.

5. Proteção contra softwares maliciosos

Um software malicioso, também conhecido como malware, é aquele que foi criado com o objetivo de invadir, danificar ou assumir o controle de sistemas de maneira indevida. É muitas vezes disfarçado como uma aplicação comum, mas que pode causar danos imensos às instituições financeiras.

Dentro do portfolio da ManageEngine, o módulo Malware Protection Plus, do Endpoint Central, utiliza Machine Learning para analisar comportamentos maliciosos dentro da rede e detectar malwares que podem ter passado despercebidos.

A ferramenta também isola dispositivos infectados automaticamente, impedindo a disseminação dentro da rede.

6. Rastreabilidade de logs

Os logs são registros de todas as atividades, erros e eventos de um sistema, aplicação ou servidor, armazenados localmente e muito úteis para auditorias. Para o setor financeiro, a rastreabilidade de logs é fundamental para identificar eventos anômalos dentro do sistema que podem indicar fraude, invasores ou ameaças internas.

O Log360 da ManageEngine permite a coleta desses registros a partir de várias fontes, mas os unifica em um dashboard para facilitar o acompanhamento em tempo real, além de fazer a correlação automatizada de eventos para identificar ameaças.

7. Gestão de cópias de segurança

Imagine o prejuízo que é para um banco perder seu histórico de informação sobre transferências, saques, compras ou até mesmo dados de acesso de um cliente.

Manter backups de dados trata-se de garantir a resiliência operacional e a continuidade dos negócios em cenários de desastre ou ataques severos.

É aqui que entra o Recovery Manager Plus: a solução da ManageEngine que permite automatizar cópias de segurança granulares e completas de ambientes críticos como o Active Directory (AD).

Importante destacar que esse backup não pode ser uma "caixa preta", isto é: ele deve ser passível de análise e auditorias para entender o motivo da perda de dados de maneira brusca.

8. Avaliação e correção de vulnerabilidades

O Banco Central exige que instituições financeiras não apenas identifiquem suas brechas técnicas, mas que também possuam um processo contínuo, ágil e documentado de remediação para diminuir a superfície de ataque.

Nesse ponto, a ManageEngine pode ajudar com o Vulnerability Manager Plus, que pode ser integrado com o Endpoint Central. A solução escaneia toda a rede em busca de vulnerabilidades e as categoriza de acordo com a prioridade, além de oferecer hardening de servidor web para aplicar políticas rigorosas de acesso.

9. Controles de acesso

Instituições financeiras precisam garantir a aplicação do princípio do privilégio mínimo, no qual os usuários têm somente as permissões estritamente necessárias para realizar suas funções.

Essa exigência ajuda a reduzir o vazamento de dados ou casos de engenharia social provocados por agentes internos, ou seja, aqueles que já possuem acesso à rede do banco.

Nesse sentido, a ManageEngine oferece soluções completas de Gestão de Identidade e Acesso (IAM) e Gestão de Acesso Privilegiado (PAM). São elas:

PAM360: evita a exploração de acessos privilegiados a partir do acesso Just-in-Time, concedendo permissões elevadas apenas por um determinado período de tempo. Também permite o acesso remoto seguro para usuários privilegiados iniciarem conexões diretas sem o uso de senhas;
ADManager Plus: automatiza todo o ciclo de vida do funcionário (onboarding, mudança de cargo e desligamento). Quando um colaborador é demitido, a ferramenta pode revogar instantaneamente todos os seus acessos e permissões no Active Directory e em sistemas integrados, evitando o risco de "contas órfãs" ativas.

10. Hardening de ativos de tecnologia

Para o BCB, sistemas operacionais, servidores e dispositivos de rede não podem operar com configurações padrão ("out-of-the-box"), que geralmente vêm com portas desnecessárias abertas e senhas padrão.

Cada instituição deve definir um conjunto mínimo de configurações de segurança (baseline) para cada tipo de ativo, aplicar essa configuração de forma padronizada e monitorar continuamente desvios de conformidade ao longo do tempo.

O OpManager Nexus é a solução ideal para hardening de ativos pois equipamentos de rede (firewall, switches e roteadores) são componentes críticos da infraestrutura, uma vez que suportam o tráfego de sistemas e transações sensíveis, exigindo controle rigoroso de configuração e monitoramento contínuo.

O módulo Network Configuration Manager (NCM) permite realizar ajustes em massa, monitorar qualquer mudança em tempo real e alertar a equipe de TI em caso de desvio de configuração.

