À medida que o ecossistema do Sistema Financeiro Nacional (SFN) se torna mais complexo, o Provedor de Serviços de Tecnologia da Informação (PSTI) emerge como figura estratégica. Sua missão: garantir que dados críticos circulem com segurança, eficiência e conformidade dentro da Rede do Sistema Financeiro Nacional (RSFN).
O que é o PSTI e qual seu papel?
De acordo com a Circular nº 3.970/2019 do Banco Central, o PSTI é o agente técnico responsável por viabilizar o acesso de instituições à RSFN. A rede conecta bancos, fintechs, câmaras de compensação, entes públicos e o próprio Bacen — e o PSTI é o elo confiável dessa comunicação.
Características essenciais; Não pode ser instituição financeira ou operadora da RSFN; deve garantir automação total (STP), disponibilidade mínima de 99,8% e proteção dos dados trafegados e atua sob regras de neutralidade, sigilo e supervisão direta do Banco Central.
Empresas de destaque que atuam como PSTI
No Brasil
- JD Consultores: Atende centenas de instituições com infraestrutura redundante e arquitetura escalável.
- Gokei Tecnologia: Infraestrutura 100% em nuvem, com integração nativa a ambientes AWS.
- CMSW (Corner Pix): Referência em Pix, SPB e Open Finance, com personalização e agilidade.
Internacionalmente
Embora o modelo de PSTI seja exclusivo do Brasil, empresas globais atuam como provedores de conectividade e segurança em redes financeiras:
- Equinix: Especialista em interconexão e data centers, com participação em redes como SWIFT.
- IBM Cloud for Financial Services: Infraestrutura com certificações para instituições reguladas.
- Thales Group: Soluções de criptografia e segurança digital para ambientes bancários e governamentais.
Infraestrutura e boas práticas
Boas práticas de automação e segurança de dados
A operação do PSTI exige infraestrutura robusta e redundante, com redes independentes e mecanismos de failover. Entre as boas práticas destacam-se: Automação de processos para garantir agilidade e rastreabilidade; Monitoramento contínuo e testes de vulnerabilidade; Criptografia de ponta e controle de acesso granular e Alta disponibilidade, com SLA compatível com serviços críticos. Ou seja, um PSTI robusto exige mais que conectividade: demanda redundância física, monitoramento constante, automação de processos e failover automático.
Segurança cibernética: o alicerce da credibilidade
A segurança cibernética é hoje um dos principais pilares da confiança no setor financeiro. Segundo dados recentes, instituições brasileiras enfrentam em média 1.774 ataques semanais, superando a média global. A adoção de políticas como Zero Trust, DevSecOps e resposta a incidentes é fundamental para mitigar riscos e proteger ativos críticos.
Além disso, o compartilhamento de informações sobre incidentes e a capacitação contínua de equipes são práticas recomendadas pela regulamentação vigente
Criptografia de ponta e controle de acesso granular
Criptografia de ponta (End-to-End Encryption)
- Protege os dados desde a origem até o destino sem exposição intermediária.
- Usa algoritmos como AES-256, RSA e protocolos como TLS 1.3.
- Implementa proteção em trânsito e em repouso, mascaramento dinâmico e HSMs (Hardware Security Modules).
Controle de acesso granular
- Permite gestão precisa sobre quem acessa o quê, quando e como.
- Minimiza privilégios excessivos e garante conformidade com normas como LGPD e ISO 27001.
- Utiliza tecnologias como: RBAC (Role-Based); PBAC (Policy-Based) e ABAC (Attribute-Based)
Governança e conformidade regulatória
A operação de um PSTI deve estar alinhada com diversos marcos legais:
- LGPD (Lei nº 13.709/2018): Proteção e privacidade de dados pessoais.
- Resolução CMN nº 4.893/2021: Segurança cibernética e uso de serviços tecnológicos.
- Resolução BCB nº 268/2022: Continuidade de negócios e gestão de riscos operacionais.
