Última atualização: 3 de julho de 2026
Principais lições deste artigo
-
Operar um banco digital no Brasil exige conformidade rigorosa com a Resolução BCB nº 85/2021 e normas complementares de segurança da informação.
-
Atender aos controles mínimos obrigatórios exige criptografia TLS 1.2 ou superior, MFA, SIEM 24×7, pentests anuais e um plano de continuidade de negócios testado.
-
Manter uma infraestrutura de TI adequada requer alta disponibilidade, com SLA igual ou superior a 99,5%, segregação de ambientes e conexão homologada à RSFN e ao SPB.
-
Evitar erros como contas-bolsão, falta de segregação de ambientes e relatórios manuais reduz o risco de multas e de suspensão da autorização.
-
Acelerar a conformidade regulatória e obter licenças de IP ou Core Banking se tornam mais simples com a infraestrutura full stack da Celcoin.
Requisitos para abrir banco digital
Operar como Instituição de Pagamento ou Instituição Financeira no Brasil depende de autorização do Banco Central do Brasil. Essa autorização exige comprovar capacidade técnica, financeira e de governança.
Fintechs, bancos digitais, varejistas com operações financeiras embarcadas e erps precisam estruturar essa base antes de iniciar qualquer operação.
Checklist de autorizações e pré-requisitos tecnológicos:
-
Obter registro e autorização formal junto ao BCB, como IP emissora de moeda eletrônica, IP de conta de pagamento pré-paga ou IF, conforme o modelo de negócio.
-
Ter uma política de segurança da informação documentada e aprovada pela diretoria.
-
Manter infraestrutura de TI com alta disponibilidade, com SLA mínimo de 99,5% para sistemas críticos.
-
Segregar o ambiente de produção dos ambientes de desenvolvimento e homologação.
-
Estabelecer conexão homologada à Rede do Sistema Financeiro Nacional e ao Sistema de Pagamentos Brasileiro.
-
Implementar processos de KYC e AML auditáveis.
-
Manter um plano de continuidade de negócios testado e vigente.
-
Configurar o envio automático de relatórios regulatórios, como CCS, CADOCs, COSIF e DIMP.
Pilares da segurança digital
A Resolução BCB nº 85/2021 organiza as obrigações de segurança cibernética em quatro pilares principais. Cada pilar exige controles específicos que precisam atuar de forma integrada para garantir conformidade e continuidade da operação.
|
Pilar |
Descrição |
Controles exigidos (2021–2026) |
|---|---|---|
|
Identificar |
Mapeamento de ativos, riscos e vulnerabilidades |
Inventário de ativos, análise de risco anual, classificação de dados |
|
Proteger |
Controles preventivos de acesso e integridade |
MFA, criptografia, gestão de identidade e acesso, segmentação de rede |
|
Detectar |
Monitoramento e identificação de incidentes |
SIEM 24×7, correlação de eventos, alertas automatizados |
|
Responder e recuperar |
Resposta a incidentes e restauração de serviços |
Plano de resposta a incidentes, PCN, RTO e RPO definidos e testados |
Infraestrutura tecnológica
Construir uma infraestrutura tecnológica adequada garante que esses pilares de segurança funcionem na prática. A Resolução BCB nº 85/2021 e normas complementares definem padrões técnicos mínimos que um banco digital precisa cumprir.
Usar computação em nuvem é permitido, desde que o provedor atenda aos requisitos de localização de dados, auditabilidade e continuidade definidos pelo BCB. A tabela a seguir resume os principais parâmetros técnicos.
|
Requisito técnico |
Padrão mínimo |
Norma BCB |
|---|---|---|
|
Criptografia em trânsito |
TLS 1.2 ou superior |
Resolução BCB nº 85/2021 |
|
Criptografia em repouso |
AES-256 |
Resolução BCB nº 85/2021 |
|
Autenticação multifator |
Obrigatória para acessos privilegiados e remotos |
Resolução BCB nº 85/2021 |
|
Alta disponibilidade |
SLA igual ou superior a 99,5% para sistemas críticos, com arquitetura redundante |
Resolução BCB nº 85/2021 |
|
SIEM |
Monitoramento contínuo com retenção de logs por no mínimo 5 anos |
Resolução BCB nº 85/2021 |
|
Cloud computing |
Provedor com certificação ISO 27001 e dados de clientes no Brasil ou com garantias equivalentes |
Resolução BCB nº 85/2021, Resolução CMN nº 4.893/2021 |
Resolução BCB nº 85
A Resolução BCB nº 85/2021 estabelece a política de segurança cibernética e os requisitos para contratação de serviços de processamento, armazenamento de dados e computação em nuvem. Essa norma se aplica a instituições de pagamento, sociedades corretoras e distribuidoras de títulos e valores mobiliários, sociedades corretoras de câmbio e prestadoras de serviços de ativos virtuais autorizadas a funcionar pelo Banco Central do Brasil.
