top of page

Política de Segurança Cibernética

Res. CMN 4.893/2021 · Res. BCB 85/2021 · Res. BCB 538/2025 · Res. CMN 5.274/2025

 

1.   DEFINIÇÃO 
O termo INSTITUIÇÃO, citado ao longo deste documento, refere-se indistintamente à CODEPE Corretora de Valores e Câmbio S/A e/ou Ótimo Sociedade de Crédito Direto S/A, quando aplicável. 
O termo CORRETORA faz referência exclusivamente à CODEPE Corretora de Valores e Câmbio S/A, o termo ÓTIMO faz referência exclusivamente a ÓTIMO Sociedade de Crédito Direto S/A. 
 

2.   OBJETIVO 

A Política de Segurança Cibernética tem como objetivo definir diretrizes, princípios, regras e procedimentos referentes às melhores práticas, visando assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados na INSTITUIÇÃO. Esta política aborda o que a INSTITUIÇÃO faz para prevenir, detectar e reduzir a vulnerabilidade a incidentes relacionados com o ambiente cibernético.

 

3.  Procedimentos e Controles

Os procedimentos e controles são aplicados inclusive no desenvolvimento de sistemas de informação seguros e na adoção de novas tecnologias empregadas nas atividades da INSTITUIÇÃO.

3.1  Parâmetros de Senha: Autenticação / Criptografia

A INSTITUIÇÃO adota requisitos de senha e técnicas de criptografia para proteção dos dados. Todos os programas que armazenarem informações não públicas terão acessos controlados mediante autenticação e criptografia, com os seguintes parâmetros:

  • Número mínimo de 8 (oito) caracteres.

  • Expiração periódica (máximo 90 dias).

  • Bloqueio após 5 (cinco) tentativas consecutivas malsucedidas.

  • Proibição de reutilização das últimas 5 (cinco) senhas.

  • Senhas armazenadas exclusivamente em formato criptografado (hash seguro).

  • Complexidade obrigatória: letras maiúsculas, minúsculas, números e caracteres especiais.

  • Múltiplos fatores de autenticação (MFA) para acesso à rede corporativa a partir de ambientes externos, incluindo VPN.

Cada colaborador possui login e senha pessoais e intransferíveis. É de inteira responsabilidade do usuário qualquer ocorrência que implique comprometimento dos interesses da INSTITUIÇÃO por intermédio dessas credenciais.

 

3.2  Controles de Criptografia

Em conformidade com os requisitos mínimos estabelecidos pelas normas regulatórias vigentes:

(a)  Dados em Trânsito: toda comunicação via API utiliza SSL/TLS. A comunicação com clientes ocorre via mTLS (Mutual TLS) por meio do AWS API Gateway, proporcionando autenticação mútua e encriptação ponta a ponta.

(b)  Gerenciamento de Credenciais: chaves KMS (AWS Key Management Service) são utilizadas para criptografar credenciais sensíveis. A guarda de chaves privadas e certificados digitais segue procedimentos formalizados com acesso restrito e rastreável.

(c)  Dados Críticos e Confidenciais: informações sensíveis como credenciais, dados financeiros e de clientes são sempre criptografadas em repouso (S3, RDS) e em trânsito (SSL, mTLS).

(d)  Dados Públicos: a comunicação e o armazenamento seguem as boas práticas de segurança, garantindo que qualquer dado seja tratado de maneira segura.

 

3.3  Prevenção e Detecção de Intrusão

A INSTITUIÇÃO desenvolveu as seguintes medidas:

(a)  Monitoração diária da rede através de relatório do firewall, com gerenciamento feito pela área de Tecnologia da Informação.

(b)  Reforço das políticas de firewall e monitoramento de conexões, evitando tentativas de conexão com sistemas críticos provenientes de ativos externos à rede corporativa.

(c)  Atualização constante das ferramentas de proteção (antivírus e firewall).

(d)  Detecção e bloqueio de ameaças quando identificadas.

