Tag: segurança da informação

Publicado em

Resolução BCB nº 547/2026: o que muda para os Provedores de Tecnologia que acessam a RSFN

No dia 30 de janeiro de 2026, o Banco Central publicou a Resolução BCB nº 547, alterando a Resolução 498/2025 e elevando significativamente o nível de exigência para os Provedores de Serviços de Tecnologia da Informação (PSTI) que operam conectados à RSFN, a Rede do Sistema Financeiro Nacional.

Na prática, o regulador passou a tratar o PSTI como infraestrutura crítica do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro.

A seguir, explico o que realmente muda e por que isso é relevante.

1. Capital mínimo mais elevado e proporcional ao risco

A norma estabelece capital social realizado e patrimônio líquido mínimo de R$ 15 milhões.

Além disso, o Banco Central poderá exigir valores superiores conforme:

  • Volume de operações
  • Quantidade de clientes
  • Perfil de risco do PSTI

Isso introduz um critério prudencial baseado em risco. Quanto maior a exposição sistêmica, maior a exigência de robustez financeira.

2. Governança formal e estrutura obrigatória de risco e compliance

A resolução passa a exigir formalmente:

  • Estrutura de gestão de riscos
  • Controles internos
  • Função de conformidade
  • Relatório anual de riscos, controles internos e compliance
  • Aprovação pelo conselho
  • Envio obrigatório ao Banco Central até maio do ano seguinte
  • Guarda de documentos por no mínimo 5 anos

Ou seja, o PSTI deixa de ser apenas um fornecedor tecnológico e passa a operar com padrão de governança próximo ao de uma instituição regulada.

3. Regras rigorosas para controladores e administradores

A norma detalha conceitos como controlador, grupo de controle e último nível da cadeia de controle.

Os controladores e administradores devem:

  • Ter reputação ilibada
  • Não possuir condenações relevantes
  • Não estar inabilitados pelo Banco Central ou CVM
  • Comprovar capacitação técnica
  • Residir no Brasil, no caso de administradores
  • Ter mandato máximo de 4 anos, renovável

Fundos de investimento não podem ser controladores de PSTI.

Além disso, o Banco Central passa a ter poder explícito para arquivar pedidos, indeferir credenciamentos ou rever decisões com base em aspectos reputacionais ou inconsistências documentais.

4. Auditoria independente obrigatória e certificação de segurança

A resolução exige:

  • Certificação internacional de segurança da informação
  • Auditoria independente anual
  • Avaliação obrigatória de segurança da informação
  • Avaliação de PLD/FT, quando aplicável
  • Demonstrações financeiras auditadas
  • Possibilidade de relatório de asseguração razoável registrado na CVM

O nível técnico exigido sobe de forma significativa.

5. Monitoramento contínuo e poder ampliado do regulador

O Banco Central poderá:

  • Exigir aumento posterior de capital
  • Determinar ajustes estruturais
  • Aplicar medidas cautelares
  • Promover descredenciamento por descumprimento grave ou recorrente
  • Rever decisões anteriores diante de fatos relevantes

Há também previsão de descredenciamento caso haja falhas operacionais que afetem a integridade ou disponibilidade da RSFN.

6. Plano de saída ordenada

Caso o PSTI queira se descredenciar, deverá:

  • Comunicar com 30 dias de antecedência
  • Apresentar plano de saída ordenada
  • Priorizar a mitigação de impacto sobre instituições financeiras e sobre o funcionamento do SFN e do SPB

Isso reforça o caráter sistêmico da atividade.

7. Exceção para grupos econômicos

Empresas que prestam serviços exclusivamente para instituições do mesmo grupo econômico não se submetem integralmente à norma, desde que:

  • Mantenham segregação operacional
  • Cumpram requisitos técnicos e de segurança

O que essa resolução sinaliza ao mercado

A mensagem é clara: o Banco Central está tratando a infraestrutura tecnológica do sistema financeiro como parte essencial da estabilidade sistêmica.

Não se trata apenas de tecnologia. Trata-se de:

  • Segurança
  • Governança
  • Integridade operacional
  • Continuidade de negócios
  • Resiliência cibernética

O PSTI passa a ocupar posição estratégica dentro do arranjo regulatório do sistema financeiro.

Conclusão

A Resolução BCB nº 547/2026 representa um movimento de maturidade regulatória. Ela eleva o padrão de quem pode operar conectado à RSFN e reduz o risco de fragilidade tecnológica na cadeia do sistema financeiro.