A Resolução CMN nº 4.893/2021 revogou integralmente a Resolução CMN nº 4.658/2018 e atualizou esse arcabouço. As principais obrigações incluem:
-
Elaborar uma política de segurança cibernética.
-
Designar um responsável pela segurança cibernética.
-
Manter um plano de ação e resposta a incidentes atualizado.
-
Comunicar ao BCB incidentes relevantes.
-
Avaliar riscos de terceiros, como fornecedores de tecnologia e serviços em nuvem.
-
Submeter relatório de segurança cibernética à diretoria.
Entre 2021 e 2026, o BCB publicou orientações sobre Open Finance, Pix e prevenção a fraudes que reforçam esses controles e exigem revisão periódica das políticas internas.
Gestão de vulnerabilidades
Manter uma gestão de vulnerabilidades estruturada reduz a superfície de ataque e cumpre a Resolução BCB nº 85/2021. Esse processo envolve identificar, classificar, corrigir e verificar a eficácia dos controles aplicados.
Checklist de controles obrigatórios:
-
Executar varredura automatizada de vulnerabilidades ao menos uma vez por mês em todos os sistemas críticos.
-
Realizar teste de penetração anual com equipe independente.
-
Classificar vulnerabilidades por criticidade, com base em padrões como CVSS.
-
Respeitar o SLA de remediação, com correção de vulnerabilidades críticas em até 30 dias e altas em até 90 dias.
-
Registrar e rastrear todas as vulnerabilidades identificadas e as ações corretivas.
-
Revisar o processo de gestão de vulnerabilidades pelo menos uma vez por ano.
Plano de continuidade de negócios
Garantir continuidade de negócios protege a operação e os clientes em cenários de falha. O plano de continuidade de negócios é requisito formal da Resolução BCB nº 85/2021 e precisa cobrir falhas de infraestrutura, ataques cibernéticos e desastres naturais.
Para ambientes em nuvem, os contratos com provedores devem assegurar níveis de continuidade compatíveis com o PCN da instituição. A tabela a seguir resume os principais parâmetros.
|
Requisito de continuidade |
Parâmetro mínimo |
Norma BCB |
|---|---|---|
|
RTO (Recovery Time Objective) |
Definido por sistema, com máximo de 4 horas para sistemas de pagamento |
Resolução BCB nº 85/2021 |
|
RPO (Recovery Point Objective) |
Definido por sistema, com máximo de 1 hora para dados críticos |
Resolução BCB nº 85/2021 |
|
Teste do PCN |
Obrigatório ao menos uma vez por ano |
Resolução BCB nº 85/2021 |
|
Backup e replicação |
Backup diário e replicação geográfica para sistemas críticos |
Resolução BCB nº 85/2021 |
Equipe mínima
Estruturar uma equipe mínima garante governança e responsabilidade clara sobre a segurança. A Resolução BCB nº 85/2021 exige a designação formal de um diretor responsável pela segurança cibernética.
Em instituições de menor porte, esse diretor pode acumular outras funções, desde que não exista conflito de interesses. As responsabilidades mínimas incluem:
-
Aprovar e revisar a política de segurança cibernética.
-
Supervisionar o plano de ação e resposta a incidentes.
-
Reportar à diretoria e ao conselho o estado da segurança.
-
Gerir riscos de terceiros e fornecedores de tecnologia.
Além desse diretor, a operação de um banco digital precisa de segregação de funções entre desenvolvimento, operações de TI, compliance e auditoria interna. Essa separação reduz conflitos de interesse e aumenta a rastreabilidade das decisões.