(e)  Criação de normativos e informativos de segurança da informação para prevenção e detecção de intrusão, disponíveis para todos os colaboradores.

(f)  Desenvolvimento de sistemas seguros e novas tecnologias de proteção.

(g)  Monitoração da autenticidade do usuário solicitante na consulta de chave Pix, quando aplicável.

(h)  Ampliação do monitoramento do uso de credenciais e certificados digitais, especialmente os utilizados no âmbito do Sistema de Pagamentos Instantâneos (SPI).

 

3.4  Prevenção de Vazamento de Informações

A INSTITUIÇÃO adota os seguintes procedimentos:

(a)  Controle de autenticidade e integridade das informações disponíveis em sistemas internos.

(b)  Correto descarte e destruição de componentes de armazenamento e processamento de informações.

(c)  Os HDs dos computadores desativados são formatados, desmontados e submetidos a tratamento térmico (forno de alta temperatura e resfriamento em água), impossibilitando qualquer reutilização.

(d)  O descarte de documentos físicos é feito por desfragmentadoras distribuídas pelo escritório. No trabalho remoto, é obrigatório o uso de documentos digitais acessados via VPN.

(e)  Manutenção de cópias de segurança dos dados e das informações.

(f)  Verificação de conformidade dos requisitos de segurança.

(g)  A privacidade e a proteção dos dados são asseguradas conforme a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

 

3.5  Testes e Varreduras para Detecção de Vulnerabilidades

A INSTITUIÇÃO realiza periodicamente:

(a)  Parametrização do firewall para envio de alertas à equipe de TI. Um alerta é considerado incidente quando houver: tráfego em portas incomuns; acesso a sites sem classificação ou de segurança duvidosa; tentativas de acessos indevidos a dispositivos na rede.

(b)  Varredura diária em toda a rede, aplicativos e infraestrutura, incluindo varredura lógica e física para identificar dispositivos indevidamente conectados à rede corporativa.

(c)  Monitoramento constante do antivírus.

(d)  Testes de intrusão (pentest) anuais, conduzidos por empresa especializada e independente, conforme exigido pelas Resoluções BCB nº 538/2025 e CMN nº 5.274/2025.

(e)  Gestão de vulnerabilidades com priorização baseada em risco, incluindo aplicação de patches e correções tempestivas.

 

3.6  Proteção Contra Softwares Maliciosos

(a)  Atualização e manutenção do sistema operacional com aplicação tempestiva de patches de segurança.

(b)  Aplicação de softwares antivírus em todas as estações de trabalho.

(c)  Utilização exclusiva de softwares legalmente licenciados.

(d)  Revisão periódica e exclusão de softwares defasados e/ou sem utilização.

(e)  Atualização constante das ferramentas de proteção (antivírus e firewall).

É obrigatório que os usuários tenham especial atenção antes de clicar em links recebidos por qualquer canal, mesmo vindo de pessoas conhecidas.

 

3.7  Mecanismos de Rastreabilidade

(a)  Os registros de acesso são protegidos contra acessos não autorizados e contra qualquer tipo de alteração. Quando alterados, ficam registrados em trilha de auditoria.

(b)  Quando um colaborador é desligado, as informações relacionadas às suas atividades são mantidas e armazenadas por pelo menos 5 (cinco) anos, incluindo e-mails e dados de sistemas.

(c)  As trilhas de auditoria dos sistemas computacionais são armazenadas diariamente e mantidas por pelo menos 5 (cinco) anos, identificando usuário, evento, data e hora das ações realizadas.

 

3.8  Controles de Acesso e Segmentação da Rede

(a)  Restrição do acesso a arquivos e identificação das pessoas com acesso a informações confidenciais, com implementação de protocolos de controle de acesso à rede (IEEE 802.1x), limitando o acesso a usuários e dispositivos autorizados.

(b)  O acesso aos sistemas, arquivos e informações técnicas é controlado por matriz de segregação de funções, revisada pela equipe de TI, Compliance e Auditoria Interna.

(c)  A rede permite a criação de usuários com diferentes níveis de permissão, com segregação lógica nos servidores, garantindo área de armazenamento distinta por departamento.

