CG One

Blog CG One

Insights valiosos para ajudar a proteger o seu negócio.

Voltar

Nova Exigência do BACEN (Resolução BCB 498): Seguro Cibernético Agora é Obrigatório para PSTIs. Veja Como se Adequar.

  • 5 de novembro de 2025

A segurança do Sistema Financeiro Nacional (SFN) acaba de ganhar um novo e robusto pilar. Com a publicação da Resolução BCB nº 498/2025 pelo Banco Central do Brasil (BACEN), os Provedores de Serviços de Tecnologia da Informação (PSTIs) que acessam a Rede do Sistema Financeiro Nacional (RSFN) passam a ter uma série de novas obrigações. Entre elas, uma se destaca pela sua urgência e impacto direto na gestão de riscos: a contratação obrigatória de seguro cibernético. 

 

Este artigo detalha o que a nova regulamentação exige, quem é afetado e, crucialmente, como os PSTIs podem se adequar a essa nova realidade, transformando uma exigência regulatória em uma vantagem competitiva. 

O Contexto da Resolução BCB 498: Por Que o BACEN Agiu?

O BACEN, como autoridade monetária e reguladora, tem o papel fundamental de zelar pela estabilidade e solidez do SFN. Em um cenário de crescente digitalização e sofisticação dos ataques cibernéticos, a cadeia de suprimentos de tecnologia, os PSTIs tornou-se um vetor de risco crítico. Incidentes de segurança em um único provedor podem gerar um efeito cascata, comprometendo diversas instituições financeiras e a própria RSFN. 

A Resolução BCB 498 visa mitigar esse risco de forma proativa, elevando o padrão de segurança e governança dos PSTIs. A norma estabelece os requisitos, procedimentos e condições para o credenciamento desses provedores, garantindo que apenas empresas com a devida capacidade técnica, operacional e financeira possam atuar no ambiente do SFN. 

PSTI e a Obrigatoriedade do Seguro Cibernético

O ponto central da Resolução para a gestão de riscos é a exigência de proteção financeira contra incidentes. O Art. 3º, inciso XIII, da Resolução BCB 498 é claro ao determinar que o PSTI deve comprovar a contratação de: 

“Seguro de responsabilidade civil e de riscos operacionais, incluindo incidentes de fraude e segurança cibernética, com cobertura mínima a ser definida pelo Banco Central.”  

Esta exigência não se limita a uma apólice genérica. Ela exige uma cobertura específica para riscos cibernéticos, reconhecendo que a tecnologia é o principal ponto de falha a ser coberto. 

O que o Seguro Obrigatório Deve Cobrir?

Embora o BACEN ainda vá definir a cobertura mínima exata em ato complementar, a natureza da exigência aponta para a necessidade de apólices robustas que cubram: 

  •  Responsabilidade Civil 
    Danos a terceiros (instituições financeiras e clientes) decorrentes de falhas ou incidentes de segurança no PSTI. 

  • Riscos Operacionais Prejuízos financeiros diretos do PSTI causados por falhas de sistemas, processos ou pessoas, incluindo interrupção de serviços. 

  • Incidentes Cibernéticos Custos de resposta a incidentes (forense, notificação, restauração de dados), multas regulatórias (LGPD), extorsão cibernética e, principalmente, perdas financeiras decorrentes de ataques. 

  • Fraudes
    Perdas resultantes de atos fraudulentos internos ou externos que comprometam a segurança dos dados ou sistemas.  

 

A contratação do seguro cibernético é, portanto, um requisito de credenciamento. Sem a apólice adequada, o PSTI não poderá operar ou manter seu credenciamento junto ao Banco Central. 

Como se adequar à Resolução BCB 498:

A adequação à Resolução BCB 498 vai muito além da simples contratação de um seguro. É um processo que exige uma transformação na governança e na infraestrutura de segurança do PSTI. 

 

  1. Fortalecimento da Governança e Liderança

A Resolução exige a designação de diretores específicos com experiência comprovada para as seguintes áreas: 

  • Segurança da Informação e Cibernética: Responsável por toda a política de segurança e defesa contra-ataques. 
  • Riscos e *Compliance: Responsável por monitorar a conformidade regulatória e a gestão de riscos operacionais. 
  • Gestão de Crises Operacionais: Responsável por elaborar e testar o Plano de Continuidade de Negócios (PCN) e gerenciar a resposta a incidentes. 

