Tag: psti

Publicado em

Resolução BCB nº 547/2026: o que muda para os Provedores de Tecnologia que acessam a RSFN

No dia 30 de janeiro de 2026, o Banco Central publicou a Resolução BCB nº 547, alterando a Resolução 498/2025 e elevando significativamente o nível de exigência para os Provedores de Serviços de Tecnologia da Informação (PSTI) que operam conectados à RSFN, a Rede do Sistema Financeiro Nacional.

Na prática, o regulador passou a tratar o PSTI como infraestrutura crítica do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.

A seguir, explico o que realmente muda e por que isso é relevante.

1. Capital mínimo mais elevado e proporcional ao risco

A norma estabelece capital social realizado e patrimônio líquido mínimo de R$ 15 milhões.

Além disso, o Banco Central poderá exigir valores superiores conforme:

  • Volume de operações
  • Quantidade de clientes
  • Perfil de risco do PSTI

Isso introduz um critério prudencial baseado em risco. Quanto maior a exposição sistêmica, maior a exigência de robustez financeira.

2. Governança formal e estrutura obrigatória de risco e compliance

A resolução passa a exigir formalmente:

  • Estrutura de gestão de riscos
  • Controles internos
  • Função de conformidade
  • Relatório anual de riscos, controles internos e compliance
  • Aprovação pelo conselho
  • Envio obrigatório ao Banco Central até maio do ano seguinte
  • Guarda de documentos por no mínimo 5 anos

Ou seja, o PSTI deixa de ser apenas um fornecedor tecnológico e passa a operar com padrão de governança próximo ao de uma instituição regulada.

3. Regras rigorosas para controladores e administradores

A norma detalha conceitos como controlador, grupo de controle e último nível da cadeia de controle.

Os controladores e administradores devem:

  • Ter reputação ilibada
  • Não possuir condenações relevantes
  • Não estar inabilitados pelo Banco Central ou CVM
  • Comprovar capacitação técnica
  • Residir no Brasil, no caso de administradores
  • Ter mandato máximo de 4 anos, renovável

Fundos de investimento não podem ser controladores de PSTI.

Além disso, o Banco Central passa a ter poder explícito para arquivar pedidos, indeferir credenciamentos ou rever decisões com base em aspectos reputacionais ou inconsistências documentais.

4. Auditoria independente obrigatória e certificação de segurança

A resolução exige:

  • Certificação internacional de segurança da informação
  • Auditoria independente anual
  • Avaliação obrigatória de segurança da informação
  • Avaliação de PLD/FT, quando aplicável
  • Demonstrações financeiras auditadas
  • Possibilidade de relatório de asseguração razoável registrado na CVM

O nível técnico exigido sobe de forma significativa.

5. Monitoramento contínuo e poder ampliado do regulador

O Banco Central poderá:

  • Exigir aumento posterior de capital
  • Determinar ajustes estruturais
  • Aplicar medidas cautelares
  • Promover descredenciamento por descumprimento grave ou recorrente
  • Rever decisões anteriores diante de fatos relevantes

Há também previsão de descredenciamento caso haja falhas operacionais que afetem a integridade ou disponibilidade da RSFN.

6. Plano de saída ordenada

Caso o PSTI queira se descredenciar, deverá:

  • Comunicar com 30 dias de antecedência
  • Apresentar plano de saída ordenada
  • Priorizar a mitigação de impacto sobre instituições financeiras e sobre o funcionamento do SFN e do SPB

Isso reforça o caráter sistêmico da atividade.

7. Exceção para grupos econômicos

Empresas que prestam serviços exclusivamente para instituições do mesmo grupo econômico não se submetem integralmente à norma, desde que:

  • Mantenham segregação operacional
  • Cumpram requisitos técnicos e de segurança

O que essa resolução sinaliza ao mercado

A mensagem é clara: o Banco Central está tratando a infraestrutura tecnológica do sistema financeiro como parte essencial da estabilidade sistêmica.

