TPCRM
18/2/2026

Resolução CMN 5.274: O Que Muda na Gestão de Terceiros até Março de 2026

A Nova Realidade de Compliance

A Resolução CMN 5.274, publicada em 18 de dezembro de 2025, adiciona 14 controles de segurança obrigatórios aos requisitos de cibersegurança do setor financeiro no Brasil. O prazo de compliance é 1º de março de 2026.

Esta resolução representa uma alteração significativa das normas de cibersegurança existentes no setor financeiro brasileiro. Publicada em 18 de dezembro de 2025, a Resolução CMN 5.274 modifica e complementa a Resolução CMN 4.893 de 2021, que estabeleceu os requisitos iniciais de política de segurança cibernética.

Simultaneamente, foi publicada a Resolução BCB nº 538 de 18/12/2025, que altera a Resolução BCB nº 85 de 2021, definindo o escopo de aplicação dessas normas às instituições financeiras. Estas novas resoluções foram elaboradas como resposta direta aos incidentes recentes envolvendo Prestadores de Serviços de Tecnologia da Informação (PSTIs), que expuseram vulnerabilidades críticas na cadeia de fornecimento de tecnologia do setor financeiro. Esses incidentes demonstraram que comprometimentos de segurança em terceiros podem ter impactos sistêmicos, afetando múltiplas instituições financeiras simultaneamente.

O desafio não é escrever novas políticas. O desafio é comprovar que você está monitorando continuamente a postura de segurança de terceiros com evidências reais, não questionários.

Pela primeira vez, o Banco Central exige explicitamente que as instituições financeiras apliquem controles de segurança a sistemas desenvolvidos ou adquiridos de terceiros. Este requisito demanda capacidades operacionais que a gestão tradicional de risco de fornecedores não consegue entregar.

A Lacuna de Visibilidade de Terceiros

Uma grande parcela das violações de dados em serviços financeiros não começa com seus próprios sistemas. Elas começam com um fornecedor, prestador de serviços ou parceiro que tem acesso ao seu ambiente. A Resolução 5.274 reconhece essa realidade ao exigir monitoramento contínuo de sistemas de terceiros.

O problema: a gestão tradicional de risco de fornecedores está baseada em questionários anuais e auditorias pontuais. Estes informam, muitas vezes, o que os fornecedores disseram sobre sua segurança há seis meses. Eles não informam o que está realmente exposto nos ambientes cloud dos fornecedores hoje. Eles não informam quando uma credencial de fornecedor é comprometida. Eles não informam se uma vulnerabilidade crítica permanece sem correção.

O Que Este Guia Cobre

Este documento explica:

  • O que mudou na Resolução 5.274 e o que isso significa para gestão de risco de terceiros
  • Por que questionários anuais não conseguem atender requisitos de monitoramento contínuo
  • Como security scoring diário substitui avaliações manuais de fornecedores
  • Passos práticos para alcançar compliance antes de 1º de março de 2026

Atualização de compliance: principais pontos

  • Prazo de compliance
    1º de março de 2026
  • Novos requisitos
    14 controles mínimos obrigatórios
  • Maior mudança
    Controles de segurança devem agora ser aplicados a sistemas desenvolvidos ou adquiridos de terceiros
  • Documentação requerida
    Evidências de monitoramento contínuo e rastreamento de remediação

O Que Mudou na Regulação

De Diretrizes para Controles Verificáveis

A resolução anterior (CMN 4.893 de 2021) estabeleceu frameworks de política de cibersegurança mas permitiu flexibilidade às instituições na implementação. A Resolução 5.274 especifica exatamente quais controles de segurança você deve ter e o que deve ser capaz de demonstrar para auditores e reguladores.

Esta mudança reflete o reconhecimento do Banco Central de que a digitalização do sistema financeiro brasileiro criou superfícies de ataque que requerem proteções específicas e demonstráveis, em vez de princípios gerais de governança. Compliance não é mais sobre ter políticas. É sobre ter capacidades operacionais que podem ser verificadas continuamente.

