DataBackup
Compliance16 min de leituraTadeu Figueiredo Head de Estratégia Digital, DataBackup

BACEN e Backup: Requisitos para Instituições Financeiras

O Banco Central do Brasil exige que instituições financeiras adotem políticas rigorosas de backup e segurança cibernética. Entenda as resoluções, os requisitos técnicos e como evitar penalidades por não conformidade.

O Que o BACEN Exige Sobre Proteção de Dados

Pontos-Chave

  • A Resolução BCB 4.893/2021 é a norma vigente — consulte o texto oficial no site do Banco Central
  • Multas por infração variam de R$ 1.000 a R$ 500.000, com possibilidade de cassação da autorização em casos graves
  • Retenção mínima de 5 anos para dados transacionais, alinhada à legislação tributária
  • Aplica-se a todas as instituições autorizadas — fintechs, bancos, cooperativas e instituições de pagamento
  • BACEN deve ter acesso irrestrito aos backups, inclusive quando armazenados no exterior

O Banco Central do Brasil é o órgão regulador responsável por supervisionar o sistema financeiro nacional. Diante do crescimento exponencial de ameaças cibernéticas, o BACEN endureceu significativamente as exigências de segurança da informação para todas as instituições reguladas.

Para bancos, cooperativas, fintechs e instituições de pagamento, proteger dados não é apenas boa prática — é obrigação regulatória. Uma falha de backup corporativo que resulte em perda pode acarretar desde multas expressivas até cassação da autorização de funcionamento.

O que o BACEN determina que toda instituição autorizada deve fazer?

  • Implementar política de segurança cibernética aprovada pelo conselho ou diretoria
  • Estabelecer procedimentos de backup e recuperação como parte dessa política
  • Garantir continuidade de negócios mesmo em cenários de incidentes graves
  • Manter registros auditáveis de todas as operações
  • Assegurar que o próprio BACEN tenha acesso irrestrito aos dados

Resoluções do BACEN Que Impactam o Backup

Resolução 4.658/2018 — A Norma Pioneira (Revogada)

Publicada em abril de 2018, a Resolução 4.658 foi o marco que estabeleceu, pela primeira vez, requisitos específicos de segurança cibernética para o sistema financeiro brasileiro. O texto oficial da Resolução 4.658 segue disponível para referência histórica.

  • Obrigatoriedade de política de segurança cibernética
  • Requisitos para contratação de serviços em nuvem
  • Plano de resposta a incidentes cibernéticos
  • Nomeação de diretor responsável pela política

Resolução BCB 4.893/2021 — A Norma Vigente

A Resolução BCB 4.893, de 26 de fevereiro de 2021, é a norma atualmente em vigor. Seus principais avanços:

  • Continuidade de negócios: procedimentos e controles para assegurar serviços essenciais, com backups regulares e testados
  • Gestão de riscos cibernéticos: avaliação periódica de vulnerabilidades e testes de intrusão
  • Contratação de nuvem: requisitos específicos para provedores, incluindo segregação lógica, criptografia e auditabilidade
  • Comunicação de incidentes: obrigatoriedade de comunicação ao BACEN de incidentes relevantes
  • Plano de resposta: cenários detalhados e testes periódicos
  • Acesso pelo regulador: garantia de que o BACEN tenha acesso aos dados para supervisão

Vale lembrar que a LGPD (Lei 13.709/2018) também impacta diretamente as instituições financeiras em relação ao tratamento de dados pessoais. A interseção entre BACEN e LGPD cria dupla camada de compliance. Para guia detalhado, consulte nosso conteúdo sobre compliance LGPD e backup e o hub compliance LGPD.

Comparativo: Resolução 4.658 vs. Resolução 4.893

Aspecto Res. 4.658/2018 Res. BCB 4.893/2021
StatusRevogadaVigente
Política de segurança cibernéticaObrigatóriaObrigatória (ampliada)
Contratação de nuvemRegulamentadaCritérios atualizados
Plano de continuidadePrevistoDetalhado com testes obrigatórios
Comunicação de incidentesPrevistaPrazos e critérios mais claros
Backup e recuperaçãoMencionadoRequisitos técnicos detalhados
Gestão de risco de terceirosBásicaAmpliada com due diligence
Acesso pelo reguladorPrevistoIrrestrito, inclusive dados em nuvem

Requisitos Técnicos de Backup para Instituições Financeiras

A partir da Resolução BCB 4.893 e das melhores práticas do setor, as instituições precisam atender a um conjunto robusto de requisitos técnicos. Esses requisitos vão muito além de simplesmente "fazer cópia".