11. Proteção de rede

A regulação exige que as instituições financeiras criem barreiras digitais para isolar ambientes críticos (como o ecossistema do Pix), e sejam capazes de identificar anomalias ou desvios de comportamento no tráfego de dados.

Para isso, o NetFlow Analyzer (geralmente integrado ao OpManager Nexus) surge como resposta: uma solução de monitoramento de tráfego de rede unificado que coleta, analisa e gera relatórios sobre quem está usando a largura de banda e para o quê.

A solução também oferece recursos de análise forense e visibilidade de fluxo, auxiliando na identificação de atividades suspeitas, anomalias operacionais e possíveis indicadores de comprometimento.

Também é possível analisar desempenho de aplicações, dispositivos, interfaces, IPs, rede sem fio, links WAN, SSIDs e e outros componentes críticos da infraestrutura.

12. Gestão de certificados digitais

Um certificado digital é como um documento de identidade de um servidor, site ou aplicação. Ele serve para provar que aquele servidor web realmente pertence ao seu banco, impedindo conexões com servidores falsos que podem clonar seus dados.

Isso acontece por meio do certificados SSL/TLS, que garante uma conexão segura entre o usuário e o servidor que hospeda uma aplicação (neste caso, o aplicativo celular do banco). Na ManageEngine, o Key Manager Plus gerencia do ciclo de vida de chaves SSH e certificados SSL/TLS, garantindo a criptografia de canais de comunicação com o usuário.

13. Requisitos de segurança para integração por Interfaces de Programas de Aplicações (APIs)

O Open Finance é um sistema regulamentado pelo Banco Central que permite a comunicação entre instituições financeiras para transferir dados de um cliente (histórico de compra, investimentos e transações) de maneira segura. Para isto, são usadas as Interfaces de Programa de Aplicações (APIs).

O CMN e o BCB exigem que essas integrações eletrônicas possuam restrições rígidas de acesso, autenticação forte e sistema robusto contra vazamento de credenciais que ligam uma aplicação a outra.

O elo mais fraco dessa corrente, no entanto, ocorre quando desenvolvedores deixam chaves de API expostas em código-fonte de forma fixa (hardcoded).

Para isso, a ManageEngine posiciona o PAM360 como solução, uma ferramenta de IAM que fornece credenciais temporárias para as APIs e aumenta a segurança da comunicação de máquina para máquina.

14. Ações de inteligência no ambiente cibernético

Nos últimos anos, as empresas entenderam que ter uma postura proativa é melhor do que uma reativa — principalmente quando falamos de cibersegurança. Por que esperar o ataque começar se é possível mitigar as ameaças antes que elas invadam sua rede?

Nesse sentido, o módulo de Inteligência de ameaças do Log360 coleta dados contextualizados e organizados relacionados a ciberameaças conhecidas ou emergentes.

Ao correlacionar esses dados externos com os logs do banco, o sistema é capaz de identificar instantaneamente se uma máquina interna fez contato com um IP associado a um ataque recente de ransomware, por exemplo. Isso permite que a equipe de TI aja proativamente para isolar a ameaça.

Pentest torna-se obrigatório

Além dos 14 requisitos obrigatórios compartilhados pelo BCB 538 e CMN 5.274, a nova regulamentação do Banco Central do Brasil institucionalizou os chamados pentests (ou testes de intrusão).

O Art.22 do BCB538 torna os testes obrigatórios para validar a infraestrutura da segurança cibernética, rastreando vulnerabilidades e implementando patches que diminuam a superfície de ataque. A partir de agora, os testes de intrusão também devem ser auditáveis.

Eles devem ser realizados por uma empresa terceira e especializada, com uma frequência mínima anual e devem ser documentados formalmente.

Conclusão

As mudanças do Banco Central e do Conselho Monetário Nacional destacam como a cibersegurança é um pilar fundamental para qualquer mercado. No setor financeiro, onde acontecem movimentações de grandes quantias de dinheiro, o cuidado deve ser redobrado.

Ao exigir criptografia, gestão de certificados, rastreabilidade de logs e inteligência de ameaças, entre outras, as resoluções 538 e 5274 elevam o padrão de maturidade digital esperado das instituições que lidam com um alto volume de dados sensíveis.

A adequação é obrigatória por compliance, portanto, revise seus processos o quanto antes. Conte com as soluções apresentadas aqui da ManageEngine para aumentar o nível de segurança do seu ambiente antes que seja tarde demais.

Nota: Encontre a revenda da ManageEngine certa. Entre em contato com a nossa equipe de canais pelo e-mail latam-sales@manageengine.com.

Importante: a ManageEngine não trabalha com distribuidores no Brasil.