Proteção de Dados, Fintechs

Medidas obrigatória de Segurança da Informação para PSAVs segundo o Banco Central

Escrito por Maria Andrade, advogada especialista em proteção de dados para empresas de tecnologia e fintechs na NDM Advogados.

Há mais de 10 anos oferecemos assessoria jurídica e contábil completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 26/01/2026

Com a consolidação do marco regulatório dos criptoativos no Brasil, as Sociedades Prestadoras de Serviços de Ativos Virtuais (PSAVs) agora enfrentam o desafio de adequar suas infraestruturas tecnológicas às exigências das medidas obrigatórias de Segurança da Informação para PSAVs do Banco Central (BCB).

A segurança cibernética deixou de ser um diferencial competitivo para se tornar um requisito de autorização de funcionamento do Banco Central. Neste artigo, detalhamos as medidas obrigatórias de segurança da informação para PSAVs conforme a Lei nº 14.478/2022 e a Resolução BCB nº 520.

O que é uma PSAV e quem precisa de autorização?

De acordo com a Lei nº 14.478/2022, a Prestadora de Serviços de Ativos Virtuais (PSAV) é a pessoa jurídica que executa, em nome de terceiros, pelo menos um dos serviços de ativos virtuais, ou seja, a partir do momento em que você oferece uma plataforma, custódia ou intermediação para clientes, você se torna um ente regulado.

A Lei nº 14.478/2022 elenca cinco atividades principais que caracterizam uma PSAV. Se a sua empresa realiza qualquer uma delas, ela precisa de autorização:

  1. Troca entre ativos virtuais e moeda nacional ou estrangeira: É o serviço clássico das exchanges (ex: vender Bitcoin por Reais ou Dólares).
  2. Troca entre um ou mais ativos virtuais: Permuta direta entre diferentes tipos de tokens (ex: trocar Ethereum por uma Stablecoin).
  3. Transferência de ativos virtuais: Movimentação de ativos entre endereços ou carteiras de diferentes titulares.
  4. Custódia ou administração: Guarda de ativos virtuais ou de instrumentos que possibilitem o controle sobre eles (como o gerenciamento de chaves privadas).
  5. Participação em serviços financeiros e prestação de serviços relacionados à oferta por um emissor: Atuação em lançamentos de tokens (ICOs/IEOs) ou serviços de subscrição.

Com a Resolução BCB nº 520, o Banco Central também incluiu atividades acessórias, como o Staking, as funções de Agente Fiduciário e a atuação no Mercado de Câmbio.

Como obter autorização para  Sociedades Prestadoras de Serviços de Ativos Virtuais (PSAVs/Exchanges), Resolução BCB nº 519, 520 e 521 de 2025
Como obter autorização para  Sociedades Prestadoras de Serviços de Ativos Virtuais (PSAVs/Exchanges), Resolução BCB nº 519, 520 e 521 de 2025

Pilares da Segurança da Informação para PSAVs

O Banco Central exige um ambiente computacional “blindado”. Para garantir a conformidade, a PSAV deve implementar processos técnicos que assegurem a tríade da segurança: confidencialidade, integridade e disponibilidade.

Políticas obrigatórias de Governança Digital

Para que uma PSAV obtenha e mantenha sua autorização, o Banco Central exige a formalização de políticas que garantam a integridade da operação. Três delas são vitais para a segurança da informação:

1.Política de Segurança da Informação:Tem como objetivo estabelecer as regras, procedimentos e controles de Segurança da Informação da empresa, como a defesa contra ataques digitais, vazamentos e malwares, auditorias, testes de intrusão regulares e criptografia de dados em repouso e em trânsito. Deve estar alinhada com as melhores práticas internacionais (ISO 27001 ou NIST) e com as recomendações da ANPD.

2.Contratação de Nuvem e Processamento de Dados: Regras específicas para o uso de serviços como AWS, Azure ou Google Cloud. Ter planos de saída para o caso de o provedor de nuvem descontinuar o serviço.

3.Proteção de Dados Pessoais (LGPD): Documentos que comprovem a adequação à Lei Geral de Proteção de Dados e o cumprimento, pela empresa, das regras de Segurança da Informação e dos direitos dos titulares. A adequação à LGPD é um processo que envolve uma série de registros e mudanças operacionais internas e deve ser acompanhada por profissional capacitado.