1. Frequência e granularidade

Instituições financeiras operam com dados de alta criticidade. O BACEN espera que a frequência reflita essa criticidade:

  • Dados transacionais: backup contínuo ou RPO máximo de 1 hora
  • Bases de dados de clientes: backup diário com incrementais ao longo do dia
  • Sistemas contábeis: backup diário com retenção de 5 anos
  • Configurações: backup após cada alteração significativa
  • Logs de auditoria: retenção mínima de 5 anos em armazenamento imutável

A definição de RTO e RPO deve ser formalizada em documento aprovado pela diretoria.

2. Criptografia e proteção dos dados

  • Em trânsito: TLS 1.2 ou superior
  • Em repouso: AES-256
  • Gestão de chaves: gerenciadas separadamente dos dados, com rotação periódica
  • Controle de acesso: MFA obrigatória para acesso ao sistema
  • Segregação: dados segregados logicamente por ambiente e classificação

3. Imutabilidade e proteção contra ransomware

O setor financeiro é um dos mais visados por ataques de ransomware. Segundo o Verizon Data Breach Investigations Report, o setor financeiro figura consistentemente entre os três mais atacados. O BACEN espera medidas robustas:

  • Backup imutável: cópias que não podem ser alteradas ou excluídas durante o período de retenção
  • Air-gap: pelo menos uma cópia fisicamente desconectada
  • Credenciais independentes: contas de administração de backup separadas do Active Directory
  • Monitoramento de integridade: verificações automatizadas com alertas

Para aprofundamento sobre proteção contra ransomware, consulte nosso guia dedicado.

4. Testes de restauração obrigatórios

Não basta fazer backup — é preciso comprovar que a restauração funciona. Quantas instituições já foram surpreendidas na hora do desastre por backups corrompidos? Muitas mais do que se imagina.

  • Testes de restauração completa pelo menos semestralmente para sistemas críticos
  • Testes de restauração parcial trimestralmente
  • Simulações de disaster recovery anualmente
  • Documentação completa de resultados e tempos reais vs. esperados
  • Plano de ação corretiva para desvios

5. Armazenamento geográfico e soberania

  • Dados armazenados no exterior devem ser acessíveis pelo BACEN a qualquer momento
  • O provedor de nuvem deve permitir auditoria pelo regulador
  • A instituição deve manter capacidade de repatriar dados ao Brasil
  • Contratos devem incluir cláusulas de acesso regulatório e portabilidade

Requisitos técnicos resumidos

Requisito Nível Mínimo Recomendado
RPO (dados transacionais)1 horaTempo real
RTO (sistemas críticos)4 horas1 hora ou menos
Criptografia em repousoAES-256AES-256 com HSM
Criptografia em trânsitoTLS 1.2TLS 1.3
Retenção (transações)5 anos7-10 anos
Retenção de logs5 anos10 anos
Teste de restauraçãoSemestralTrimestral
Simulação de DRAnualSemestral
ImutabilidadeRecomendadoObrigatório para dados críticos
Cópias geográficas2 localidades3+ localidades

Penalidades por Não Conformidade

O BACEN dispõe de arsenal significativo de sanções. As penalidades são proporcionais à gravidade, ao porte da instituição e à reincidência.