(d)  As áreas possuem pastas de atividades com controle de acesso, mantidas pelos respectivos usuários.

(e)  Cada colaborador possui pelo menos um computador exclusivo; é vedado o compartilhamento de equipamentos. Periféricos como impressoras são setorizados por área. Permissões de acesso de colaboradores terceirizados são revisadas periódica e tempestivamente.

(f)  Reforço dos critérios para acesso e monitoramento de conexões com ambientes externos via VPN, especialmente em horário noturno ou não convencional.

(g)  Reforço das ações de inteligência cibernética, incluindo o monitoramento de informações de interesse na Internet, Deep Web e Dark Web, além de grupos privados de comunicação.

 

3.9  Manutenção de Cópias de Segurança

(a)  A área de TI disponibiliza meios para garantir a integridade e a restauração das informações, inclusive realizando testes periódicos de funcionalidade.

(b)  Os dados são diariamente replicados em local seguro e fora da localidade de origem.

(c)  Acesso físico restrito e controlado às informações.

(d)  Automatização programada de backup, com processos independentes e sequenciais por setor do servidor.

(e)  Emissão diária de logs dos processos executados na rotina de backup.

 

3.10  Segurança em Interfaces Eletrônicas (APIs) e Hardening

Res. BCB 538/2025 · Res. CMN 5.274/2025

 

Em conformidade com os requisitos introduzidos pelas Resoluções BCB nº 538/2025 e CMN nº 5.274/2025, a INSTITUIÇÃO adota:

  • Controles de segurança específicos para integração de sistemas via APIs, incluindo autenticação, autorização, limitação de taxa de requisições e registro de acessos.

  • Perfis de configuração segura (hardening) para todos os sistemas, servidores e dispositivos de rede, com revisão periódica conforme boas práticas de mercado.

  • Gestão formal de certificados digitais, com monitoramento de validade e procedimentos documentados para renovação e revogação.

 

4.  Tratamento de Incidentes

A área de Tecnologia da Informação gerencia o registro de incidentes com análise da causa e do impacto, bem como o controle dos efeitos relevantes para as atividades, inclusive informações recebidas de empresas prestadoras de serviços a terceiros.

A INSTITUIÇÃO disponibilizará informações sobre os incidentes relevantes com outras instituições autorizadas a funcionar pelo Banco Central do Brasil, seguindo as diretrizes do Grupo Consultivo de Cibersegurança da ANBIMA, que visa avaliar novas iniciativas de testes compartilhados e fomentar cultura de compartilhamento de informação. Tal compartilhamento se dará resguardando o sigilo bancário, informações de clientes e os segredos de negócio da INSTITUIÇÃO.

 

5.  Diretrizes

Para o cumprimento desta Política, devem ser respeitadas por todos os colaboradores, terceiros e parceiros comerciais:

(a)  Proteger e gerenciar dados, informações e acessos, a fim de garantir a confidencialidade, integridade e disponibilidade.

(b)  Promover a segurança física e lógica, com controle de acesso e proteção das ameaças físicas e ambientais.

(c)  Classificar as informações conforme importância dos dados e sistemas de processamento. Detalhes disponíveis na POL-008 — Política de Segurança da Informação.

(d)  Gerenciar os acessos às informações, com definição de níveis de acesso e segregação de funções.

(e)  Definir o plano de ação para resposta a incidentes de segurança cibernética.

(f)  Conscientizar e treinar todos os colaboradores em segurança da informação.

(g)  Garantir a continuidade de negócios e proteção das informações críticas.

(h)  Elaborar cenários de incidentes nos testes de continuidade de negócios, incluindo cenários cibernéticos, em especial os relacionados ao Pix e ao STR (Sistema de Transferência de Reservas).

(i)  Gerenciar o processo de continuidade de negócios relativo à segurança da informação.

(j)  Avaliar as ameaças e riscos na contratação de serviços e fornecedores.