Para empresas de tecnologia que desejam atuar nesse mercado, o recado é objetivo: robustez financeira, governança sólida, auditoria independente e segurança da informação deixam de ser diferenciais e passam a ser pré-requisitos.

O sistema financeiro brasileiro continua avançando. E a régua técnica está cada vez mais alta.

Publicado em

Como escolher a melhor empresa para desenvolver um app em 2026 + lista com 5 opções

Escolher uma empresa para desenvolver um aplicativo em 2026 é uma decisão que parece simples, mas quase sempre define o sucesso ou o fracasso do projeto.

Não é só sobre “fazer um app bonito”. É sobre construir um produto estável, com boa experiência, pronto para crescer, com segurança e com capacidade de evoluir ao longo do tempo.

Neste artigo, eu vou te mostrar:

  • Os critérios que realmente importam na escolha de uma empresa de desenvolvimento

  • Os sinais de alerta mais comuns

  • E uma lista com 5 opções que você pode considerar em 2026

O que mudou no desenvolvimento de apps em 2026

Nos últimos anos, criar um aplicativo ficou mais acessível. Mas, ao mesmo tempo, ficou mais exigente.

Hoje, o padrão mínimo aumentou. Usuários esperam uma experiência rápida, fluida, segura e integrada com o restante da operação.

Algumas mudanças importantes:

1) IA virou parte do processo (e não só “modinha”)

Empresas maduras usam IA para acelerar etapas como:

  • discovery e levantamento de requisitos

  • organização de backlog

  • testes e controle de qualidade

  • apoio na análise de dados e melhorias do produto

2) App não vive sozinho: integração virou regra

Projetos relevantes em 2026 precisam conversar com:

  • ERP

  • CRM

  • gateways de pagamento

  • sistemas legados

  • plataformas de atendimento e logística

3) Segurança e governança são obrigatórias

Principalmente em apps com:

  • login e dados sensíveis

  • pagamento

  • dados de saúde

  • rotinas de operação

Como escolher uma empresa para desenvolver seu app em 2026

Aqui vai o ponto mais importante do post: antes de olhar nome, olhe critério.

1) Comece pela capacidade de entender seu negócio

Uma boa empresa não começa falando de tecnologia.

Ela começa fazendo perguntas.

Se a conversa é só “quantas telas tem?” e “quanto custa?”, cuidado.

O certo é entender:

  • qual objetivo do app

  • quem vai usar

  • qual o ganho esperado

  • quais integrações são necessárias

  • o que pode dar errado no caminho

2) Veja se existe um processo claro (e não improviso)

Desenvolvimento de app bem feito tem método.

O mínimo esperado é:

  • UX/UI antes do código

  • planejamento e arquitetura

  • sprints semanais ou quinzenais

  • rotina de testes

  • homologação organizada

  • publicação assistida nas lojas

Se a empresa não consegue explicar o processo em 2 minutos, ela não tem processo.

3) Fuja de projetos sem fase de pré-projeto

A maioria dos apps que estouram prazo e orçamento tem uma causa simples:

não foi feito um pré-projeto de verdade.

Pré-projeto não é “reunião”.

É uma fase de diagnóstico e planejamento que reduz risco.

O que entra no pré-projeto:

  • mapeamento de funcionalidades

  • jornada do usuário

  • requisitos técnicos

  • desenho de integrações

  • riscos e estimativas mais realistas

4) Confirme quem vai trabalhar no seu projeto

Pergunta direta que salva muito cliente:

“O time é próprio ou terceirizado?”

Não existe certo ou errado, mas você precisa saber o que está comprando.

Times próprios costumam oferecer:

  • mais consistência

  • mais controle de qualidade

  • mais continuidade na evolução

5) Pós go-live: o app vai precisar evoluir

Um app nunca termina no lançamento.

Então pergunte:

  • como funciona suporte

  • como são as evoluções mensais

  • como são correções

  • quem acompanha indicadores e melhorias

Se a empresa só fala sobre entrega e não fala sobre evolução, isso é um risco.

Lista: 5 empresas que você pode considerar em 2026

Aqui vai um ponto importante:

essa lista é uma referência inicial, mas a escolha certa depende do seu momento, do seu orçamento e do nível de criticidade do projeto.

1) Alphacode

A Alphacode é uma empresa brasileira com forte experiência em aplicativos para operações críticas e projetos de longo prazo.