Procedimentos obrigatórios

A PSAV deve garantir um ambiente computacional “blindado”. Para isso, os documentos de segurança devem prever os seguintes processos técnicos obrigatórios: 

I – o gerenciamento de identidades e o controle de acessos lógicos e físicos, com vistas a prevenir que indivíduos não autorizados acessem recursos e dados sensíveis;

II – os mecanismos de monitoramento contínuo da segurança e de resposta a incidentes, com o objetivo de detectar e responder a possíveis ameaças e incidentes;

III – a adoção de medidas preventivas para a mitigação de incidentes cibernéticos que possam comprometer suas atividades, em particular nas operações envolvendo operadores do segmento de finanças descentralizadas;

IV- procedimentos para a concessão de autorizações, criação de senhas e controles de acesso baseados em alçadas, bem como mecanismos de desativação preventiva em situações suspeitas;

V – o fomento da cultura de segurança entre os seus funcionários, prestadores de serviços e demais partes relacionadas;

VI – o estabelecimento de planos de continuidade para lidar com cenários que contemplem violações de segurança ou desastres que afetem a sua operação;

VII – o emprego das melhores práticas de segurança, inclusive em termos de treinamentos, certificações técnicas para a instituição e seu corpo técnico e processos de qualificações externas para reforçar essas práticas; e

VIII – a realização de testes em sistemas e programas computacionais utilizados pela prestadora de serviços de ativos virtuais, inclusive contratos inteligentes que afetem o desempenho de suas atividades, que compreendam:

a) análises de vulnerabilidades dos sistemas, dos programas utilizados e do ambiente computacional da instituição;

b) revisão do desempenho dos sistemas e programas utilizados por analistas independentes; e

c) testes de robustez e de segurança dos sistemas e programas utilizados.

Todas as medidas de segurança implementadas devem ser documentadas e constar na Política de Segurança da Informação e voltadas prioritariamente para assegurar a confidencialidade, a integridade, a disponibilidade, a segurança e o sigilo das informações e dos dados, bem como a proteção de dados pessoais dos clientes, usuários e demais partes negociais da PSAV.

guia prático de segurança da informação

Guia de implementação: Segurança cibernética e resiliência

Uma gestão eficiente de segurança para PSAVs deve ser estruturada em cinco pilares fundamentais, garantindo que a proteção dos ativos virtuais seja imune a falhas simples e resiliente a ataques sofisticados.

Gestão e custódia de instrumentos de controle (Art. 49)

O ponto mais crítico da operação é a proteção das chaves privadas. A PSAV deve documentar e aplicar:

  • Ciclo de vida das chaves: Procedimentos formais para a geração, guarda, gerenciamento e desativação dos instrumentos de controle.
  • Métodos de execução: Especificar tecnicamente como as transações são assinadas.
  • Distribuição de ativos (Segregação de carteiras): Implementar a divisão dos ativos em diferentes carteiras (Hot, Warm e Cold Wallets) para limitar a exposição em caso de invasão.
  • Segurança de acesso e Aalçadas: Estabelecer regras de acesso baseadas em responsabilidades, procedimentos de concessão e desativação dos instrumentos de controle
  • Armazenamento geográfico/lógico distinto: Se utilizar chaves múltiplas (Multi-sig) ou segmentadas (MPC), as partes devem ser armazenadas em locais físicos ou lógicos diferentes para evitar um único ponto de falha.
  • Módulos de segurança: estabelecer procedimentos para a mitigação de comprometimentos na política de guarda e proteção dos instrumentos de controle dos ativos virtuais, podendo considerar a utilização de criptografia e outras técnicas de segurança de informação.

Mapeamento e Gestão de Riscos Operacionais

Para evitar incidentes, a PSAV deve agir proativamente através de:

  • Identificação de vulnerabilidades: Mapear riscos operacionais, tecnológicos e legais, priorizando aqueles que podem causar perda de ativos ou vazamento de dados de clientes.
  • Adoção de frameworks internacionais: Utilizar a ISO 27001 ou o NIST como guias para estruturar controles.
  • Avaliação contínua: Realizar testes de vulnerabilidade e monitoramento proativo para acompanhar o surgimento de novas ameaças no ecossistema cripto (ex: novos tipos de exploits em contratos inteligentes), bem como adotar mecanismos de monitoramento contínuo da segurança institucional e de avaliação de riscos, com o objetivo de detectar, prevenir e responder a possíveis ameaças e incidentes.
  • Plano de resposta a incidentes (PRI): Documento objetivo que define “quem faz o quê” assim que um incidente é detectado, garantindo rapidez para minimizar prejuízos financeiros e de imagem.
  • Plano de contingência: Antecipar cenários críticos (ex: indisponibilidade do provedor de nuvem) e estabelecer formas de manter o serviço ou recuperar os dados rapidamente.
Capital social mínimo para autorização de PSAV, VASP e Exchanges no Banco Central em 2026