(k)  Estabelecer procedimentos e controles voltados à prevenção e ao tratamento de incidentes adotados por empresas prestadoras de serviços a terceiros que manuseiem dados ou informações sensíveis.

(l)  Executar plano de continuidade de negócios visando prevenir, detectar e reduzir a vulnerabilidade a incidentes cibernéticos.

(m)  Atender à legislação vigente e às normas regulatórias do mercado de atuação.

(n)  Atuar na prevenção e detecção de fraudes, conforme detalhado no documento SOP 003 — Prevenção e Detecção de Fraudes.

 

6.  Plano de Continuidade de Negócios

A INSTITUIÇÃO elaborou e implementou o TEC 001 — Plano de Continuidade de Negócios, com objetivo de evitar a interrupção das atividades, proteger os processos críticos (especialmente a liquidação das operações em curso), zelar pela integridade física dos colaboradores e equipamentos, e resguardar todos os registros de transações efetuadas.

Para garantir a continuidade de negócios e a proteção das informações críticas, a INSTITUIÇÃO possui escritório de contingência com infraestrutura física e tecnológica suficiente, incluindo CPD de contingência que replica automaticamente o conteúdo dos sistemas críticos em caso de indisponibilidade do escritório principal.

A INSTITUIÇÃO considerou cenários de incidentes cibernéticos nos casos de interrupções e/ou falhas de sistemas e serviços, incluindo cenários relacionados ao STR, descritos no item 6 do TEC 001.

 

7.  Mecanismos para Disseminação da Cultura de Segurança Cibernética

A INSTITUIÇÃO criou mecanismos para disseminar a cultura de segurança cibernética com a implementação do Programa de Conscientização de Segurança da Informação:

  • Treinamento realizado regularmente por todos os colaboradores, com o objetivo de conscientizar sobre aspectos de segurança da informação e orientar sobre o cumprimento das normas, diretrizes e procedimentos da Política de Segurança da Informação (PSI).

  • Avaliação periódica de desempenho dos colaboradores no cumprimento das diretrizes de segurança cibernética.

 

A INSTITUIÇÃO disponibiliza na sua página oficial na internet as principais recomendações de segurança na utilização dos produtos e serviços financeiros aos seus clientes e usuários.

Além disso, a INSTITUIÇÃO constituiu o Comitê de Segurança da Informação, composto por membros da alta administração e colaboradores envolvidos, com os seguintes objetivos:

(a)  Coordenar ações de divulgação da Política de Segurança da Informação.

(b)  Propor melhorias dos processos e mecanismos relacionados à segurança cibernética.

(c)  Planejar e coordenar a implementação das normas de segurança contidas na PSI.

(d)  Promover a divulgação dessas normas e dirimir dúvidas quanto à sua aplicação.

(e)  Deliberar sobre eventuais alterações da PSI e definir as ações para a divulgação dessas alterações.

(f)  Garantir o comprometimento da alta administração com a melhoria contínua dos procedimentos relacionados à segurança cibernética.

 

8.  Contratação de Serviços, Processamento de Dados e Computação em Nuvem

Res. CMN 4.893/2021 · Res. BCB 85/2021 · Res. BCB 538/2025

 

A INSTITUIÇÃO assegura que suas políticas, estratégias e estruturas para gerenciamento de riscos contemplam a contratação de serviços relevantes e de processamento, armazenamento de dados e computação em nuvem no País.

Previamente à contratação de serviços, a INSTITUIÇÃO adotará procedimentos que contemplem:

(a)  A adoção de práticas de governança corporativa e de gestão proporcionais à relevância do serviço a ser contratado e aos riscos a que esteja exposta.

(b)  A verificação da capacidade do potencial prestador de serviço de assegurar: cumprimento da legislação e regulamentação; acesso da INSTITUIÇÃO aos dados processados; confidencialidade, integridade, disponibilidade e recuperação dos dados; aderência às certificações exigidas; acesso a relatórios de auditoria especializada; segregação e identificação dos dados dos clientes da INSTITUIÇÃO; qualidade dos controles de acesso para proteção das informações dos clientes.

