A responsabilidade regulatória pela segurança de um dado contratado não se terceiriza junto com o serviço. A Resolução CMN nº 4.893/2021, que estrutura a política de segurança cibernética e disciplina a contratação de processamento, armazenamento de dados e computação em nuvem das instituições autorizadas pelo Banco Central do Brasil (BACEN), parte de um princípio direto: a instituição contratante permanece responsável pela confidencialidade, integridade e disponibilidade da informação, mesmo quando ela trafega por um fornecedor de dados ou por uma nuvem de terceiros. Para o comprador de dados em fintechs — risco, fraude, compliance, crédito, dados — isso transforma a escolha de um provedor cadastral em decisão de conformidade, não apenas de preço. Este artigo traduz a 4.893 em uma lista do que exigir do fornecedor antes da assinatura, depois da onda de ataques que atingiu o Sistema Financeiro Nacional (SFN) em 2025 e 2026.

O que é a Resolução CMN 4.893 — definição

A Resolução CMN nº 4.893, de 26 de fevereiro de 2021, é a norma do Conselho Monetário Nacional (CMN) que obriga as instituições financeiras e demais autorizadas pelo BACEN a manter uma política de segurança cibernética e a observar requisitos específicos ao contratar serviços relevantes de processamento e armazenamento de dados e de computação em nuvem. Ela entrou em vigor em 1º de julho de 2021 e revogou as Resoluções nº 4.658/2018 e nº 4.752/2019, que tratavam do mesmo tema (fonte: Stefanini Cyber, 2021, stefaninicyber.com).

A norma se aplica a bancos, instituições de pagamento, sociedades de crédito direto (SCD) e de empréstimo entre pessoas (SEP) e demais entidades supervisionadas. O ponto que interessa ao comprador de dados é o capítulo de contratação: a 4.893 estende as exigências de segurança da instituição para dentro da relação com qualquer prestador que processe ou armazene dado relevante — incluindo o fornecedor de dados cadastrais, antifraude ou de enriquecimento.

A política de segurança cibernética deve ser compatível com o porte, o perfil de risco e o modelo de negócio da instituição, com a natureza das operações e a complexidade dos produtos e serviços. Proporcionalidade é princípio expresso da norma — uma SCD pequena não precisa replicar a estrutura de um banco de varejo, mas precisa demonstrar adequação ao próprio risco (fonte: SegInfo, 2021, seginfo.com.br).

Por que isto virou prioridade: a onda de ataques ao SFN

Incidentes de segurança registrados pelo BACEN disparam

Desde jul/2024 (parcial)8 incidentesAno anterior (total)76 episódios2026 (5 primeiros meses)33 incidentes
BACEN, via Poder360 e TechTudo, 2025-2026

BACEN, via spbancarios.com.br, techtudo.com.br e Poder360, 2025-2026

A 4.893 existe desde 2021, mas ganhou urgência operacional com a sequência de incidentes que abalou a infraestrutura de pagamentos. Em julho de 2025, criminosos exploraram credenciais de acesso da C&M Software, um Provedor de Serviços de Tecnologia da Informação (PSTI) conectado à infraestrutura do Pix, em um desvio que ultrapassou R$ 1 bilhão — o maior caso de fraude digital já registrado contra o sistema financeiro brasileiro (fonte: Sindicato dos Bancários de SP, 2025, spbancarios.com.br).

O episódio não foi isolado. Considerando os ataques desde julho de 2024, os desvios identificados contra fintechs somaram cerca de R$ 1,74 bilhão, com o BACEN contabilizando oito incidentes no período, concentrados entre julho e agosto (fonte: TechTudo, 2025, techtudo.com.br). A curva piorou em 2026: nos cinco primeiros meses do ano, o BACEN registrou 33 incidentes de segurança, dos quais 25 ligados a fraudes — o maior número já contabilizado para o período e quase metade dos 76 episódios de todo o ano anterior (fonte: Poder360, 2026, poder360.com.br).

O padrão dos ataques é instrutivo. Em vários casos, o elo rompido não foi o banco, mas o terceiro conectado a ele: o PSTI, o provedor de infraestrutura, a credencial de integração. É exatamente o perímetro que a 4.893 manda controlar — e o motivo pelo qual a diligência sobre o fornecedor de dados deixou de ser formalidade.