Não se trata apenas de tecnologia. Trata-se de:

  • Segurança
  • Governança
  • Integridade operacional
  • Continuidade de negócios
  • Resiliência cibernética

O PSTI passa a ocupar posição estratégica dentro do arranjo regulatório do sistema financeiro.

Conclusão

A Resolução BCB nº 547/2026 representa um movimento de maturidade regulatória. Ela eleva o padrão de quem pode operar conectado à RSFN e reduz o risco de fragilidade tecnológica na cadeia do sistema financeiro.

Para empresas de tecnologia que desejam atuar nesse mercado, o recado é objetivo: robustez financeira, governança sólida, auditoria independente e segurança da informação deixam de ser diferenciais e passam a ser pré-requisitos.

O sistema financeiro brasileiro continua avançando. E a régua técnica está cada vez mais alta.

Publicado em

Segurança no Banking as a Service: o que você precisa considerar antes de lançar sua fintech

Quando falamos de segurança no BAAS, não estamos tratando apenas de firewall ou criptografia. Trata-se da confiança do seu cliente na operação — e da sobrevivência da sua fintech.

Nos últimos anos, o modelo de Banking as a Service (BAAS) tem viabilizado uma nova geração de empresas oferecendo serviços financeiros sob medida — sem precisar montar um banco tradicional. É um modelo poderoso, flexível e estratégico para varejistas, marketplaces, plataformas e fintechs.

seguranca no baas

Mas junto com a oportunidade, vem a responsabilidade. E tem um ponto que, infelizmente, ainda é negligenciado por muitos empreendedores que querem entrar nesse mercado: a segurança da informação.

Nesse artigo, eu quero abordar esse tema com profundidade — trazendo uma visão realista sobre os riscos, as boas práticas e, principalmente, o papel da rastreabilidade como elemento-chave em qualquer projeto sério de BAAS.

BAAS lida com dinheiro e dados críticos. Isso muda tudo.

Quando você cria um app de delivery, um e-commerce ou uma plataforma de serviços, os riscos estão principalmente na performance, na experiência do usuário e na operação.

Agora, quando você cria uma fintech — ainda que operando em modelo white-label com apoio de parceiros — você passa a lidar com:

  • Saldos de contas vinculadas ao CPF do cliente

  • Transações financeiras com valores reais

  • Dados de documentos, contratos e autorizações

  • Pix, boletos, CCBs e até limites de crédito

  • Processos de autenticação, senha e segurança

Não importa se a liquidação é feita por um banco parceiro ou se o app foi desenvolvido sob licença: a responsabilidade sobre a integridade dos dados e a segurança da operação é sua.

Quais são os riscos mais comuns em soluções BAAS?

Se eu tivesse que listar os erros mais recorrentes que vejo em projetos que tentam “cortar caminho”, eles seriam:

  • Falta de controle de acesso por perfil (qualquer pessoa acessa tudo)

  • Ausência de autenticação em APIs sensíveis

  • Dados de saldo armazenados em cache, sem consistência transacional

  • Falta de logs detalhados e rastreáveis

  • Backups inexistentes ou manuais

  • Deploys em servidores compartilhados, sem isolamento por instância

  • Requisições vulneráveis a manipulação direta (testes com Postman revelam falhas)

E o pior: boa parte desses problemas só aparece quando o negócio começa a escalar. Quando chegam mil usuários, o sistema quebra. E aí a confiança já foi embora.

Segurança no BAAS vai além da tecnologia: trata-se de responsabilidade

Muita gente pensa que segurança é só “proteger contra hackers”. Mas na prática, a maior parte dos problemas reais que uma fintech enfrenta são operacionais, e não ataques externos.

É por isso que eu sempre bato na tecla da rastreabilidade. Um sistema financeiro sem rastreabilidade é uma bomba-relógio.

Você precisa ser capaz de responder perguntas como:

  • Quem iniciou essa transação?

  • Que IP acessou essa conta?

  • Quem alterou o status desse pagamento?

  • Essa operação foi processada quando? Por quem?

  • Houve rollback? Por quê?

Isso não serve só para auditoria. Serve para que você possa confiar na sua própria operação. E para que os parceiros e reguladores confiem também.

