Rastreabilidade como requisito: Luiz Claudio fala sobre novas normas do Banco Central e do mercado financeiro exigem na prática de fintechs e seguradoras
O ID Talk do Crypto ID existe para ir além do institucional. Em cada edição, trazemos um especialista para falar sobre como sua empresa atua concretamente nos problemas que o mercado enfrenta, quais metodologias e recursos estão em uso, onde os projetos travam na prática e o que realmente funciona quando a teoria encontra a operação.
O leitor do Crypto ID conhece o assunto, trabalha com ele e não tem paciência para o óbvio. Por isso nossas perguntas buscam o que ainda não está dito, o que o mercado erra de forma recorrente e o que uma consultoria com histórico real de projetos aprendeu que nenhum framework ensina.
Nesta entrevista, o Crypto ID conversou com Luiz Claudio, CEO e fundador da LC SEC, consultoria especializada em segurança da informação e compliance com atuação no Brasil e na Europa há mais de uma década. A LC SEC já conduziu mais de 150 projetos envolvendo as principais normas do setor, entre elas ISO 27001, ISO 42001, SOC2, PCI DSS, NIST, LGPD, GDPR, DORA e, desde 2025, incorporou ao portfólio soluções de Threat Intelligence baseadas em inteligência artificial.
O contexto desta conversa é a convergência de exigências regulatórias que passaram a incidir simultaneamente sobre fintechs, instituições de pagamento e seguradoras no Brasil.
As Resoluções CMN nº 5.274/2025 e BCB nº 538/2025, com prazo de adequação encerrado em 1º de março de 2026, elevaram os requisitos técnicos de cibersegurança para todas as instituições conectadas ao SFN, incluindo operações via Pix, STR e RSFN. Na mesma direção, a Portaria SENATRAN nº 139/2025 criou as GCCs, operadoras credenciadas responsáveis por intermediar e registrar o acesso a bases nacionais de dados de trânsito e veículos como RENACH, RENAVAM, RENAINF, RENAEST e RNPC.
O eixo comum entre todas essas normas não é burocrático. É técnico: controles verificáveis, trilhas de auditoria, evidência operacional de quem acessou o quê, quando e com qual fundamento legal.
Leia entrevista completa!
Crypto ID: Luiz Claudio, as Resoluções CMN 5.274 e BCB 538 definem um conjunto técnico específico de controles obrigatórios: autenticação forte, hardening, gestão de vulnerabilidades, proteção de APIs, monitoramento de ameaças, backup auditável, gestão de certificados e controle de acessos. Quando a LC SEC chega a uma fintech para um diagnóstico, qual desses controles costuma estar mais defasado e o que tecnicamente explica esse padrão se repetir mesmo em empresas que já passaram por auditorias anteriores?
Luiz Claudio: Na prática, os controles que mais costumam apresentar defasagem são gestão de vulnerabilidades, rastreabilidade, controle de acessos privilegiados e proteção de APIs. Muitas empresas já possuem ferramentas implantadas, mas ainda não têm um processo contínuo, com responsáveis definidos, prazos de correção, evidências técnicas e validação recorrente.
Isso acontece porque muitas auditorias anteriores avaliaram mais a existência formal do controle do que sua efetividade operacional. A empresa consegue demonstrar que possui política, scanner, backup ou autenticação multifator, mas nem sempre consegue provar que o controle está funcionando de forma consistente no ambiente produtivo, integrado à operação e com capacidade de resposta diante de um incidente real.
Crypto ID: Um controle implementado e um controle que funciona são coisas diferentes na prática. Como a LC SEC avalia essa diferença num projeto de adequação, e o que essa distinção muda no resultado entregue ao cliente?
Luiz Claudio: A LC SEC avalia essa diferença olhando para três camadas: desenho do controle, execução prática e evidência. Não basta o cliente informar que possui MFA, backup, monitoramento ou gestão de vulnerabilidades. Nós verificamos se o controle está aplicado nos sistemas críticos, se cobre os usuários corretos, se gera logs, se possui responsável, se existe recorrência e se há evidência suficiente para auditoria.
Essa distinção muda completamente o resultado entregue. Em vez de entregar apenas uma lista de gaps documentais, a LC SEC entrega uma visão de maturidade operacional: o que existe, o que funciona, o que funciona parcialmente e o que precisa ser corrigido. Isso ajuda o cliente a priorizar riscos reais, não apenas itens regulatórios.