Sanções administrativas

  • Advertência: para infrações leves, com prazo para regularização
  • Multa: de R$ 1.000 a R$ 500.000 por infração, aplicáveis cumulativamente
  • Suspensão de cargos: diretores e administradores podem ser pessoalmente afastados
  • Inabilitação: administradores podem ser inabilitados por até 20 anos
  • Cassação da autorização: em casos extremos, encerramento das operações

Impactos indiretos (frequentemente mais severos)

  • Perda de confiança do mercado: clientes e investidores reagem negativamente
  • Rebaixamento de rating: agências consideram a postura de segurança cibernética
  • Aumento do custo de capital: instituições com histórico enfrentam custos maiores
  • Ações judiciais: individuais e coletivas
  • Multas da LGPD cumulativas: até 2% do faturamento, limitadas a R$ 50 milhões

Custo da conformidade vs. não conformidade

Item Investir em Compliance Ignorar os Requisitos
Custo inicialR$ 50-300 milR$ 0 (aparente)
Custo mensalR$ 5-30 milR$ 0 (até o incidente)
Multa BACENRisco mínimoR$ 1.000 a R$ 500.000+
Multa LGPDRisco mitigadoAté R$ 50 milhões
Perda por incidenteControlávelR$ 5-50 milhões
Risco de cassaçãoInexistenteReal
Dano reputacionalNenhumPotencialmente irreversível

Segundo o IBM Cost of a Data Breach Report, o setor financeiro tem o segundo maior custo médio por incidente, atrás apenas de saúde. Conclusão: compliance é fração do custo potencial.

Como a DataBackup Atende os Requisitos do BACEN

A DataBackup oferece soluções de backup corporativo e backup de banco de dados projetadas para atender os requisitos regulatórios do setor financeiro. Nossa plataforma foi desenvolvida considerando cada exigência da Resolução BCB 4.893.

Backup imutável e proteção anti-ransomware

Nossa infraestrutura de backup imutável garante que os dados não possam ser alterados durante o período de retenção — atende à exigência de continuidade mesmo em cenários de ransomware.

  • Tecnologia WORM nativa
  • Imutabilidade configurável por política
  • Isolamento de rede para cópias air-gapped
  • Detecção automatizada de anomalias

Criptografia e controle de acesso

Todos os backups são protegidos com AES-256 em repouso e TLS 1.3 em trânsito, gestão de chaves segregada, MFA obrigatória e logs completos de auditoria.

Retenção configurável e auditoria

Políticas que atendem simultaneamente BACEN (5+ anos), LGPD (minimização) e obrigações fiscais. Logs imutáveis prontos para inspeção regulatória.

Testes automatizados de restauração

  • Data e horário
  • Escopo dos dados restaurados
  • Tempo de restauração real (RTO medido)
  • Integridade dos dados restaurados
  • Desvios e ações corretivas

Relatórios de compliance

  • Inventário de dados e classificação por criticidade
  • Histórico de backups com status
  • Resultados de testes de restauração
  • Métricas de RTO/RPO reais vs. acordados
  • Registro de incidentes e remediações
  • Evidências de criptografia e controle de acesso

Esses relatórios servem como evidência de conformidade em auditorias internas, externas e inspeções do BACEN. Para conhecer os detalhes, acesse nossos planos ou consulte o artigo sobre quanto custa backup em nuvem.

Requisitos por Resolução do BACEN: Tabela Consolidada

O arcabouço regulatório do BACEN que impacta backup vai além de uma única resolução. Abaixo, uma visão consolidada de cada normativo e sua exigência específica para a operação de backup e continuidade das instituições financeiras.

Resolução / Normativo Tema Principal Exigência de Backup Específica Prazo de Adequação
BCB 4.893/2021 Segurança cibernética Política de backup formalizada, testes de restauração periódicos, acesso irrestrito pelo regulador Vigente — aplicação imediata
BCB 85/2021 Política de segurança cibernética (complementar) Plano de ação e resposta a incidentes incluindo procedimentos de restauração de dados Vigente
BCB 1/2020 (Regulamento PIX) Arranjo de pagamentos instantâneos Disponibilidade 24/7 com backup em tempo real, redundância geográfica, RTO inferior a 30 segundos Vigente para participantes do PIX
CMN 4.968/2021 Contratação de serviços de nuvem Backups em nuvem devem permitir auditoria pelo BACEN, segregação lógica e capacidade de repatriação Vigente
BCB 260/2022 Requisitos para instituições de pagamento Mesmos padrões de backup e continuidade exigidos de bancos, proporcionais ao porte Vigente
Circular 3.909/2018 Open Banking (fase inicial) Backup e integridade de APIs expostas, logs de compartilhamento retidos por 5 anos Vigente
LGPD (Lei 13.709) Proteção de dados pessoais Medidas técnicas de segurança para dados pessoais, incluindo backup criptografado e procedimento de exclusão em backups Vigente — multas ativas

A sobreposição entre essas normas cria um cenário onde a política de backup precisa atender a múltiplos reguladores simultaneamente. A abordagem mais eficiente é implementar o nível mais exigente como padrão — o que, na prática, significa adotar os requisitos do PIX como referência de RTO e RPO e a Resolução 4.893 como referência de governança e documentação.