Como manter a conformidade, mesmo com equipes reduzidas

Para empresas que precisam ser ágeis sem fragilizar a segurança, as estratégias são:

  • Documentação clara e acessível: Ter uma Política de Segurança da Informação (PSI) que seja compreendida por todos, não apenas pela TI.
  • Automatização: Utilizar ferramentas automatizadas para controle de acesso, auditoria de logs e monitoramento de transações. Isso reduz o erro humano e a necessidade de grandes equipes manuais.
  • Cultura de segurança: Treinamentos constantes de Onboarding para novos colaboradores e reciclagem para os antigos. A segurança deve fazer parte da cultura desde os fundadores.
  • Cultura de feedback e transparência: Incentive a comunicação aberta sobre riscos e não conformidades.
  • Foco em resiliência: Gestão de riscos como alicerce para crescimento sustentável e atração de investidores.

Mesmo contratando empresas especializadas para cumprir os requisitos de segurança e custódia, a responsabilidade final perante o BCB e os clientes permanece com a PSAV autorizada. É necessário monitorar constantemente se os prestadores de serviço estão cumprindo os níveis de segurança acordados e exigidos pela norma.

Conclusão

A adequação às normas de segurança do Banco Central é um processo contínuo de monitoramento e avaliação de riscos. No dinâmico mercado de ativos virtuais, onde as ameaças cibernéticas evoluem na mesma velocidade que as inovações tecnológicas, a resiliência operacional é o que separa as instituições perenes daquelas vulneráveis a crises reputacionais e financeiras.

O processo de autorização e adequação às novas Resoluções do BCB é complexo e exige precisão técnica tanto jurídica quanto tecnológica. Qualquer falha na documentação de políticas de segurança ou na estrutura de custódia pode resultar no indeferimento do seu pleito.

Conte com o suporte de especialistas para estruturar seu programa de governança, segurança cibernética e proteção de dados.

Perguntas frequentes (FAQ) – Regulação e segurança para PSAVs

1. Quais são as principais normas de segurança cibernética para PSAVs?

As principais diretrizes estão na Resolução BCB nº 520 (especialmente nos artigos 48 a 51) e na Resolução BCB nº 85. Elas exigem controles rígidos de acesso, monitoramento de incidentes, segregação de chaves privadas e planos de continuidade de negócios.

2. Como deve ser feita a custódia das chaves privadas?

O Banco Central exige que a PSAV tenha procedimentos documentados para todo o ciclo de vida das chaves (geração, guarda e desativação). Se forem usadas chaves múltiplas (Multi-sig) ou segmentadas (MPC), as partes devem ser armazenadas em locais físicos ou lógicos diferentes para evitar pontos únicos de falha.

3. O que acontece se a PSAV contratar um custodiante terceirizado?

A contratação de terceiros (como provedores de custódia as-a-service ou nuvem) é permitida, mas a responsabilidade final pela segurança e conformidade perante o Banco Central e os clientes permanece sendo integralmente da PSAV autorizada.

4. Qual o prazo para adequação às novas regras do Banco Central?

As empresas que já estavam em atividade quando a norma foi publicada devem seguir o rito de transição estabelecido pelo Banco Central e protocolar pedido de autorização em até 275 dias após a entrada em vigor (02/02/2026), mas a conformidade com os requisitos de segurança e PLD (Prevenção à Lavagem de Dinheiro) já é exigida para os novos pedidos de autorização.

Conte com o suporte de especialistas para estruturar seu programa de governança, segurança cibernética e proteção de dados. Entre em contato com a NDM!

NDM Advogados especializado em fintechs, instituições de pagamento e empresas de tecnologia
Compartilhe esse conteúdo

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Você também pode se interessar

Fique por dentro das nossas novidades!

Inscreva-se para receber atualizações exclusivas.

Entre em
contato conosco

Estamos prontos para ajudar sua startup a crescer. Agende uma consulta e saiba mais!

Estamos prontos para ajudar seu negócio a crescer. Agende uma consulta e saiba mais!