O diferencial aqui costuma ser a combinação entre:

  • processo sólido

  • engenharia consistente

  • UX/UI bem estruturado

  • visão de evolução contínua

É uma boa opção para empresas que querem algo bem feito e com governança, especialmente em projetos mais robustos.

2) CI&T

Uma das referências do Brasil em transformação digital, com atuação forte em projetos corporativos.

É uma opção mais comum para:

  • empresas grandes

  • times internos que já estão maduros

  • integração com múltiplas áreas e sistemas

3) Stefanini

Grupo grande, com amplitude enorme de serviços e presença internacional.

Pode fazer sentido para empresas que procuram:

  • uma parceira grande

  • com muita escala

  • que una sistemas e desenvolvimento em um pacote mais amplo

4) FCamara

Empresa bastante conhecida no mercado de tecnologia, com atuação relevante em squads e projetos digitais.

É uma opção interessante para:

  • projetos com evolução recorrente

  • squads dedicados

  • empresas que buscam velocidade e consistência

5) BRQ Digital Solutions

Mais conhecida no mundo enterprise, com presença forte em setores como financeiro e grandes operações.

Pode ser uma alternativa interessante para projetos que exigem:

  • maior governança

  • robustez

  • nível alto de compliance

Conclusão: o critério certo economiza tempo e dinheiro

A maioria das pessoas escolhe empresa de desenvolvimento olhando preço e prazo.

Mas o que define o sucesso é:

  • clareza de escopo

  • método de trabalho

  • qualidade do time

  • maturidade de engenharia

  • evolução pós go-live

Se você quiser reduzir risco antes de começar, minha sugestão é simples:

faça um bom pré-projeto e escolha a empresa pela capacidade de entrega e sustentação.

Publicado em

Segurança no Banking as a Service: o que você precisa considerar antes de lançar sua fintech

Quando falamos de segurança no BAAS, não estamos tratando apenas de firewall ou criptografia. Trata-se da confiança do seu cliente na operação — e da sobrevivência da sua fintech.

Nos últimos anos, o modelo de Banking as a Service (BAAS) tem viabilizado uma nova geração de empresas oferecendo serviços financeiros sob medida — sem precisar montar um banco tradicional. É um modelo poderoso, flexível e estratégico para varejistas, marketplaces, plataformas e fintechs.

seguranca no baas

Mas junto com a oportunidade, vem a responsabilidade. E tem um ponto que, infelizmente, ainda é negligenciado por muitos empreendedores que querem entrar nesse mercado: a segurança da informação.

Nesse artigo, eu quero abordar esse tema com profundidade — trazendo uma visão realista sobre os riscos, as boas práticas e, principalmente, o papel da rastreabilidade como elemento-chave em qualquer projeto sério de BAAS.

BAAS lida com dinheiro e dados críticos. Isso muda tudo.

Quando você cria um app de delivery, um e-commerce ou uma plataforma de serviços, os riscos estão principalmente na performance, na experiência do usuário e na operação.

Agora, quando você cria uma fintech — ainda que operando em modelo white-label com apoio de parceiros — você passa a lidar com:

  • Saldos de contas vinculadas ao CPF do cliente

  • Transações financeiras com valores reais

  • Dados de documentos, contratos e autorizações

  • Pix, boletos, CCBs e até limites de crédito

  • Processos de autenticação, senha e segurança

Não importa se a liquidação é feita por um banco parceiro ou se o app foi desenvolvido sob licença: a responsabilidade sobre a integridade dos dados e a segurança da operação é sua.

Quais são os riscos mais comuns em soluções BAAS?

Se eu tivesse que listar os erros mais recorrentes que vejo em projetos que tentam “cortar caminho”, eles seriam:

  • Falta de controle de acesso por perfil (qualquer pessoa acessa tudo)

  • Ausência de autenticação em APIs sensíveis

  • Dados de saldo armazenados em cache, sem consistência transacional

  • Falta de logs detalhados e rastreáveis

  • Backups inexistentes ou manuais

  • Deploys em servidores compartilhados, sem isolamento por instância

  • Requisições vulneráveis a manipulação direta (testes com Postman revelam falhas)

E o pior: boa parte desses problemas só aparece quando o negócio começa a escalar. Quando chegam mil usuários, o sistema quebra. E aí a confiança já foi embora.