Boas práticas de arquitetura e governança
Adotar boas práticas de arquitetura e governança facilita a conformidade contínua com o BCB. A avaliação de parceiros e da base tecnológica deve seguir uma lógica que começa na arquitetura, passa pela infraestrutura e chega aos processos de compliance.
-
Arquitetura baseada em microsserviços e APIs: facilita atualizações regulatórias sem redesenho completo do sistema.
-
Infraestrutura nativa em nuvem com certificações de segurança: como ISO 27001 e SOC 2, garante que os controles técnicos atendam a padrões reconhecidos.
-
Automação de relatórios regulatórios: reduz erros manuais e melhora a pontualidade dos envios ao BCB.
-
Capacidade de auditoria e rastreabilidade: assegura registro detalhado de transações e acessos.
-
Suporte a Open Finance: mantém conformidade com as especificações técnicas do BCB para compartilhamento de dados.
-
Processos de KYC e AML integrados: permitem atualização contínua conforme novas diretrizes regulatórias.
Erros comuns
Evitar alguns padrões recorrentes reduz o risco de sanções do BCB e de interrupções na operação. Três erros aparecem com frequência em projetos de bancos digitais.
Operação com contas-bolsão: estruturas que misturam recursos de clientes com patrimônio da instituição e não individualizam saldos violam normas do BCB e geram risco elevado de penalidades.
Ausência de segregação de ambientes: usar o mesmo ambiente para produção, desenvolvimento e testes aumenta o risco de vazamento de dados reais e dificulta auditorias. O BCB exige separação formal entre esses ambientes.
Relatórios regulatórios manuais ou ausentes: enviar CADOCs, CCS, DIMP e outros documentos de forma intempestiva ou incorreta gera multas e pode levar à suspensão da autorização. A automação desses relatórios é requisito operacional.
Aplicações e cenários de uso
A aplicação prática dessas exigências varia conforme o perfil da organização. Cada tipo de empresa precisa adaptar a estratégia de compliance ao seu estágio e modelo de negócio.
-
Fintechs iniciantes: podem operar sob a licença de um parceiro regulado no modelo BaaS, desde que esse parceiro assuma formalmente as obrigações regulatórias perante o BCB.
-
Instituições já reguladas: precisam manter conformidade contínua com a Resolução BCB nº 85/2021, com relatórios anuais, testes de PCN e atualização de controles conforme novas circulares.
-
ERPs: ao embarcarem serviços financeiros, assumem responsabilidades de segurança da informação e precisam garantir que a infraestrutura utilizada atenda aos padrões do BCB.
-
Varejistas: que oferecem contas digitais ou cartões com marca própria precisam de infraestrutura regulatória completa, com KYC, AML e relatórios automatizados, mesmo quando ainda não possuem licença própria.
A Celcoin atende esses perfis com uma infraestrutura full stack que cobre desde a licença de Instituição de Pagamento até o Core Banking para instituições já reguladas. Essa infraestrutura inclui relatórios regulatórios automatizados, KYC, AML e Open Finance.
Celcoin: infraestrutura full stack para compliance regulatório
Usar o banking da Celcoin permite construir uma operação bancária digital com base em licenças ativas e tecnologia proprietária. A empresa oferece APIs modulares para que outras empresas ofereçam serviços bancários completos, de contas digitais e cartões até liquidação, compliance e relatórios regulatórios.
Fintechs, bancos digitais, erps e varejistas podem começar usando as licenças da Celcoin no modelo BaaS e, depois, migrar para licenças próprias com o Core Banking, mantendo a mesma base tecnológica, segurança e suporte. A Celcoin não oferece nenhum tipo de empréstimo para consumidores. A Celcoin fornece a infraestrutura tecnológica para que empresas consigam ofertar produtos de crédito aos seus clientes.