 

Os contratos para prestação de serviços relevantes devem prever:

  • A indicação dos países e regiões onde os serviços poderão ser prestados e os dados poderão ser armazenados e processados.

  • A adoção de medidas de segurança para a transmissão e armazenamento dos dados.

  • A manutenção da segregação dos dados e dos controles de acesso enquanto o contrato estiver vigente.

  • A transferência dos dados ao novo prestador ou à própria INSTITUIÇÃO, e a exclusão dos dados pelo contratado substituído, em caso de extinção do contrato.

  • O acesso da INSTITUIÇÃO a informações, certificações e relatórios de auditoria especializada.

  • A obrigação de notificação sobre subcontratação de serviços relevantes.

  • A permissão de acesso do Banco Central do Brasil aos contratos, documentação e informações referentes aos serviços prestados.

  • A notificação prévia com ao menos 30 (trinta) dias de antecedência em caso de intenção de interrupção da prestação de serviços.

 

A comunicação ao BCB sobre contratação de serviços relevantes de computação em nuvem deve ser realizada em até 10 (dez) dias após a contratação ou alteração contratual relevante.

 

9.  Divulgação da Política de Segurança Cibernética

Esta política é divulgada na intranet a todos os colaboradores da INSTITUIÇÃO, e ao público em geral, em versão simplificada, na página oficial na internet. Para os prestadores de serviços e terceiros é disponibilizada cópia desta política de segurança cibernética.

 

10.  Disposições Gerais

A INSTITUIÇÃO instituiu mecanismos de acompanhamento e controle para assegurar a implementação e a efetividade desta política, do plano de ação e resposta a incidentes e dos requisitos para contratação de serviços de computação em nuvem, incluindo:

(a)  A definição de processos, testes e trilhas de auditoria.

(b)  A definição de métricas e indicadores adequados.

(c)  A identificação e a correção de eventuais deficiências.

 

11.  Disposições Finais

Devem ficar à disposição do Banco Central do Brasil pelo prazo de 5 (cinco) anos:

(a)  Esta política de segurança cibernética.

(b)  O documento relativo ao plano de ação e de resposta a incidentes.

(c)  O relatório anual.

(d)  Os contratos, a partir do prazo da extinção do contrato.

(e)  Os dados, registros e informações relativas aos mecanismos de acompanhamento e controle, contado o prazo a partir da implementação dos citados mecanismos.

 

12.  Aprovação, Vigência e Revisão

O programa de segurança cibernética é revisado periodicamente, de forma a manter sempre atualizadas as avaliações de risco, implementações de proteção, planos de resposta a incidentes e monitoramento dos ambientes.

A Diretoria é responsável pela aprovação desta Política, devendo também supervisionar e controlar seu cumprimento e os processos a ela relacionados. Esta Política entra em vigor na data de sua publicação e deve ser revisada, no mínimo, anualmente, ou imediatamente caso seu conteúdo sofra alguma alteração.

 

13.  Referências Regulatórias

Esta Política foi elaborada em conformidade com as seguintes normas:

 

  • Resolução CMN nº 4.893/2021 — Dispõe sobre a política de segurança cibernética e os requisitos para contratação de serviços de processamento, armazenamento de dados e computação em nuvem.

  • Resolução BCB nº 85/2021 — Dispõe sobre a política de segurança cibernética para instituições de pagamento.

  • Resolução BCB nº 538/2025 — Altera a Resolução BCB nº 85/2021, ampliando os requisitos mínimos de controles de segurança cibernética para instituições de pagamento, corretoras e distribuidoras.

  • Resolução CMN nº 5.274/2025 — Altera a Resolução CMN nº 4.893/2021, elevando os padrões de segurança cibernética para as demais instituições autorizadas a funcionar pelo BCB.

  • Lei nº 13.709/2018 — Lei Geral de Proteção de Dados (LGPD).

  • Regulamento do Sistema de Pagamentos Instantâneos (Pix) — Banco Central do Brasil.

© Copyright
bottom of page