Requisitos de Disponibilidade do Sistema PIX

O PIX transformou o sistema financeiro brasileiro e criou exigências sem precedentes de disponibilidade. Instituições participantes do arranjo precisam garantir operação ininterrupta — e o backup é o alicerce dessa garantia.

Níveis de disponibilidade exigidos

Componente Disponibilidade Mínima Indisponibilidade Máxima Anual Implicação para Backup
SPI (Sistema de Pagamentos Instantâneos) 99,998% < 10 minutos/ano Replicação síncrona em tempo real entre sites
DICT (Diretório de Identificadores) 99,99% < 53 minutos/ano Backup contínuo com failover automático
APIs de iniciação de pagamento 99,5% < 44 horas/ano Redundância de aplicação com backup dos estados transacionais
Canal de atendimento ao usuário 99,0% < 88 horas/ano Backup dos registros de atendimento e filas

O que isso exige na prática

  • Arquitetura ativa-ativa: mínimo de dois sites geograficamente separados operando simultaneamente, com balanceamento de carga e replicação síncrona de dados transacionais
  • Failover automático: em caso de falha de um site, o outro assume em menos de 30 segundos sem intervenção humana e sem perda de transações
  • Backup contínuo (CDP): para bases transacionais do PIX, o RPO deve ser zero — nenhuma transação pode ser perdida
  • Testes de failover mensais: simulações documentadas de falha de site com medição de tempo real de recuperação
  • Monitoramento 24/7: qualquer indisponibilidade superior a 5 minutos deve ser comunicada ao BACEN em até 30 minutos
  • Plano de contingência validado: cenários de falha total (incluindo perda de ambos os sites) devem ter procedimento documentado com RTO inferior a 2 horas

Mesmo instituições menores — como fintechs e SCDs — que participam do PIX como participantes indiretos precisam garantir que seus provedores de liquidação atendam a esses requisitos. A responsabilidade regulatória não é transferida para o provedor; é compartilhada.

Trilha de Auditoria: O Que Documentar para o BACEN

Uma das exigências mais subestimadas pelas instituições financeiras é a trilha de auditoria (audit trail). O BACEN espera que toda operação relacionada a backup e restauração seja rastreável, imutável e acessível por no mínimo 5 anos.

Elementos obrigatórios da trilha de auditoria

Evento O Que Registrar Retenção Mínima Formato Exigido
Execução de backup Hora início/fim, volume, tipo (full/incremental), resultado (sucesso/falha), responsável 5 anos Log imutável
Falha de backup Motivo da falha, sistemas afetados, ação corretiva tomada, responsável pela resolução 5 anos Log imutável + registro de incidente
Restauração de dados Solicitante, aprovador, escopo, ponto de restauração, hora início/fim, validação de integridade 5 anos Log imutável + formulário de aprovação
Teste de restauração (Restore Drill) Data planejada vs executada, escopo, RTO real vs esperado, RPO real, resultado, desvios 5 anos Relatório formal assinado
Alteração de política de backup Versão anterior, versão nova, justificativa, aprovação da diretoria 5 anos Documento versionado
Acesso ao sistema de backup Usuário, hora, origem (IP), ação realizada, tentativas negadas 5 anos Log imutável com timestamp
Incidente de segurança envolvendo backup Descrição, impacto, ações tomadas, comunicação ao BACEN, lições aprendidas 5 anos Relatório de incidente formal
Exclusão de dados de backup Motivo (retenção expirada, solicitação legal), aprovador, confirmação de destruição segura 5 anos após exclusão Certificado de destruição