 

  1. Investimento em Segurança e Certificações

O PSTI deve possuir uma política robusta de segurança da informação e cibernética, que inclui: 

  • Certificação Internacional: Obter uma certificação de segurança da informação reconhecida internacionalmente (como ISO 27001) ou asseguração independente aceita pelo BACEN. 
  • Controles Técnicos: Implementação de criptografia, autenticação multifator (MFA), controles de acesso, segregação de ambientes, prevenção contra vazamento de dados, gestão de certificados digitais, testes de intrusão periódicos e monitoramento contínuo. 

 

  1. Contratação do Seguro Obrigatório

A etapa final e mais específica é a contratação do seguro responsabilidade civil riscos operacionais PSTI. 

  • Avaliação de Risco: Antes de buscar a apólice, o PSTI deve realizar uma avaliação de risco detalhada para determinar o valor de cobertura ideal, considerando seu volume de operações, o risco de interrupção de serviço e o potencial de danos a terceiros. 
  • Cobertura Mínima: Acompanhar de perto os atos complementares do BACEN para garantir que a apólice atenda ao valor de cobertura mínima exigido. 
  • Apólice Abrangente: Buscar um seguro que cubra tanto a responsabilidade civil (danos a terceiros) quanto os custos de resposta a incidentes (primeira parte), como honorários de advogados, custos de perícia forense e restauração de sistemas. 

Transformando Risco em Confiança

A Resolução BCB 498 e a obrigatoriedade do seguro cibernético representam um marco na segurança cibernética sistema financeiro brasileiro. Para os PSTIs, o prazo de adequação é apertado, mas a conformidade é inegociável. 

 

Ao se adequar, o PSTI não apenas cumpre uma exigência legal, mas também envia uma mensagem clara ao mercado: a empresa leva a sério a proteção dos dados e a continuidade dos serviços, tornando-se um parceiro mais confiável para as instituições financeiras. 

Como a CG One pode ajudar o seu negócio

A conformidade com a nova exigência do BACEN vai além da contratação do seguro: envolve controle contínuo de riscos, governança, visibilidade e capacidade de resposta. A CG One apoia PSTIs com um portfólio completo de segurança alinhado às exigências técnicas e operacionais do regulador: 

Managed Security Services (MSS) 

A Resolução exige monitoramento contínuo, resposta a incidentes, gestão de vulnerabilidades e visibilidade sobre riscos — algo que depende de operação especializada, não só de ferramentas. A CG One conta com um portfólio completo de serviços gerenciados: 

🔹 Monitoring & Threat Detection 
🔹 Managed Detection & Response (MDR) 
🔹 Gestão de dispositivos (TSS) 
🔹 Threat Intelligence & Take Down 
🔹 Vulnerability Management 
🔹 Cyber Risk Management 
🔹 Network Operations Center (NOC) 
🔹 Hardware as a Service (HaaS) 

 

Infrastructure Security 

Do firewall à segmentação de rede: ajudamos a criar uma base resiliente contra ataques, interrupções e movimento lateral, cobrindo redes locais, nuvem, IoT/OT e ambientes híbridos. 

 

Identity & User Security 

Criamos barreiras contra abuso de credenciais, fraude e acesso indevido, aplicando Zero Trust na prática: autenticação forte, controle de privilégios, proteção de e-mail, dados e endpoints. 

 

AppSec & DevOps Security 

Aplicações, APIs e pipelines também precisam estar em conformidade: segurança no ciclo de desenvolvimento, proteção de APIs, containers, infraestrutura como código e gestão de certificados. 

 

Entre em contato com nossos especialistas 

Leia outros artigos

A evolução da marca Compugraf

Quem somos

Soluções

Serviços (MSS)

Conteúdos

Instagram Linkedin-in Youtube
  • Entre em contato:
  • Av. Angélica, 2346, 13º andar, Consolação São Paulo - SP | CEP 01228-200
  • Central de Suporte
    +55 (11) 3323-3322
    +55 (11) 3003-4747
  • Central de Atendimento
    +55 (11) 3323-3323
  • Ouvidoria CG One
    ouvidoria@cg-one.com