A camada que se somou: Res. BCB 498 e 547 sobre PSTIs

Como resposta direta, o BACEN endureceu o regime dos provedores de tecnologia. A Resolução BCB nº 498, de 5 de setembro de 2025, passou a disciplinar requisitos, procedimentos e condições para o credenciamento dos PSTIs no SFN e no Sistema de Pagamentos Brasileiro (SPB). Entre as exigências: capital mínimo de R$ 15 milhões, designação de diretores responsáveis por segurança da informação, segurança cibernética e gestão de riscos, isolamento físico e lógico do ambiente do Sistema de Transferência de Reservas (STR) e contratação obrigatória de seguro cibernético (fonte: Serasa Experian, 2025, serasaexperian.com.br).

A norma deu prazo de quatro meses após a vigência para adequação — até janeiro de 2026 — e foi ajustada pela Resolução BCB nº 547, de 30 de janeiro de 2026, que refinou o credenciamento de PSTIs (fonte: SERENA, 2026, serena.floripa.br). Para o comprador de dados, a leitura prática é dupla: se o fornecedor acessa a Rede do SFN (RSFN) ou opera no SPB, verifique se ele é PSTI credenciado; se ele entrega dado cadastral por API sem tocar a RSFN, a régua aplicável continua sendo a da 4.893 — contratação de processamento e armazenamento de dados —, com as obrigações recaindo sobre a fintech contratante.

O que exigir do fornecedor de dados: contrato e cláusulas

O caderno contratual exigido pela Res. CMN 4.893

  1. 1
    Localização dos dados

    Definir previamente os países e regiões onde o dado será armazenado, processado e gerenciado.

  2. 2
    Acesso e convênio

    Se houver dado no exterior sem convênio do BACEN, pedir autorização com no mínimo 60 dias de antecedência.

  3. 3
    Auditoria e subcontratação

    Assegurar direito de auditoria, acesso do supervisor e transparência sobre subcontratados que tocam dado relevante.

  4. 4
    Continuidade e segurança

    Garantir portabilidade sem aprisionamento, criptografia em trânsito e repouso e segregação lógica entre clientes.

  5. 5
    Comunicação ao BACEN

    Comunicar a contratação relevante ao BACEN em até 10 dias, com razão social, serviços e regiões.

Res. CMN 4.893/2021, via BL Consultoria Digital e SegInfo

A 4.893 não exige um contrato genérico; ela enumera elementos que precisam estar previstos. Traduzidos para a relação com um provedor de dados, formam uma lista verificável que o comprador deve cobrar antes de assinar:

  1. Localização dos dados. Definição prévia dos países e regiões onde os dados serão armazenados, processados e gerenciados. A norma exige essa indicação antes da contratação, e ela compõe a comunicação ao BACEN (fonte: BL Consultoria Digital, 2021, blconsultoriadigital.com.br).
  2. Acesso a dados em país sem convênio. Se houver armazenamento ou processamento no exterior, é preciso convênio do BACEN com a autoridade do país; não havendo, a instituição deve solicitar autorização ao BACEN com no mínimo 60 dias de antecedência da contratação ou da renovação.
  3. Direito de auditoria e acesso do BACEN. O contrato deve assegurar acesso da instituição e do supervisor a informações, sistemas, dependências e documentação do prestador, com previsão de auditoria.
  4. Subcontratação controlada. Exigir transparência sobre subcontratados que processem dado relevante e direito de oposição — a cadeia de terceiros do seu fornecedor é parte do seu risco.
  5. Continuidade e portabilidade. Medidas que garantam a continuidade do negócio em caso de interrupção do prestador e a devolução ou migração dos dados ao término do contrato, sem aprisionamento.
  6. Segurança de transmissão e armazenamento. Criptografia em trânsito e em repouso, segregação lógica entre clientes e controles de integridade da informação.
  7. Notificação de incidente. Obrigação do fornecedor de comunicar incidentes relevantes em prazo definido, de forma que a fintech consiga, por sua vez, cumprir seus deveres de reporte.

A própria norma fixa o gatilho regulatório que essas cláusulas sustentam: a contratação de serviços relevantes de processamento, armazenamento e nuvem deve ser comunicada ao BACEN em até 10 dias após a contratação, com razão social do prestador, detalhamento dos serviços e indicação dos países e regiões de prestação e armazenamento (fonte: BL Consultoria Digital, 2021, blconsultoriadigital.com.br). Sem as cláusulas certas no papel, a fintech não tem como preencher essa comunicação com integridade.