Erros comuns na trilha de auditoria

  • Logs alteráveis: se os logs de backup estão no mesmo servidor que é backupeado, um ransomware pode criptografar os próprios registros. Use armazenamento imutável para logs
  • Falta de timestamp confiável: logs sem sincronização NTP são contestáveis em auditoria. Configure NTP com servidores do NTP.br
  • Aprovação informal: restaurações autorizadas "por telefone" sem registro formal são não conformidades graves
  • Logs incompletos: registrar apenas sucessos e ignorar falhas é a lacuna mais comum encontrada em inspeções
  • Retenção insuficiente: muitas ferramentas de backup retêm logs por apenas 90 dias — insuficiente para os 5 anos exigidos

A DataBackup mantém trilha de auditoria completa e imutável com retenção configurável de até 10 anos, exportável em formatos compatíveis com os sistemas de inspeção do BACEN. Para detalhes sobre criptografia em backup que protege inclusive os logs, consulte nosso guia dedicado.

Checklist de Compliance BACEN para Instituições Financeiras

Use este checklist como guia de autoavaliação antes de inspeções ou auditorias. Cada item mapeia diretamente para uma exigência regulatória do BACEN.

Governança e documentação

  1. Política de segurança cibernética aprovada pelo conselho/diretoria e revisada anualmente
  2. Diretor responsável pela política nomeado e comunicado ao BACEN
  3. Política de backup formalizada com escopo, frequência, retenção, RTO/RPO e responsabilidades
  4. Plano de continuidade de negócios documentado e testado anualmente
  5. Plano de resposta a incidentes cibernéticos com cenários e procedimentos de restauração
  6. Inventário de ativos de informação classificados por criticidade
  7. Análise de risco cibernético atualizada (revisão mínima anual)

Controles técnicos

  1. Criptografia AES-256 em repouso e TLS 1.2+ em trânsito para todos os backups
  2. Gestão de chaves criptográficas segregada dos dados, com rotação periódica documentada
  3. Autenticação multifator (MFA) obrigatória para acesso ao sistema de backup
  4. Backup imutável (WORM) para dados transacionais e logs de auditoria
  5. Pelo menos uma cópia air-gapped (fisicamente desconectada da rede)
  6. Segregação lógica de ambientes (produção, homologação, backup)
  7. Monitoramento contínuo com alertas automáticos para falhas de backup
  8. Contas de administração de backup separadas do Active Directory corporativo

Operação e testes

  1. Backup de dados transacionais com RPO de no máximo 1 hora (tempo real para PIX)
  2. Testes de restauração completa semestrais para sistemas críticos, com relatório formal
  3. Testes de restauração parcial trimestrais
  4. Simulação de disaster recovery anual com cenário realista
  5. Medição de RTO e RPO reais versus acordados, com plano de ação para desvios
  6. Trilha de auditoria imutável com retenção mínima de 5 anos

Nuvem e terceiros

  1. Provedor de backup em nuvem com contrato que inclua cláusula de acesso pelo BACEN
  2. Capacidade comprovada de repatriar dados ao Brasil em prazo definido
  3. Due diligence documentada do provedor de nuvem (segurança, certificações, continuidade)
  4. Comunicação prévia ao BACEN sobre contratação de serviços de nuvem relevantes
  5. SLA contratual com métricas de disponibilidade, RTO e RPO compatíveis com as exigências regulatórias

Resposta a incidentes

  1. Procedimento de comunicação ao BACEN de incidentes relevantes, com prazo definido
  2. Capacidade de restauração do ambiente em prazo compatível com o RTO definido
  3. Procedimento de preservação de evidências para análise forense
  4. Integração com procedimentos de notificação da LGPD quando aplicável

Se sua instituição não atende a 5 ou mais itens deste checklist, o risco regulatório é significativo. A DataBackup pode auxiliar na adequação técnica — os controles de criptografia, imutabilidade, auditoria e testes automatizados já vêm integrados na plataforma.

Penalidades Detalhadas e Casos de Enforcement do BACEN

Entender as penalidades em detalhe ajuda a dimensionar o investimento necessário em compliance. O BACEN aplica sanções proporcionais, mas o histórico mostra que a tendência é de rigor crescente, especialmente após incidentes de grande repercussão.