- Carta-Circular nº 3.426/2009: Normas técnicas sobre sigilo e contingência.
- Manuais da RSFN: Documentos técnicos sobre criptografia, autenticação e disponibilidade.
Segurança cibernética: elemento de credibilidade
Estudos recentes mostram que instituições brasileiras enfrentam milhares de tentativas de ataque por semana. A adesão a práticas como Zero Trust, DevSecOps e resposta a incidentes é essencial para mitigar riscos, proteger ativos e preservar reputação.
O PSTI é peça-chave na sustentação técnica do SFN. Muito mais do que um provedor de conectividade, ele é guardião da integridade, segurança e conformidade regulatória na comunicação financeira. Investir em infraestrutura de confiança é investir na credibilidade do sistema financeiro brasileiro.
Estratégias integradas: Zero Trust, DevSecOps e Resposta a Incidentes
Zero Trust: “Nunca confiar, sempre verificar”
O modelo Zero Trust parte do princípio de que nenhuma entidade — interna ou externa — deve ser considerada confiável por padrão. Cada acesso é validado com base em múltiplos fatores, como identidade, contexto e comportamento.
O PSTI, conforme a Circular nº 3.970/2019 do Banco Central, atua como o agente técnico essencial para o acesso das instituições à Rede do Sistema Financeiro Nacional (RSFN). Este elo confiável conecta bancos, fintechs, câmaras de compensação, entes públicos e o próprio Banco Central. A segurança dessa comunicação é sustentada por pilares fundamentais: a verificação contínua de identidade e contexto, o privilégio mínimo e segmentação de acesso, o monitoramento constante com resposta automatizada, e a criptografia de ponta a ponta aliada à autenticação multifator (MFA).
DevSecOps: segurança desde o início
No contexto atual do desenvolvimento de software, DevSecOps emerge como uma abordagem essencial que visa integrar a segurança em todas as fases do ciclo de vida de um sistema, e não apenas como uma etapa final. Isso significa que, desde o planejamento, a segurança é incorporada com a automação de testes, validação de código e uma gestão proativa de vulnerabilidades.
Para implementar o DevSecOps de forma eficaz, algumas práticas são altamente recomendadas. A primeira delas é o conceito de “Shift Left“, que enfatiza a antecipação dos testes de segurança para as etapas iniciais do pipeline de desenvolvimento. Além disso, a Infraestrutura como Código (IaC) deve ser utilizada com validações de segurança embutidas, garantindo que a infraestrutura seja segura desde a sua criação. A análise contínua do código é fundamental, tanto através de Análise Estática de Código (SAST) quanto de Análise Dinâmica de Código (DAST). Por fim, a gestão de segredos é crucial, utilizando ferramentas robustas como o HashiCorp Vault para proteger informações sensíveis.
Resposta a Incidentes: agilidade e inteligência
A Resposta a Incidentes é um componente crítico da segurança cibernética, demandando agilidade e inteligência para mitigar rapidamente os impactos de ataques. Essa capacidade exige a detecção precoce de ameaças, a contenção rápida de incidentes e uma recuperação eficiente dos sistemas afetados. Felizmente, as ferramentas modernas de segurança oferecem recursos para orquestrar ações automáticas e gerar insights em tempo real, otimizando todo o processo.
O ciclo de resposta a incidentes é composto por etapas bem definidas. Ele começa com a preparação das equipes e sistemas para lidar com possíveis eventos, seguida pela detecção de qualquer atividade incomum. Uma vez identificado um incidente, as fases de contenção e erradicação são cruciais para isolar e remover a ameaça. Por fim, a recuperação visa restaurar as operações normais, enquanto a análise pós-incidente é fundamental para aprender com o ocorrido e aprimorar as defesas futuras.