Segurança no BAAS vai além da tecnologia: trata-se de responsabilidade

Muita gente pensa que segurança é só “proteger contra hackers”. Mas na prática, a maior parte dos problemas reais que uma fintech enfrenta são operacionais, e não ataques externos.

É por isso que eu sempre bato na tecla da rastreabilidade. Um sistema financeiro sem rastreabilidade é uma bomba-relógio.

Você precisa ser capaz de responder perguntas como:

  • Quem iniciou essa transação?

  • Que IP acessou essa conta?

  • Quem alterou o status desse pagamento?

  • Essa operação foi processada quando? Por quem?

  • Houve rollback? Por quê?

Isso não serve só para auditoria. Serve para que você possa confiar na sua própria operação. E para que os parceiros e reguladores confiem também.

O que é uma boa rastreabilidade em projetos BAAS?

  • Cada movimentação de saldo deve gerar um log completo com ID do usuário, horário exato e parâmetros da requisição

  • As trilhas de auditoria devem ser armazenadas fora do ambiente de produção (por exemplo, em serviços de log criptografado ou banco separado)

  • Operações críticas (alteração de dados, reversões, estornos) devem ter autenticação reforçada e logs assinados

  • Integrações com PSTIs, bancos liquidantes e parceiros de crédito devem ser documentadas e monitoradas

  • Logs devem ser imutáveis, criptografados e auditáveis

A rastreabilidade é a linha que separa uma fintech confiável de uma operação frágil.

Como tratamos isso na Alphacode

Na Alphacode, a gente não entrega apenas um “sistema com tela bonita”. A gente entrega a estrutura que sustenta operações financeiras robustas, escaláveis e com total responsabilidade técnica.

O nosso Mosaico Banking é um core bancário modular que já vem com:

  • Controles de acesso por perfil e por rota

  • Logs detalhados por tipo de transação

  • Backup automático com replicação segura

  • Ambiente separado por cliente, com isolamento real

  • Integração com PSTIs homologadas

  • Conectividade com sistemas como SPI, DICT, CIP e registradoras

Além disso, a gente entende que o projeto precisa atender não só à parte técnica, mas também aos padrões esperados por bancos parceiros, auditorias e reguladores.

Conclusão

Montar uma fintech ou oferecer serviços financeiros em sua empresa é uma oportunidade real de gerar receita recorrente, fidelização e inovação. Mas essa oportunidade exige maturidade técnica.

Não dá para brincar com dados de pagamento.

E se você está nesse caminho, eu recomendo fortemente começar sua estrutura com rastreabilidade, segurança e controle. Porque escalar com base em improviso pode custar muito caro depois.

Se quiser trocar ideias sobre seu projeto, entender melhor como o Mosaico pode ser implantado com segurança ou revisar a arquitetura da sua fintech, é só me chamar.

Vai ser um prazer ajudar.

Publicado em

O que é PSTI? Entenda o papel dessa estrutura no Banco Central

Se você atua com fintech, banco digital, Pix ou qualquer operação conectada ao sistema financeiro, entender o que é PSTI deixou de ser detalhe técnico. Em muitos casos, é parte da infraestrutura crítica que sustenta a operação.

De forma direta, PSTI é a sigla usada para Prestadora de Serviços de Tecnologia da Informação no contexto do Banco Central. Na prática, estamos falando de empresas responsáveis por operar ou sustentar camadas tecnológicas essenciais para instituições financeiras e de pagamento.

Ou seja: não basta ter um app bonito. Em operações reguladas, a base técnica precisa ser estável, segura, auditável e aderente às exigências do ecossistema financeiro.

O que é PSTI?

PSTI é a empresa que presta serviços tecnológicos críticos para instituições financeiras, instituições de pagamento ou operações que dependem de infraestrutura regulada.

Dependendo do desenho da operação, isso pode envolver sustentação de conectividade, infraestrutura transacional, comunicação com sistemas do Banco Central e outras camadas técnicas que não podem falhar sem gerar impacto operacional sério.

Por isso, PSTI não é apenas fornecedor de TI. É uma peça importante da arquitetura de confiabilidade de uma operação financeira.

O que uma PSTI faz na prática

Na prática, uma PSTI pode atuar em frentes como:

  • operação técnica de integrações com Pix e SPI
  • comunicação com estruturas como DICT e RSFN
  • gestão de ambientes críticos
  • segurança de infraestrutura e chaves criptográficas
  • monitoramento contínuo
  • continuidade e recuperação de desastres
  • sustentação técnica de serviços financeiros sensíveis

Ou seja: ela fica mais perto do coração operacional da infraestrutura financeira do que muita gente imagina.