Escala de penalidades por gravidade

Nível de Gravidade Tipo de Infração (Exemplos) Penalidade Provável Impacto Adicional
Leve Política desatualizada, teste de restauração atrasado em 30 dias Advertência com prazo para correção (30-90 dias) Registro no histórico da instituição
Moderada Backup sem criptografia adequada, ausência de teste por 12+ meses Multa R$ 10.000 a R$ 100.000 Acompanhamento reforçado pelo supervisor
Grave Perda de dados transacionais sem capacidade de restauração, ausência de backup imutável após exigência Multa R$ 100.000 a R$ 500.000 (cumulativa) Suspensão de dirigentes, plano de adequação compulsório
Gravíssima Indisponibilidade prolongada do PIX, perda massiva de dados de clientes sem backup, obstrução à fiscalização Multa máxima + inabilitação de administradores (até 20 anos) Cassação da autorização de funcionamento, ações penais

Fatores agravantes

  • Reincidência: multas podem ser duplicadas ou triplicadas a cada reincidência
  • Porte da instituição: instituições de maior porte enfrentam expectativa regulatória mais alta e penalidades proporcionalmente maiores
  • Impacto no sistema financeiro: incidentes que afetam a estabilidade do sistema (como indisponibilidade do PIX) recebem tratamento prioritário e mais severo
  • Negligência comprovada: ausência de investimento em segurança ou backup é tratada com mais rigor do que falhas técnicas genuínas
  • Tentativa de ocultação: não comunicar incidentes ao BACEN dentro do prazo é infração adicional, frequentemente mais grave que o incidente original

Cenários reais de risco

Considere estes cenários que já resultaram em ações regulatórias no mercado financeiro brasileiro e internacional:

  • Ransomware sem backup imutável: instituição paga resgate de R$ 2 milhões, dados são parcialmente recuperados, 3 dias de indisponibilidade. Multa do BACEN + multa LGPD + ações de clientes = custo total superior a R$ 10 milhões
  • Teste de DR falho durante inspeção: auditor do BACEN solicita demonstração de restauração, e a equipe descobre que o backup está corrompido há 6 meses. Advertência convertida em multa por ausência de verificação de integridade
  • Provedor de nuvem sem acesso regulatório: instituição contrata provedor internacional sem cláusula de acesso pelo BACEN. Na inspeção, o regulador não consegue auditar os backups. Multa + exigência de migração em 90 dias

Esses cenários reforçam que o investimento em backup corporativo adequado e em disaster recovery testado é significativamente menor que o custo de remediação pós-incidente.

Conclusão

O cumprimento dos requisitos do BACEN não é opcional — é obrigação que impacta diretamente a sobrevivência de qualquer instituição financeira. A Resolução BCB 4.893/2021 estabelece marco claro: criptografia, imutabilidade, testes de restauração, acesso regulatório.

As penalidades são severas: multas do BACEN, sanções da LGPD, ações judiciais e perda de confiança. O investimento em backup adequado é insignificante frente ao custo de um incidente.

Sua instituição está em conformidade? Não espere uma auditoria para descobrir. Fale com os especialistas da DataBackup via WhatsApp para uma avaliação de compliance, ou conheça nossos planos com proteção regulatória integrada para o setor financeiro.

Compliance BACEN com Backup Imutável e Auditável

A DataBackup atende os requisitos da Resolução BCB 4.893: criptografia AES-256, imutabilidade WORM, testes de restauração documentados e data center Tier III+ no Brasil. Teste 14 dias grátis.