As Cinco Mudanças Que Mais Importam

1. Monitorar Sistemas de Terceiros Continuamente

Os controles de segurança agora se aplicam explicitamente a sistemas desenvolvidos ou adquiridos de terceiros (Art. 3, §3, II). Isso significa:

  • Processadores de pagamento, provedores cloud e fornecedores SaaS requerem avaliação contínua de segurança
  • Você precisa de visibilidade sobre configurações reais de segurança dos fornecedores, não apenas declarações auto-reportadas
  • Questionários anuais de fornecedores sozinhos são insuficientes para compliance

Por que isso importa: Uma avaliação de segurança de fornecedor de seis meses atrás não informa se o armazenamento cloud deles está mal configurado hoje, se seus controles de acesso enfraqueceram, ou se seus sistemas têm vulnerabilidades críticas sem correção.

2. Implementar Controles Específicos para Segurança de Integração

Novos requisitos governam integração de sistemas via interfaces eletrônicas, incluindo APIs e integrações de terceiros (Art. 3, §2, XIII). Cada ponto de conexão entre seus sistemas e partes externas deve ser monitorado e protegido.

Por que isso importa: APIs e pontos de integração são vetores comuns de ataque. Comprometer uma única integração pode fornecer acesso a múltiplos sistemas downstream.

3. Realizar Penetration Testing Anual

Testes de segurança independentes devem ser realizados anualmente, com documentação formal de achados e planos de remediação (Art. 8, §1, V).

Por que isso importa: Embora testes anuais satisfaçam o requisito regulatório, vulnerabilidades não esperam 12 meses para serem exploradas. Organizações que complementam pen tests anuais com avaliações automatizadas de segurança diárias detectam e remediam problemas mais rapidamente.

4. Proteger Sistemas de Pagamento Críticos (Art. 3-A, I)

Requisitos específicos agora existem para proteger Pix, STR e outras infraestruturas críticas de pagamento, incluindo autenticação multifator, isolamento de ambiente e monitoramento de credenciais privilegiadas.

Por que isso importa: Sistemas de pagamento processam milhões de transações diariamente. Comprometer esses sistemas poderia ter impactos financeiros sistêmicos.

5.  Produzir Evidências Contínuas

A regulação requer documentação específica que deve estar disponível para o Banco Central (Art. 23), incluindo:

  • Resultados de penetration tests e rastreamento de remediação
  • Registros de incidentes de segurança e ações de resposta
  • Mecanismos para monitoramento e controle de prestadores de serviços terceirizados
  • Resultados de testes de continuidade de negócios

Por que isso importa: Processos manuais tornam a coleta de evidências demorada e propensa a erros. Se você não consegue facilmente produzir prova de monitoramento contínuo, auditorias se tornam exercícios intensivos em recursos em vez de validações rotineiras.

Por Que a Gestão Tradicional de Risco de Fornecedores Falha

As Limitações dos Questionários

A maioria das organizações avalia risco de fornecedores enviando questionários de segurança. Fornecedores completam formulários atestando suas práticas de segurança, talvez forneçam um relatório SOC 2, e a avaliação está completa. Esta abordagem tem três limitações fundamentais:

  • Avaliação pontual: O questionário reflete a postura de segurança do fornecedor quando foi completado, o que pode ter sido há meses. A postura de segurança muda diariamente.
  • Dados auto-reportados: Você depende do que os fornecedores reportam, não do que é objetivamente verdadeiro. Um fornecedor pode afirmar criptografar dados enquanto tem armazenamento cloud mal configurado expondo dados publicamente.
  • Perde exposição do mundo real: Uma resposta perfeita ao questionário não revela se credenciais privilegiadas do fornecedor foram comprometidas, se sistemas críticos têm vulnerabilidades sem correção, ou se controles de acesso estão mal configurados.

O Que a Resolução 5.274 Realmente Requer

A regulação não diz simplesmente avalie seus fornecedores. Ela estabelece que você deve aplicar controles de segurança a sistemas de terceiros e monitorá-los continuamente. Embora a norma use linguagem regulatória, na prática isso significa desenvolver capacidades operacionais específicas:

  • Conhecer a postura real de segurança: Os ambientes cloud dos fornecedores estão configurados adequadamente? Eles têm vulnerabilidades em sistemas externos? Os controles de acesso estão funcionando como projetado?
  • Monitoramento contínuo: Quando uma nova vulnerabilidade emerge ou uma configuração muda, você precisa saber imediatamente se seus fornecedores estão afetados.
  • Evidência de remediação: Você deve ser capaz de demonstrar que problemas de segurança em sistemas de terceiros foram identificados, comunicados e resolvidos.