Crypto ID: Trilha de auditoria é um requisito que atravessa todas as camadas regulatórias que incidem sobre o mercado financeiro e de seguros. Na prática, o que uma fintech ou seguradora precisa ter implementado para que essa trilha seja defensável numa auditoria, e onde esse requisito costuma quebrar nos projetos que vocês encontram?
Luiz Claudio: Uma trilha de auditoria defensável precisa registrar quem fez, o que fez, quando fez, de onde fez e qual foi o resultado da ação. Isso vale para sistemas internos, APIs, acessos administrativos, bases de dados, alterações de configuração, consultas a dados sensíveis e operações críticas.
O ponto em que esse requisito mais quebra é na fragmentação. A empresa até possui logs, mas eles ficam espalhados em aplicações, banco de dados, cloud, ferramenta de autenticação e fornecedores externos. Sem centralização, retenção adequada, integridade dos registros e correlação entre eventos, a trilha perde valor probatório. Em auditoria, o problema não é apenas ter log, mas conseguir reconstruir uma ação crítica de ponta a ponta.
Crypto ID: Proteção de APIs é um dos pontos mais críticos para quem opera com integrações a sistemas externos de dados sensíveis. Quando a LC SEC entra num projeto de adequação que envolve essa camada, o que costuma encontrar e quais correções têm maior impacto real no nível de proteção?
Luiz Claudio: Em APIs, os problemas mais comuns envolvem autenticação fraca, ausência de rate limit, exposição excessiva de dados, falhas de autorização entre perfis, logs insuficientes, documentação desatualizada e ambientes antigos ainda acessíveis. Também é comum encontrar APIs protegidas no perímetro, mas com pouca validação de autorização dentro da aplicação.
As correções de maior impacto costumam ser: autenticação forte entre sistemas, revisão de escopos e permissões, validação de autorização por objeto e por perfil, rate limiting, segregação de ambientes, proteção contra abuso automatizado, revisão de chaves e certificados, logging estruturado e testes de segurança focados em abuso de lógica. API não deve ser vista só como endpoint técnico; ela é uma superfície de negócio.
Crypto ID: Fintechs e seguradoras que consultam RENAVAM e RENACH para precificação de risco, análise de crédito ou verificação de condutores já lidam com dados pessoais sensíveis de dezenas de milhões de brasileiros. A Portaria SENATRAN 139/2025 criou as GCCs para estruturar o consentimento e a rastreabilidade desse acesso, mas a obrigatoriedade plena ainda está entrando em vigor. Do ponto de vista de maturidade de segurança, o que uma empresa que ainda acessa essas bases sem esse intermediário estruturado precisa ter em ordem antes que essa exigência se torne efetiva e como a LC SEC atua nessa questão?
Luiz Claudio: Antes de qualquer mudança operacional, a empresa precisa ter clareza sobre finalidade, base legal, minimização de dados, trilha de auditoria, controle de acesso, retenção, criptografia, segregação de ambientes e monitoramento de uso indevido. Quando falamos de bases como RENAVAM e RENACH, o ponto central é demonstrar que o acesso é necessário, proporcional, autorizado e rastreável.
A LC SEC atua na avaliação técnica dessa maturidade: revisamos arquitetura, fluxos de dados, APIs, logs, controles de acesso, exposição de credenciais, gestão de certificados e evidências de segurança. Também apoiamos a empresa a organizar uma visão de risco e um plano de correção para reduzir exposição antes da obrigatoriedade plena.
A parte jurídica e regulatória específica de consentimento precisa caminhar junto com o time jurídico e com os operadores credenciados, mas a base técnica de segurança precisa estar pronta. A Portaria SENATRAN 139/2025 disciplina o acesso aos dados dos sistemas da Senatran e define as GCCs como operadoras responsáveis pela gestão do consentimento e da ciência de uso dos dados, quando exigidos.
Crypto ID: As resoluções do Banco Central tornaram o monitoramento de ameaças em internet aberta, deep web e dark web um requisito obrigatório. Como a LC SEC estrutura esse serviço de Threat Intelligence para um cliente do setor financeiro de forma que o resultado alimente decisão operacional e não vire relatório de prateleira?
Luiz Claudio: A LC SEC estrutura Threat Intelligence com foco em ação. O primeiro passo é mapear os ativos de interesse: domínios, marcas, executivos, e-mails corporativos, fornecedores críticos, aplicações expostas, repositórios, credenciais e termos associados ao negócio. A partir disso, monitoramos fontes abertas, fóruns, vazamentos, menções suspeitas, domínios similares, credenciais expostas e possíveis indicadores de ataque.