O que é uma boa rastreabilidade em projetos BAAS?

  • Cada movimentação de saldo deve gerar um log completo com ID do usuário, horário exato e parâmetros da requisição

  • As trilhas de auditoria devem ser armazenadas fora do ambiente de produção (por exemplo, em serviços de log criptografado ou banco separado)

  • Operações críticas (alteração de dados, reversões, estornos) devem ter autenticação reforçada e logs assinados

  • Integrações com PSTIs, bancos liquidantes e parceiros de crédito devem ser documentadas e monitoradas

  • Logs devem ser imutáveis, criptografados e auditáveis

A rastreabilidade é a linha que separa uma fintech confiável de uma operação frágil.

Como tratamos isso na Alphacode

Na Alphacode, a gente não entrega apenas um “sistema com tela bonita”. A gente entrega a estrutura que sustenta operações financeiras robustas, escaláveis e com total responsabilidade técnica.

O nosso Mosaico Banking é um core bancário modular que já vem com:

  • Controles de acesso por perfil e por rota

  • Logs detalhados por tipo de transação

  • Backup automático com replicação segura

  • Ambiente separado por cliente, com isolamento real

  • Integração com PSTIs homologadas

  • Conectividade com sistemas como SPI, DICT, CIP e registradoras

Além disso, a gente entende que o projeto precisa atender não só à parte técnica, mas também aos padrões esperados por bancos parceiros, auditorias e reguladores.

Conclusão

Montar uma fintech ou oferecer serviços financeiros em sua empresa é uma oportunidade real de gerar receita recorrente, fidelização e inovação. Mas essa oportunidade exige maturidade técnica.

Não dá para brincar com dados de pagamento.

E se você está nesse caminho, eu recomendo fortemente começar sua estrutura com rastreabilidade, segurança e controle. Porque escalar com base em improviso pode custar muito caro depois.

Se quiser trocar ideias sobre seu projeto, entender melhor como o Mosaico pode ser implantado com segurança ou revisar a arquitetura da sua fintech, é só me chamar.

Vai ser um prazer ajudar.

Publicado em

O que é PSTI? Entenda o papel dessa estrutura no Banco Central

Se você atua com fintech, banco digital, Pix ou qualquer operação conectada ao sistema financeiro, entender o que é PSTI deixou de ser detalhe técnico. Em muitos casos, é parte da infraestrutura crítica que sustenta a operação.

De forma direta, PSTI é a sigla usada para Prestadora de Serviços de Tecnologia da Informação no contexto do Banco Central. Na prática, estamos falando de empresas responsáveis por operar ou sustentar camadas tecnológicas essenciais para instituições financeiras e de pagamento.

Ou seja: não basta ter um app bonito. Em operações reguladas, a base técnica precisa ser estável, segura, auditável e aderente às exigências do ecossistema financeiro.

O que é PSTI?

PSTI é a empresa que presta serviços tecnológicos críticos para instituições financeiras, instituições de pagamento ou operações que dependem de infraestrutura regulada.

Dependendo do desenho da operação, isso pode envolver sustentação de conectividade, infraestrutura transacional, comunicação com sistemas do Banco Central e outras camadas técnicas que não podem falhar sem gerar impacto operacional sério.

Por isso, PSTI não é apenas fornecedor de TI. É uma peça importante da arquitetura de confiabilidade de uma operação financeira.

O que uma PSTI faz na prática

Na prática, uma PSTI pode atuar em frentes como:

  • operação técnica de integrações com Pix e SPI
  • comunicação com estruturas como DICT e RSFN
  • gestão de ambientes críticos
  • segurança de infraestrutura e chaves criptográficas
  • monitoramento contínuo
  • continuidade e recuperação de desastres
  • sustentação técnica de serviços financeiros sensíveis

Ou seja: ela fica mais perto do coração operacional da infraestrutura financeira do que muita gente imagina.

Por que o Banco Central se importa com PSTI

Porque falha técnica em operação financeira não é só problema interno. Pode virar problema de confiança, liquidação, continuidade de serviço e segurança do sistema como um todo.