Um Cenário do Mundo Real

Considere este cenário comum: Seu fornecedor de processamento de pagamento completou seu questionário de segurança há seis meses com resultados fortes. Mas na semana passada:

  • Um desenvolvedor da empresa fornecedora acidentalmente expôs credenciais AWS em um repositório de código público
  • Bots automatizados coletaram essas credenciais em horas
  • Atores de ameaça agora têm acesso potencial ao ambiente cloud do fornecedor, que se conecta aos seus sistemas de pagamento

Pergunta: Quando você descobrirá esta exposição?

Apenas com questionários: Você descobre o problema quando o fornecedor reporta uma violação, ou pior, quando detecta transações não autorizadas em seus próprios sistemas.

Com monitoramento contínuo: Você detecta a configuração incorreta ou exposição em horas, dando tempo para trabalhar com o fornecedor para rotacionar credenciais, restringir acesso e prevenir uma violação.

O Desafio de Evidências de Compliance

Mesmo se você tem processos de monitoramento em vigor, consegue prová-lo? Quando reguladores ou auditores solicitam evidências de monitoramento contínuo de terceiros, você precisa produzir:

  • Registros com timestamp de avaliações de segurança em todos os fornecedores
  • Achados de vulnerabilidades com classificações de severidade e status de remediação
  • Tendências de postura de segurança mostrando melhoria ou degradação ao longo do tempo
  • Documentação de como achados foram comunicados aos fornecedores e resolvidos

Se seu processo depende de planilhas, threads de email e rastreamento manual, coleta de evidências se torna um trabalho em tempo integral. Sistemas de monitoramento automatizados geram essa documentação como subproduto natural de avaliação contínua.

Como Você Pode Atender a Resolução 5.274 Efetivamente

Atender a Resolução 5.274 exige uma mudança fundamental na forma como você gerencia risco de terceiros. Você precisa de sistemas que avaliem segurança de fornecedores diariamente, não anualmente; que coletem dados objetivos sobre configurações e vulnerabilidades, não apenas respostas a questionários; e que gerem evidências de monitoramento contínuo automaticamente, não através de processos manuais. 

A abordagem tradicional baseada em questionários, auditorias pontuais e planilhas não consegue produzir a visibilidade contínua e as evidências que a regulação exige.

Três Capacidades Necessárias para Atender os Requisitos Regulatórios

1. Security Scoring Diário Baseado em Postura Real

Plataformas modernas de Third-Party Cyber Risk Management (TPCRM) geram um security score para cada relacionamento com fornecedor que atualiza diariamente baseado em testes abrangentes. O score deve ser:

  • Explicável: Equipes de GRC e executivos podem ver exatamente o que impulsiona o score e o que precisa melhorar
  • Acionável: O score identifica quais problemas consertar primeiro, priorizados por risco real para sua organização
  • Sensível ao tempo: O score muda conforme a postura do fornecedor melhora ou degrada, fornecendo uma visão contínua em vez de um snapshot

O score é calculado usando visões tanto outside-in quanto inside-out:

  • Outside-in: Avaliação de attack surface externo, configurações de segurança publicamente visíveis, higiene de domínio e certificado
  • Inside-out: Avaliação direta de configurações de infraestrutura cloud, gestão de identidade e acesso, segurança de endpoints, e postura de segurança SaaS através de scanning autorizado e não intrusivo

Benefício prático: Equipes de GRC têm uma métrica única, pronta para executivos, que resume risco de terceiros. Fornecedores recebem alertas detalhados e orientação sobre os achados detalhados necessários para impulsionar remediação. Ambas as visões atualizam diariamente sem esforço manual.