Tecnologias que sustentam a estratégia Zero Trust
| Tecnologia | Função estratégica | Aplicações práticas |
|---|---|---|
| IAM (Identity and Access Management) | Gerencia identidades e permissões | Autenticação multifator, controle de acesso baseado em função (RBAC) |
| CIEM (Cloud Infrastructure Entitlement Management) | Gerencia privilégios em ambientes de nuvem | Minimiza superfícies de ataque e acessos excessivos |
| UEBA (User and Entity Behavior Analytics) | Analisa comportamento de usuários e entidades | Detecta desvios e acessos suspeitos com base em padrões |
| SIEM (Security Information and Event Management) | Centraliza logs e eventos de segurança | Correlaciona dados para identificar ameaças complexas |
| SOAR (Security Orchestration, Automation and Response) | Automatiza resposta a incidentes | Executa playbooks, isola ativos e aciona investigações |
A integração entre a estratégia de Zero Trust, DevSecOps e resposta a incidentes forma uma arquitetura de segurança resiliente, adaptável e alinhada às exigências regulatórias do SFN. Tecnologias como IAM, CIEM, UEBA, SIEM e SOAR não apenas fortalecem a proteção dos dados, mas também garantem agilidade operacional, conformidade regulatória e credibilidade institucional.
Nota:
PSTI (Provedor de Serviços de Tecnologia da Informação) Entidade autorizada pelo Banco Central a prestar serviços de processamento de dados para viabilizar o acesso de instituições à RSFN. Atua como intermediário técnico entre instituições financeiras e a infraestrutura de comunicação do Sistema Financeiro Nacional.
RSFN (Rede do Sistema Financeiro Nacional) Estrutura de comunicação de dados que conecta instituições financeiras, câmaras de compensação, entes públicos e o Banco Central. É composta por redes independentes e opera com padrões técnicos definidos pelo Bacen.
STP (Straight-Through Processing) Automação ponta a ponta dos processos, sem intervenção manual. No contexto do SFN, significa que as mensagens e transações trafegam de forma integrada e segura entre os sistemas das instituições participantes.
Bacen (Banco Central do Brasil) Autoridade monetária responsável pela regulação, supervisão e estabilidade do sistema financeiro nacional. É o órgão que define os critérios técnicos e operacionais para atuação dos PSTIs e demais participantes da RSFN.
Descubra o que diferencia o “bom” do “ótimo” na proteção bancária!
Baixe o e-book da HID – Biometric Identity Technologies e veja como transformar segurança em vantagem competitiva, acesse aqui!
Conheça nossa coluna sobre o Mercado Financeiro e leia outros artigos.
Criptomoedas: 16% dos estabelecimentos comerciais brasileiros já aceitam essa forma de pagamento
IAM: Segurança que vai além do acesso
O Crypto ID, referência editorial em tecnologia e segurança digital, mantém uma coluna especializada em IAM – Identity and Access Management (Gerenciamento de Identidade e Acesso). Mais do que apresentar soluções, nossa curadoria mergulha nas múltiplas vertentes dessa disciplina essencial — como IAG, PAM, CIAM, CIEM, MFA, SSO, RBAC, ABAC, entre outras variações que compõem o ecossistema de identidade digital.
Voltada para profissionais que estão estudando ou implementando essas estratégias, a coluna oferece uma visão técnica, confiável e abrangente, sempre alinhada às melhores práticas do mercado. O foco é claro: interoperabilidade, maturidade e adequação às necessidades reais de cada ambiente corporativo.
Nossa Coluna IAM é riquíssima em conteúdo e insights que fazem diferença.
Estar no CRYPTO ID é mostrar sua marca para quem precisa proteger dados e identidade e sabe que investir em cibersegurança é essencial no mundo digital. Somos a mídia número um em soluções de tecnologia voltadas para identificação humana e não humana (NHIs). Entregamos muito mais que visibilidade: entregamos contexto, conteúdo e credibilidade. Nossa equipe atua em parceria com sua área de marketing e negócios, conectando a estratégia de comunicação da sua empresa para os melhores resultados de vendas.
Fale com a gente: +55 11 9 9286 7046 ou contato@cryptoid.com.br