Por que o Banco Central se importa com PSTI

Porque falha técnica em operação financeira não é só problema interno. Pode virar problema de confiança, liquidação, continuidade de serviço e segurança do sistema como um todo.

Quando uma instituição terceiriza partes críticas da sua operação, o Banco Central quer clareza sobre responsabilidade, segurança, rastreabilidade e capacidade de continuidade.

É por isso que o tema PSTI aparece junto com discussões sobre:

  • alta disponibilidade
  • segurança da informação
  • redundância
  • continuidade de negócio
  • governança operacional

Em ambiente regulado, infraestrutura técnica ruim não é só gambiarra. É risco sistêmico em potencial.

Quais exigências costumam aparecer nesse contexto

Embora o desenho varie conforme a operação, normalmente estamos falando de exigências como:

  • infraestrutura resiliente
  • monitoramento constante
  • políticas formais de segurança
  • proteção de chaves e credenciais críticas
  • planos de contingência
  • aderência aos manuais e requisitos técnicos aplicáveis

Isso ajuda a explicar por que não faz sentido tratar uma PSTI como se fosse apenas um provedor genérico de hosting ou um fornecedor comum de software.

Quando uma fintech precisa se preocupar com PSTI?

Muito antes do que parece.

Se a operação envolve:

  • Pix
  • contas
  • liquidação
  • infraestrutura financeira integrada
  • conectividade com arranjos regulados
  • camadas críticas de disponibilidade e segurança

então o tema PSTI já começa a importar.

Mesmo quando a fintech não contrata uma PSTI diretamente, ela precisa entender quem está sustentando essa camada e como a arquitetura regulatória e técnica foi montada.

Isso conversa bastante com temas como BaaS, com discussões sobre como abrir uma fintech e com a leitura de estruturas ligadas ao Banco Central.

PSTI é a mesma coisa que software de core bancário?

Não.

Essa distinção é importante.

Uma PSTI está ligada à sustentação técnica e operacional de camadas críticas da infraestrutura regulada. Já uma plataforma de core bancário ou software financeiro está mais ligada à lógica funcional da operação: contas, movimentações, produtos, regras, jornadas e integrações.

Em muitos casos, as duas camadas se complementam — mas não são a mesma coisa.

Onde a Alphacode entra nesse cenário

Na Alphacode, o papel não é atuar como PSTI diretamente.

O papel está mais ligado à construção da camada tecnológica da operação financeira — isto é, o sistema, a lógica de produto, a gestão de contas, movimentações, jornadas, integrações e experiência da operação.

Na prática, isso significa que a camada construída pode se conectar a parceiros e estruturas técnicas adequadas ao ambiente regulatório, em vez de tentar confundir software de negócio com infraestrutura regulada crítica.

Essa separação é importante porque evita misturar responsabilidades técnicas diferentes dentro da arquitetura do projeto.

Por que entender PSTI ajuda a tomar decisão melhor

Muita empresa entra no mercado financeiro olhando apenas para produto e interface. Mas operação financeira séria depende de base estrutural.

Entender o papel de uma PSTI ajuda a responder perguntas como:

  • quem sustenta tecnicamente a operação crítica?
  • qual camada está sob responsabilidade de quem?
  • onde está o risco operacional?
  • o projeto está separado corretamente entre software, infraestrutura e compliance?

Essa clareza evita decisões ruins, promessas irreais e desenhos frágeis demais para um ambiente regulado.

Conclusão

PSTI é a estrutura responsável por sustentar camadas tecnológicas críticas dentro de operações conectadas ao sistema financeiro e ao Banco Central.

Para fintechs, bancos digitais e empresas que querem operar serviços financeiros com seriedade, entender esse papel é fundamental. Não para decorar sigla, mas para desenhar uma arquitetura mais segura, confiável e aderente à realidade regulatória.

Em operações financeiras, o técnico não é bastidor irrelevante. Muitas vezes, ele é o que separa uma operação funcional de uma operação vulnerável.

Próximo passo

Se a sua empresa está montando uma operação financeira e ainda não está clara a divisão entre software, infraestrutura crítica e responsabilidade regulatória, vale olhar esse desenho antes que o projeto cresça em cima de uma base confusa.

É muito mais barato organizar a arquitetura cedo do que descobrir tarde onde estavam os riscos escondidos.