2. Visibilidade Contínua de Terceiros Sem Intrusão

Soluções efetivas fornecem visibilidade contínua da postura de segurança dos fornecedores através de acesso autorizado aos ambientes de terceiros. Restrições importantes:

  • O que é coletado: Metadados/configurações de leitura apenas via APIs de provedores cloud
  • O que não é coletado: Conteúdo de dados de negócio, registros de banco de dados, conteúdo de email ou arquivos de documentos
  • Scanning não intrusivo: Avaliações são não-destrutivas e não-volumétricas. Fornecedores podem validar permissões solicitadas antes do onboarding e podem adicionar atividades à allowlist.
  • Reteste diário: Verificações de segurança rodam diariamente, identificando novas vulnerabilidades ou configurações incorretas conforme emergem

Benefício prático: Você sabe imediatamente quando um fornecedor crítico tem um problema de segurança. Você pode verificar quando problemas são corrigidos. Tudo isso acontece sem processos de auditoria adversariais ou exigir que fornecedores completem questionários repetitivos.

3. Redução Cooperativa de Risco e Evidência Automática

Plataformas modernas são projetadas para redução de risco, não apenas medição de risco. A solução deve fornecer:

  • Visibilidade compartilhada: Fornecedores veem achados detalhados e orientação de remediação. Primeiras partes veem scores de risco resumidos e problemas priorizados. Ambos os lados trabalham com os mesmos dados.
  • Workflow de remediação: Ferramentas integradas para rastrear resolução de problemas, comunicar com fornecedores e validar correções
  • Trilhas de auditoria completas: Cada avaliação, achado, comunicação e remediação é timestamped e armazenada automaticamente
  • Dashboards de compliance: Visão em tempo real da postura de risco de fornecedores com tendências históricas e relatórios prontos para executivos
  • Relatórios exportáveis: Gere documentação de compliance para reguladores ou auditores com evidência completa de monitoramento contínuo

Benefício prático: O que costumava exigir semanas de trabalho manual (reunir evidências, criar relatórios, rastrear remediação em dezenas de fornecedores) acontece automaticamente como subproduto do monitoramento contínuo.

Zanshin: A Única Plataforma TPCRM que Reduz Risco de Terceiros Sistematicamente

Zanshin é a única solução global de Third-Party Cyber Risk Management que combina visibilidade inside-out e outside-in para reduzir materialmente o risco cibernético de terceiros, não apenas medi-lo. 

Por Que Zanshin É Único no Mercado

  1. Abordagem cooperativa, com consentimento
    O acompanhamento de postura entre organizações ocorre com mútuo acordo. Ao longo da jornada, o terceiro pode ser acompanhado por especialistas do time de Customer Success, com diretrizes objetivas para mitigação de riscos identificados.

  2. Outside-in + Inside-out
    Zanshin integra sinais externos e internos para gerar uma visão mais completa de postura, com compartilhamento resumido e mascarado para preservar a privacidade do fornecedor.

  3. Atualização frequente e verificações seguras
    O Security Score é recalculado a cada 6 horas, refletindo mudanças de postura ao longo do tempo. As checagens são desenhadas para serem não intrusivas, sem testes volumétricos, sem exfiltração e sem exploração, com allowlists.

  4. Acesso mínimo, sem agente e sem coletar dados de negócio
    Zanshin usa acesso read-only a metadados e APIs públicas, não exige instalação de agentes e não coleta conteúdo de dados corporativos. Dados brutos de scan são retidos por um período curto para troubleshooting e deletados automaticamente após 7 dias.
Conheça o poder de Zanshin

Você tem certeza tem certeza da segurança de seus terceiros — ou só espera que esteja tudo bem? Veja o que o security scoring diário revela e como transformar achados em evidências de compliance automaticamente.

Como Zanshin Atende a Resolução CMN 5.274

Zanshin oferece todas as capacidades necessárias para compliance com a Resolução CMN 5.274 em uma única plataforma integrada:

  • Monitoramento contínuo de terceiros através de testes diários automatizados em ambientes cloud, SaaS, endpoints e identidade
  • Security scoring baseado em postura real que atualiza diariamente, eliminando dependência de questionários pontuais
  • Evidências automáticas de compliance com trilhas de auditoria completas, timestamped, de cada avaliação, achado e remediação
  • Dashboards executivos com visão em tempo real da postura de risco de fornecedores e tendências históricas
  • Workflow cooperativo de remediação com ferramentas integradas para comunicação com fornecedores e validação de correções
  • Relatórios exportáveis prontos para apresentação a reguladores e auditores
  • A plataforma suporta múltiplas clouds (AWS, Azure, GCP, IBM Cloud, Digital Ocean), provedores de identidade, soluções de endpoint security e aplicações SaaS, cobrindo a superfície de ataque completa dos fornecedores críticos

FAQ

O que é a Resolução CMN 5.274 e o que ela muda na prática?