Ver Planos e Preços Falar com Especialista

Perguntas Frequentes

O BACEN exige que instituições financeiras façam backup?
Sim. A Resolução 4.893/2021 do BACEN determina que instituições financeiras devem implementar política de segurança cibernética que inclua procedimentos e controles para assegurar a continuidade de negócios, o que abrange obrigatoriamente a realização de backups regulares, testados e documentados de dados e sistemas críticos.
Qual a diferença entre a Resolução 4.893 e a 4.658 do BACEN?
A Resolução 4.658/2018 foi a norma original que estabeleceu requisitos de segurança cibernética e contratação de serviços de nuvem. A Resolução 4.893/2021 a revogou e substituiu, consolidando e atualizando as exigências. Hoje, a 4.893 é a norma vigente que as instituições financeiras devem seguir para compliance em segurança cibernética e backup.
Instituições financeiras podem usar backup em nuvem segundo o BACEN?
Sim, desde que cumpram os requisitos da Resolução 4.893. O provedor de nuvem deve garantir segregação de dados, criptografia, auditabilidade e capacidade de acesso pelo BACEN quando solicitado. A contratação precisa ser comunicada ao Banco Central e o provedor deve atender a padrões específicos de segurança e governança.
Quais as penalidades do BACEN por falha no backup?
O BACEN pode aplicar advertências, multas que variam de R$ 1.000 a R$ 500.000 por infração (podendo ser majoradas em caso de reincidência), suspensão do exercício de cargos, inabilitação de administradores por até 20 anos e, em casos graves, cassação da autorização de funcionamento da instituição.
Qual o prazo de retenção de backup exigido pelo BACEN?
O BACEN exige que registros de transações financeiras e dados contábeis sejam mantidos por no mínimo 5 anos, alinhado às exigências da legislação tributária e do Código Civil. Para dados de segurança cibernética (logs de acesso e incidentes), o prazo mínimo é de 5 anos a partir do registro. A política de retenção deve ser formalizada e aprovada pela diretoria.
Fintechs e instituições de pagamento também precisam cumprir as regras do BACEN sobre backup?
Sim. A Resolução 4.893 se aplica a todas as instituições autorizadas a funcionar pelo Banco Central, incluindo fintechs, instituições de pagamento, SCDs (Sociedades de Crédito Direto) e SEPs (Sociedades de Empréstimo entre Pessoas). O porte não isenta da obrigação — todas devem ter política de segurança cibernética com procedimentos de backup.
O BACEN pode acessar os backups da minha instituição?
Sim. A Resolução 4.893 prevê que o Banco Central deve ter acesso irrestrito aos dados, informações e sistemas da instituição, incluindo backups, para fins de supervisão. Isso se aplica mesmo quando os dados estão armazenados em provedores de nuvem no exterior. A impossibilidade de prover esse acesso pode configurar infração regulatória.
Quais são os requisitos do BACEN para disponibilidade do PIX?
O PIX opera em regime 24/7/365 com exigência de disponibilidade de 99,998% ao ano, equivalente a menos de 10 minutos de indisponibilidade por ano. As instituições participantes devem garantir backup em tempo real das bases transacionais do PIX, redundância geográfica ativa-ativa, failover automático com RTO inferior a 30 segundos e monitoramento contínuo com alertas ao BACEN em caso de indisponibilidade superior a 5 minutos.
O que deve constar na trilha de auditoria de backup exigida pelo BACEN?
A trilha de auditoria deve registrar, no mínimo: data, hora e responsável por cada operação de backup e restauração; resultado de cada execução (sucesso ou falha com motivo); alterações na política de backup e quem as autorizou; acessos ao sistema de backup (inclusive tentativas negadas); resultados de testes de restauração com tempos reais versus esperados; e incidentes de segurança relacionados. Esses registros devem ser mantidos por no mínimo 5 anos em formato imutável e acessível para inspeção do BACEN a qualquer momento.

Artigos relacionados

Compliance

LGPD e Backup: 5 Artigos da Lei que Exigem Proteção de Dados [Multas]

A LGPD exige medidas técnicas e administrativas para proteger dados pessoais. Saiba como seu backup corporativo deve se adequar para garantir compliance e evitar multas.

Educacional

O que é Backup Corporativo? Guia Completo 2026

Backup corporativo é a estratégia profissional de cópia e proteção dos dados críticos de uma empresa. Descubra como funciona, por que é essencial e como implementar.

Educacional

Backup 3-2-1: O Que É a Regra, Como Aplicar e a Evolução 3-2-1-1-0

A regra 3-2-1 é a base de qualquer estratégia de backup segura: 3 cópias dos dados, em 2 mídias diferentes, com 1 cópia offsite. Aprenda a implementar na prática.

Proteja os dados da sua empresa

Comece hoje com 14 dias gratuitos. Sem compromisso.

Começar Teste GrátisFalar com Especialista