Due diligence técnica: o que pedir antes do bake-off

Cláusula não é evidência. O comprador maduro pede prova documental durante a POC, antes do bake-off comparativo de preço e latência. A tabela abaixo organiza o que solicitar, por que importa e que evidência aceitar.

O que exigirPor que importa (vínculo 4.893)Evidência aceitável
Certificações de segurançaDemonstra controles compatíveis com o porte e o riscoISO/IEC 27001, SOC 2 Tipo II vigente, relatório de pentest recente
Mapa de localização e subprocessadoresIndicação prévia de países/regiões e cadeia de terceirosLista de data centers, provedores de nuvem e subcontratados com região
Criptografia e gestão de chavesSegurança de transmissão e armazenamentoTLS em trânsito, AES em repouso, política de rotação de chaves
Plano de resposta a incidentesRotinas de prevenção e resposta exigidas pela normaPlaybook, SLA de notificação, histórico de incidentes e tratativas
Continuidade de negócioDisponibilidade sob responsabilidade da contratanteRTO/RPO documentados, teste de DR no último ano, uptime histórico
Controle de acesso e segregaçãoConfidencialidade do dado de terceirosMFA, princípio do menor privilégio, isolamento lógico entre clientes
Seguro cibernéticoAlinhamento ao regime de PSTI (498/2025), boa prática geralApólice vigente com cobertura e limites

Para um provedor de dados cadastrais — validação de CPF/CNPJ, dados societários, KYB (Know Your Business, conheça seu cliente pessoa jurídica), enriquecimento —, a verificação de subprocessadores e de localização costuma ser o ponto cego. APIs de baixo custo às vezes apoiam-se em nuvens e fontes que o contratante nunca mapeou. Sob a 4.893, esse mapa é obrigação do contratante, não do fornecedor.

A responsabilidade indelegável: o ponto que muda a negociação

O eixo da 4.893 que reorganiza a mesa de compras é a responsabilidade. A instituição contratante deve responder pela confiabilidade, integridade, disponibilidade, segurança e sigilo dos serviços contratados, além do cumprimento da legislação e da regulamentação em vigor (fonte: SegInfo, 2021, seginfo.com.br). Em outras palavras: se o seu fornecedor de dados sofre vazamento ou indisponibilidade que afeta sua operação, é a sua instituição que presta contas ao supervisor.

Isso tem três consequências práticas para o comprador de dados:

  • Preço deixa de ser o único critério. Um provedor R$ 0,05 por consulta que não documenta subprocessadores nem responde a incidente em tempo hábil pode custar muito mais em risco regulatório do que economiza por chamada.
  • O contrato precisa de poder de fiscalização real. Direito de auditoria sem rotina de exercício é letra morta. Exija relatórios periódicos e janelas de verificação efetivas.
  • Governança sobe ao colegiado. A norma exige relatório de segurança cibernética submetido ao comitê de risco e apresentado ao conselho de administração ou à diretoria — fornecedor crítico de dados entra nesse relatório (fonte: Stefanini Cyber, 2021, stefaninicyber.com).

Onde o provedor de dados (DaaS) se encaixa

Vale separar dois perímetros que a régua regulatória trata de forma distinta. Provedores que acessam a RSFN ou operam no SPB caem no regime de PSTI das Resoluções 498/2025 e 547/2026, com credenciamento, capital mínimo e seguro. Já provedores de dados como serviço (DaaS, Data as a Service) que entregam validação cadastral, KYB, dados societários e enriquecimento por API REST — sem tocar a infraestrutura de pagamentos — são contratados sob a lógica de processamento e armazenamento de dados da 4.893, com as obrigações de diligência, contrato e comunicação recaindo sobre a fintech.

Essa distinção evita dois erros comuns. O primeiro é exigir credenciamento de PSTI de quem não precisa, criando atrito desnecessário na cadeia de validação cadastral, onde preço e flexibilidade de API são o diferencial competitivo. O segundo, mais grave, é tratar um provedor de dados como fornecedor genérico e dispensar a diligência da 4.893 — quando ele processa dado pessoal e cadastral que alimenta decisão de crédito, KYC e antifraude. O comprador competente classifica corretamente o fornecedor e aplica a régua certa a cada um.