A Resolução CMN 5.274 (publicada em 18/12/2025) complementa e modifica a CMN 4.893/2021 ao adicionar 14 controles mínimos obrigatórios de cibersegurança, com foco em controles verificáveis e evidências.

  • De “diretrizes” para controles específicos que você precisa demonstrar para auditoria e regulador.
  • Exigência explícita de controles aplicados a sistemas de terceiros, não só aos seus.
Qual é o prazo de compliance e o que precisa estar pronto até 1º de março de 2026? prazo

O prazo é 1º de março de 2026. Até essa data, a instituição precisa conseguir comprovar que opera os controles exigidos — com monitoramento contínuo de terceiros e documentação rastreável.

  • Evidências contínuas de monitoramento e rastreio de remediação.
  • Registros e documentação prontos para apresentação ao Banco Central (incluindo itens citados no Art. 23, conforme descrito no guia).
Quem entra no escopo e qual o papel da Resolução BCB nº 538 (18/12/2025)?

Além da CMN 5.274, o guia aponta a publicação simultânea da Resolução BCB nº 538 (18/12/2025), que altera a BCB nº 85/2021 e define o escopo de aplicação das normas às instituições financeiras.

Na prática, você deve tratar essas resoluções como um pacote: requisitos + escopo de quem precisa cumprir.

Qual é a maior mudança para gestão de terceiros e PSTIs?

A maior mudança é que os controles de segurança passam a se aplicar explicitamente a sistemas desenvolvidos ou adquiridos de terceiros (Art. 3, §3, II), com monitoramento contínuo de postura.

  • Fornecedores críticos (cloud, SaaS, processadores de pagamento, PSTIs) deixam de ser avaliados só por “papel”.
  • Você precisa de visibilidade sobre configurações reais, vulnerabilidades e sinais de risco atuais — não apenas declarações.
Por que questionários anuais e auditorias pontuais não atendem ao requisito de monitoramento contínuo?

Porque eles são pontuais e auto-reportados. O guia destaca que um questionário pode refletir a postura de meses atrás e não mostra exposição real (ex.: cloud mal configurada hoje, credencial comprometida, vulnerabilidade crítica sem correção).

Critério Questionários/Auditorias pontuais Monitoramento contínuo + scoring
Frequência Anual / esporádica Diária (ou frequente), com atualização contínua
Base de evidência Declaração do fornecedor + snapshots Dados objetivos de postura e configurações
Detecção de mudanças Lenta (semanas/meses) Rápida (horas/dias), conforme mudanças ocorrem
Remediação Rastreio manual (planilhas/e-mails) Workflow e trilha de auditoria com status e timestamps
Prontidão para auditoria Coleta trabalhosa e propensa a falhas Evidência gerada como subproduto do processo
Essência do requisito: não basta “ter política”. Você precisa conseguir demonstrar capacidade operacional verificável e contínua.
O que significa “aplicar controles de segurança a sistemas desenvolvidos ou adquiridos de terceiros” (Art. 3, §3, II)?

Significa que a instituição passa a precisar de mecanismos para avaliar e acompanhar a postura de segurança de sistemas que não são seus, mas que suportam operações e integrações críticas.

  • Não é só avaliar o fornecedor: é monitorar o sistema/ambiente onde ele roda.
  • O foco sai de “documentos” e vai para controles e evidências de que o risco está sendo gerido continuamente.
O que é security scoring diário e por que ele substitui avaliações manuais de fornecedores?

É uma forma de consolidar sinais de postura de segurança em um score acionável que se atualiza com frequência (no guia, a lógica é de atualização diária ou até mais frequente).