A plataforma processa mais de R$30 bilhões em transações por mês e atende mais de 6 mil clientes, o que demonstra maturidade operacional e capacidade de escala.
|
Funcionalidade da Celcoin |
Benefício para sua empresa |
|
APIs modulares |
Integrações mais rápidas, com redução de custos e prazos de desenvolvimento. |
|
Experiência e suporte ao desenvolvedor |
Documentação, SDKs e sandboxes reduzem ciclos de integração e custos de engenharia. |
|
Capacidade de lançamento rápido |
Módulos pré-construídos e entrega via SaaS aceleram lançamentos e antecipam geração de receita. |
|
Distribuição white-label e embutida |
Suporte a produtos financeiros com marca própria. |
|
Escalabilidade com confiabilidade |
Alta disponibilidade em nuvem mantém serviços funcionando mesmo com altos volumes e protege a receita. |
|
Cobertura de diversas possibilidades de pagamentos, incluindo crédito |
Oferecer pagamentos e emissão de crédito aumenta conversão, ARPU e fidelização. |
|
Acesso a dados e personalização |
Dados e análises via Open Finance permitem ofertas personalizadas e melhoram conversão e retenção. |
|
Compliance e conformidade como princípio |
KYC, AML e relatórios integrados reduzem risco regulatório e aceleram ciclos de vendas. |
|
Prevenção de fraude e controles de risco |
Monitoramento baseado em IA e autenticação robusta reduzem estornos, perdas e exposição regulatória. |
|
Força do ecossistema de parceiros da Celcoin |
Parcerias e integrações com bancos, redes e fintechs ampliam cobertura e aceleram a entrada no mercado. |
Explore como essas funcionalidades reduzem seu time-to-market e custos de compliance.
Perguntas frequentes
Qual licença é necessária para operar um banco digital no Brasil?
A licença depende do modelo de negócio. Empresas que emitem moeda eletrônica ou oferecem contas de pagamento pré-pagas precisam de autorização como Instituição de Pagamento junto ao Banco Central. Empresas que concedem crédito com recursos próprios precisam de autorização como Instituição Financeira, como Sociedade de Crédito Direto ou Sociedade de Empréstimo entre Pessoas.
Empresas sem licença própria podem operar sob a licença de um parceiro regulado no modelo BaaS, desde que esse parceiro assuma formalmente as obrigações regulatórias.
Quanto tempo leva para migrar para uma nova infraestrutura de Core Banking?
O prazo varia conforme a complexidade da operação existente. Implementações do zero ou migrações de estruturas simples podem ser concluídas em cerca de uma semana.
Operações com maior volume de produtos, integrações legadas e base de clientes consolidada podem levar até três meses. A disponibilidade da equipe interna e a complexidade das integrações são os fatores que mais influenciam esse prazo.
Quais relatórios regulatórios são obrigatórios para uma Instituição de Pagamento?
As principais obrigações acessórias incluem CCS, CADOCs, COSIF, DIMP e, para IPs participantes do Pix, os relatórios específicos do arranjo. O envio ocorre via RSFN e pode ser diário ou mensal, conforme o tipo de documento.
Automatizar esses relatórios reduz risco de multas e garante cumprimento dos prazos.
A Resolução BCB nº 85 se aplica a todas as fintechs, independentemente do porte?
A Resolução BCB nº 85/2021 se aplica a todas as instituições autorizadas a funcionar pelo Banco Central, incluindo IPs de menor porte. O BCB admite proporcionalidade na implementação de alguns controles conforme o perfil de risco da instituição.
Mesmo assim, requisitos mínimos como política de segurança cibernética, designação de diretor responsável, plano de resposta a incidentes e comunicação de incidentes relevantes permanecem obrigatórios.
Como o Open Finance afeta os requisitos de segurança de um banco digital?
A participação no Open Finance adiciona camadas de segurança específicas. A instituição precisa implementar autenticação via OAuth 2.0 e OpenID Connect, usar certificados digitais ICP-Brasil para comunicação entre instituições e manter controles de consentimento do usuário alinhados às especificações técnicas do BCB.
Esses requisitos se somam aos controles gerais da Resolução BCB nº 85/2021 e devem constar na política de segurança cibernética.
Síntese dos aprendizados
Construir e operar um banco digital no Brasil exige conformidade com a Resolução BCB nº 85/2021 e normas que tratam de criptografia, MFA, SIEM, gestão de vulnerabilidades, continuidade de negócios e relatórios regulatórios automatizados.
Manter segregação de ambientes, designar formalmente um responsável por segurança cibernética e eliminar estruturas de contas-bolsão são pontos centrais. Fintechs, bancos digitais, erps e varejistas que buscam conformidade acelerada e infraestrutura escalável podem usar a Celcoin como parceira em toda a jornada, do BaaS ao Core Banking com licença própria.
Comece sua jornada de conformidade com a infraestrutura full stack da Celcoin.