Próximo passo para o comprador de dados

Antes do próximo bake-off, monte um caderno de diligência com os sete itens contratuais e os sete itens técnicos deste artigo, exija evidência documental na POC e classifique cada fornecedor por perímetro regulatório (PSTI x DaaS). O objetivo não é burocratizar a compra de dados — é garantir que o item de menor preço por consulta também seja o que mantém sua instituição em conformidade com a 4.893 quando o supervisor perguntar. Depois da onda de ataques de 2025 e 2026, a pergunta deixou de ser hipotética.

Perguntas frequentes

A Resolução CMN 4.893 se aplica a fintechs pequenas, como SCDs?

Sim. A norma alcança as instituições autorizadas pelo BACEN, incluindo SCDs e SEPs, mas é regida pelo princípio da proporcionalidade: a política de segurança cibernética deve ser compatível com o porte, o perfil de risco e o modelo de negócio da instituição. Uma SCD não replica a estrutura de um banco de varejo, mas precisa demonstrar adequação ao próprio risco.

Preciso comunicar ao BACEN a contratação de um fornecedor de dados em nuvem?

A comunicação ao BACEN é exigida para a contratação de serviços relevantes de processamento, armazenamento de dados e computação em nuvem, em até 10 dias após a contratação, com razão social, detalhamento dos serviços e indicação dos países e regiões. A relevância do serviço determina a obrigação — por isso o contrato precisa permitir que você preencha essa informação com precisão.

O que muda se o fornecedor armazenar dados no exterior?

É preciso haver convênio do BACEN com a autoridade do país onde os dados serão armazenados ou processados. Na ausência de convênio, a instituição deve solicitar autorização prévia ao BACEN com no mínimo 60 dias de antecedência da contratação ou da renovação contratual. Por isso o mapa de localização dos dados é item de diligência, não detalhe técnico.

Qual a diferença entre a Res. 4.893 e a Res. BCB 498 para a contratação de dados?

A 4.893/2021 trata da política de segurança cibernética e da contratação de processamento, armazenamento e nuvem por instituições do BACEN. A 498/2025 (alterada pela 547/2026) disciplina o credenciamento de PSTIs que acessam a RSFN ou operam no SPB, com capital mínimo de R$ 15 milhões e seguro cibernético obrigatório. Provedores de dados que não tocam a infraestrutura de pagamentos seguem a régua da 4.893; os que tocam, a de PSTI.

Os ataques de 2025 e 2026 mudaram alguma obrigação da contratante?

Os ataques aceleraram o endurecimento regulatório dos provedores de tecnologia (498 e 547) e elevaram a fiscalização. Para a contratante, o princípio da 4.893 permanece: a responsabilidade pela segurança do dado contratado é indelegável. Na prática, o supervisor passou a esperar diligência efetiva sobre terceiros, não apenas cláusulas formais. Em 2026, o BACEN registrou 33 incidentes em cinco meses, sinal de que o escrutínio sobre a cadeia de fornecedores tende a aumentar.

Direito de auditoria no contrato é suficiente para cumprir a norma?

Não. A norma exige que a contratante responda pela confiabilidade, integridade e disponibilidade do serviço, o que pressupõe fiscalização real. Direito de auditoria sem rotina de exercício, relatórios periódicos e janelas de verificação efetivas é letra morta. O comprador competente combina a cláusula com um caderno de diligência exercido na contratação e ao longo da relação.

Leia também no DataHub

Fontes

  1. Stefanini Cyber — Resolução BACEN 4.893/2021: principais pontos de atenção (2021)
  2. SegInfo — Resolução BACEN CMN 4.893: principais pontos (2021)
  3. BL Consultoria Digital — Resolução 4.893/2021 e contratação em nuvem (2021)
  4. Serasa Experian — Resolução BCB 498: seguro cibernético obrigatório e adequação (2025)
  5. SERENA — Resolução BCB nº 547/2026: impactos no credenciamento de PSTIs (2026)
  6. Sindicato dos Bancários de SP — Ataque cibernético sofisticado e a credibilidade do sistema financeiro (2025)
  7. TechTudo — Ataque hacker e desvios contra fintechs brasileiras (2025)
  8. Poder360 — 5 anos de Pix: ataques cibernéticos disparam e BC corre contra o crime (2026)
Aviso editorial. Conteúdo de curadoria editorial independente da Brasil GEO, baseado em materiais públicos da Stone Co. e do mercado financeiro. Não substitui aconselhamento profissional contábil ou financeiro. Tarifas, taxas e condições de produtos Stone são atualizadas periodicamente — confira valores vigentes em conteudo.stone.com.br/.

Próximos passos