  • Explicável: mostra o que está puxando o score para baixo e o que corrigir.
  • Acionável: prioriza problemas por risco real.
  • Sensível ao tempo: muda conforme a postura melhora ou piora, dando visão contínua.

O guia descreve a combinação de duas visões: outside-in (superfície externa) e inside-out (configurações e controles via acesso autorizado).

Como fazer monitoramento contínuo de terceiros sem ser intrusivo?

O guia recomenda visibilidade contínua baseada em acesso autorizado e leitura apenas, evitando coleta de dados de negócio e qualquer varredura destrutiva.

  • O que é coletado: metadados/configurações via APIs de cloud (leitura apenas).
  • O que não é coletado: conteúdo de dados de negócio, e-mails, arquivos e registros de banco.
  • Não intrusivo: checagens não volumétricas; fornecedor pode validar permissões e usar allowlist.
  • Reteste frequente: verificações recorrentes para identificar mudanças e novas vulnerabilidades.
O que muda para integrações via APIs e interfaces eletrônicas (Art. 3, §2, XIII)?

As integrações passam a exigir controles e monitoramento específicos. Cada ponto de conexão com partes externas (APIs, integrações de terceiros) deve ser monitorado e protegido.

O motivo é direto: integrações são vetores comuns de ataque; comprometer um elo pode abrir acesso a múltiplos sistemas downstream.

O que a norma exige sobre penetration testing anual (Art. 8, §1, V) e como isso se conecta ao dia a dia?

O guia destaca a exigência de testes independentes anuais com documentação formal de achados e planos de remediação (Art. 8, §1, V).

  • Pen test anual cumpre o requisito, mas não elimina o risco entre ciclos.
  • Complementar com avaliações automatizadas frequentes acelera detecção e correção, reduzindo janelas de exposição.
Quais controles ganham atenção especial em sistemas de pagamento críticos (Art. 3-A, I)?

O guia aponta requisitos específicos para proteger infraestruturas críticas como Pix e STR, incluindo:

  • Autenticação multifator.
  • Isolamento de ambiente.
  • Monitoramento de credenciais privilegiadas.

O racional é o impacto sistêmico: sistemas de pagamento são alvo prioritário por processarem grandes volumes e serem críticos para continuidade operacional.

Que tipo de evidências contínuas você precisa produzir (Art. 23) para auditoria e regulador?

O guia descreve a necessidade de documentação disponível ao Banco Central, incluindo evidências de monitoramento e rastreamento de remediação. Exemplos citados:

  • Resultados de penetration tests e rastreamento de remediação.
  • Registros de incidentes e ações de resposta.
  • Mecanismos de monitoramento e controle de prestadores terceirizados.
  • Resultados de testes de continuidade de negócios.

O ponto central: se a evidência depende de planilhas, e-mails e rastreio manual, a auditoria vira um projeto. Em monitoramento contínuo, a evidência nasce automaticamente com timestamps.

Como a Zanshin se posiciona para atender a Resolução CMN 5.274, segundo o guia?

Segundo o guia, a Zanshin é apresentada como uma plataforma TPCRM que combina outside-in + inside-out para monitoramento contínuo e redução cooperativa de risco, com foco em evidências automáticas.

  • Atualização frequente: security score recalculado a cada 6 horas.
  • Não intrusivo: checagens sem exploração, sem exfiltração, com allowlists.
  • Acesso mínimo: read-only a metadados e APIs públicas, sem agente e sem coletar dados de negócio.
  • Trilha de auditoria: registros timestamped de avaliações, achados, comunicação e remediação.
  • Integrações: suporte a múltiplas clouds (AWS, Azure, GCP, IBM Cloud, Digital Ocean), identidade, endpoint e aplicações SaaS.
  • Retenção: dados brutos de scan retidos por curto período e deletados automaticamente após 7 dias (para troubleshooting).
Agende uma demo
Share
Latest Posts
Tenchi Security acelera internacionalização e anuncia contratação estratégica para o México em sua jornada rumo à liderança em TPCRM
Read more
Vulnerabilidades na cadeia de suprimentos: um dos principais desafios para a resiliência cibernética segundo o relatório do WEF
Read more
Os incidentes de cibersegurança mais relevantes que envolveram terceiros em 2025
Read more