Quando uma instituição terceiriza partes críticas da sua operação, o Banco Central quer clareza sobre responsabilidade, segurança, rastreabilidade e capacidade de continuidade.

É por isso que o tema PSTI aparece junto com discussões sobre:

  • alta disponibilidade
  • segurança da informação
  • redundância
  • continuidade de negócio
  • governança operacional

Em ambiente regulado, infraestrutura técnica ruim não é só gambiarra. É risco sistêmico em potencial.

Quais exigências costumam aparecer nesse contexto

Embora o desenho varie conforme a operação, normalmente estamos falando de exigências como:

  • infraestrutura resiliente
  • monitoramento constante
  • políticas formais de segurança
  • proteção de chaves e credenciais críticas
  • planos de contingência
  • aderência aos manuais e requisitos técnicos aplicáveis

Isso ajuda a explicar por que não faz sentido tratar uma PSTI como se fosse apenas um provedor genérico de hosting ou um fornecedor comum de software.

Quando uma fintech precisa se preocupar com PSTI?

Muito antes do que parece.

Se a operação envolve:

  • Pix
  • contas
  • liquidação
  • infraestrutura financeira integrada
  • conectividade com arranjos regulados
  • camadas críticas de disponibilidade e segurança

então o tema PSTI já começa a importar.

Mesmo quando a fintech não contrata uma PSTI diretamente, ela precisa entender quem está sustentando essa camada e como a arquitetura regulatória e técnica foi montada.

Isso conversa bastante com temas como BaaS, com discussões sobre como abrir uma fintech e com a leitura de estruturas ligadas ao Banco Central.

PSTI é a mesma coisa que software de core bancário?

Não.

Essa distinção é importante.

Uma PSTI está ligada à sustentação técnica e operacional de camadas críticas da infraestrutura regulada. Já uma plataforma de core bancário ou software financeiro está mais ligada à lógica funcional da operação: contas, movimentações, produtos, regras, jornadas e integrações.

Em muitos casos, as duas camadas se complementam — mas não são a mesma coisa.

Onde a Alphacode entra nesse cenário

Na Alphacode, o papel não é atuar como PSTI diretamente.

O papel está mais ligado à construção da camada tecnológica da operação financeira — isto é, o sistema, a lógica de produto, a gestão de contas, movimentações, jornadas, integrações e experiência da operação.

Na prática, isso significa que a camada construída pode se conectar a parceiros e estruturas técnicas adequadas ao ambiente regulatório, em vez de tentar confundir software de negócio com infraestrutura regulada crítica.

Essa separação é importante porque evita misturar responsabilidades técnicas diferentes dentro da arquitetura do projeto.

Por que entender PSTI ajuda a tomar decisão melhor

Muita empresa entra no mercado financeiro olhando apenas para produto e interface. Mas operação financeira séria depende de base estrutural.

Entender o papel de uma PSTI ajuda a responder perguntas como:

  • quem sustenta tecnicamente a operação crítica?
  • qual camada está sob responsabilidade de quem?
  • onde está o risco operacional?
  • o projeto está separado corretamente entre software, infraestrutura e compliance?

Essa clareza evita decisões ruins, promessas irreais e desenhos frágeis demais para um ambiente regulado.

Conclusão

PSTI é a estrutura responsável por sustentar camadas tecnológicas críticas dentro de operações conectadas ao sistema financeiro e ao Banco Central.

Para fintechs, bancos digitais e empresas que querem operar serviços financeiros com seriedade, entender esse papel é fundamental. Não para decorar sigla, mas para desenhar uma arquitetura mais segura, confiável e aderente à realidade regulatória.

Em operações financeiras, o técnico não é bastidor irrelevante. Muitas vezes, ele é o que separa uma operação funcional de uma operação vulnerável.

Próximo passo

Se a sua empresa está montando uma operação financeira e ainda não está clara a divisão entre software, infraestrutura crítica e responsabilidade regulatória, vale olhar esse desenho antes que o projeto cresça em cima de uma base confusa.

É muito mais barato organizar a arquitetura cedo do que descobrir tarde onde estavam os riscos escondidos.