O diferencial está na triagem e na resposta. Um alerta só tem valor se virar decisão: revogar credenciais, bloquear domínio fraudulento, acionar fornecedor, reforçar MFA, abrir incidente, revisar regra de e-mail, ajustar WAF ou priorizar uma correção. Por isso, o relatório precisa trazer severidade, evidência, impacto, recomendação e responsável. Threat Intelligence não deve ser uma coleção de prints; deve ser um insumo para gestão de risco e resposta operacional.
Crypto ID: Pentest anual com documentação de criticidade, responsáveis e evidências de mitigação é requisito explícito nas resoluções. O que a LC SEC exige de um cliente para que o ciclo completo, do teste à evidência de correção, seja considerado encerrado do ponto de vista de governança?
Luiz Claudio: Para considerar o ciclo encerrado, não basta entregar o relatório do pentest. A LC SEC considera o ciclo completo quando cada vulnerabilidade possui criticidade, evidência técnica, impacto, recomendação, responsável interno, prazo de correção e status de tratamento.
Depois disso, é necessário validar a correção por meio de reteste ou evidência técnica suficiente. Quando uma vulnerabilidade não pode ser corrigida imediatamente, precisa existir aceite formal de risco, justificativa, prazo alternativo e controle compensatório. Do ponto de vista de governança, o encerramento acontece quando a empresa consegue demonstrar que entendeu o risco, tomou ação e possui evidência objetiva da mitigação.
Crypto ID: Gestão de risco de terceiros é onde boa parte das violações começa, e as resoluções são claras sobre a responsabilidade da instituição mesmo quando o incidente parte de um fornecedor ou integrador. Como a LC SEC estrutura esse processo para que ele produza evidência real e não apenas due diligence contratual?
Luiz Claudio: A LC SEC estrutura gestão de terceiros combinando avaliação documental, análise técnica e acompanhamento contínuo. O contrato é importante, mas ele sozinho não reduz risco. É preciso entender quais fornecedores acessam dados sensíveis, quais têm integração técnica, quais impactam disponibilidade, quais operam sistemas críticos e quais podem gerar risco regulatório.
A partir disso, classificamos os terceiros por criticidade e avaliamos controles como segurança em nuvem, gestão de acessos, MFA, logs, resposta a incidentes, backup, continuidade, segregação de dados, pentests, certificações e evidências de correção. O objetivo é transformar due diligence em uma trilha auditável: risco identificado, evidência coletada, plano de ação, responsável e acompanhamento. Gestão de terceiros precisa ser um processo vivo, não um formulário preenchido uma vez por ano.
Crypto ID: Para encerrar com uma questão que vai além da conformidade regulatória: na sua avaliação, o mercado financeiro digital brasileiro já tem maturidade técnica para fazer monitoramento efetivo de transações suspeitas ligadas à lavagem de dinheiro e ao narcotráfico, ou a lacuna ainda está mais na infraestrutura de rastreabilidade do que na regulação em si?
Luiz Claudio: O mercado financeiro digital brasileiro evoluiu bastante em tecnologia, automação e capacidade de monitoramento, mas ainda existe uma lacuna relevante na infraestrutura de rastreabilidade integrada. Muitas instituições conseguem monitorar transações dentro do seu próprio ambiente, mas o desafio aumenta quando é necessário correlacionar identidade, dispositivo, comportamento, origem dos recursos, relacionamento entre contas, histórico transacional, fornecedores e dados externos.
Na minha visão, a regulação avançou e continua pressionando o mercado na direção correta. A lacuna principal está em transformar dados dispersos em inteligência operacional confiável. Para combater lavagem de dinheiro, fraude e uso de estruturas financeiras por organizações criminosas, não basta ter regra transacional. É preciso ter rastreabilidade, qualidade de dados, integração entre áreas, resposta rápida e governança para explicar por que uma transação foi considerada suspeita ou não. A maturidade real está nessa capacidade de provar, auditar e agir.
ID Talk com Marcio Nunes, da ANCD, destaca evolução da certificação digital durante o 7º Encontr(AR)
ID Talk são entrevistas que geram insights poderosos e soluções práticas para você tomar decisões estratégicas e liderar o futuro. Assistindo ou lendo você descobre o que há de mais inovador em tecnologia. Você vai gostar muito!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
