Segurança e Backup

Backup e continuidade para instituição financeira: o que a auditoria de TI realmente cobra

Por Global Data Solutions

Backup e continuidade para instituição financeira: o que a auditoria de TI realmente cobra

Resumo: A Resolução CMN 4.893 (alterada pela 5.274/2025) não pede que a instituição financeira tenha backup: pede que prove continuidade e recuperação testada, com evidência registrada. Backup sem plano de recuperação ativável não passa na auditoria de TI. Veja o que a norma exige e o que separa ter cópia de conseguir restaurar sob inspeção.

Uma instituição financeira pode ter backup rodando toda noite e mesmo assim reprovar numa auditoria de TI. O regulador não pergunta se você tem cópia dos dados — pergunta se você consegue recuperá-los, dentro de um prazo, e se tem evidência disso. A Global Data, empresa de TI em São Paulo, implementa e opera o backup testado e a continuidade que a norma cobra, para cooperativas de crédito, fintechs, correspondentes e instituições de pagamento.

Quem cuida de compliance ou de TI numa instituição financeira conhece o medo específico deste setor: não é só perder o dado, é não conseguir provar ao Banco Central que a operação se recupera. A sanção vem menos do incidente e mais da incapacidade de demonstrar controle. E o padrão de prova subiu.

O que a 4.893 (e a 5.274/2025) passaram a exigir em continuidade e recuperação

A política de segurança cibernética das instituições autorizadas pelo Banco Central é regida pela Resolução CMN 4.893/2021, que foi alterada pela Resolução CMN 5.274/2025. Para instituições de pagamento, corretoras e distribuidoras, a linha equivalente é a Resolução BCB 85/2021, alterada pela Resolução BCB 538/2025. O prazo de plena adequação ao novo padrão encerrou em 1º de março de 2026 — não é mais um horizonte, é uma régua ativa.

A norma exige backup configurado com segurança que permita continuidade e recuperação dos dados e sistemas, e um plano de continuidade de negócios com testes regulares, revisão anual e aprovação pela alta gestão. A mudança de fundo é como a conformidade passou a ser verificada: logs, relatórios e atas de teste deixaram de ser boa prática e viraram evidência exigível. O auditor não quer a sua palavra de que o backup existe — quer o registro de que ele foi restaurado e funcionou.

Ter backup não é conseguir restaurar — e a inspeção mede essa distância

É a tese que sustenta tudo o que vem depois. Um backup que roda todos os dias mas nunca foi restaurado de verdade é uma suposição, não um controle. Na hora da inspeção, “acho que restaura” tem o mesmo valor de não ter backup nenhum: nenhum.

Por isso o backup precisa nascer acoplado a um teste de restauração documentado. É esse ciclo — copiar, restaurar, comprovar, registrar — que a Global Data assume como backup em nuvem para empresas gerenciado e testado. A cópia é o começo; a evidência de recuperação é o que a norma cobra.

Backup em nuvem sob a norma: recuperação, auditoria, saída e guarda de 5 anos

Usar nuvem para backup é permitido — e comum — no setor financeiro. Mas a norma condiciona a contratação de serviços de computação em nuvem (arts. 11 a 18) a um conjunto de garantias que precisam estar no contrato, não só no discurso do fornecedor:

  • Recuperação dos dados garantida contratualmente, com o prestador obrigado a devolvê-los em condições de uso.
  • Direito de auditoria e acesso do Banco Central ao ambiente do prestador — a instituição não pode contratar uma caixa-preta.
  • Cláusulas de segurança e de saída/portabilidade, para que você consiga migrar de fornecedor sem ficar refém de formato proprietário.
  • Comunicação ao Banco Central da contratação relevante nos prazos previstos (em até 10 dias, no caso das contratações sujeitas a comunicação) e guarda dos documentos da contratação por cinco anos.

O ponto não é onde ficam os dados. É se você consegue recuperá-los e comprovar isso ao regulador — inclusive quando o ambiente é de um terceiro.

DR pronto para ativar: o que a auditoria realmente cobra

Um backup que só guarda cópia não sustenta continuidade. O que a norma cobra é recuperação: voltar a operar. A solução de backup que operamos com Acronis não entrega apenas a cópia em nuvem — entrega um ambiente de recuperação de desastres (DR) pronto para ser ativado, com RTO e RPO definidos, ou seja, com prazo de retorno e perda máxima de dados acordados e testados. É isso que fecha a distância entre “ter backup” e “conseguir restaurar”.

Para instituições cujos sistemas de core não podem parar, essa lógica se estende à gestão de ambientes de missão crítica: alta disponibilidade, redundância e um plano de recuperação que já foi ensaiado antes de precisar valer.

Como a Global Data entrega

Começamos por uma avaliação do ambiente de backup atual, medindo a distância entre ele e o que a sua instituição precisa comprovar. A partir daí, implementamos backup imutável, criptografado e com DR ativável, e — a parte que sustenta a conformidade ao longo do tempo — acompanhamos as rotinas e conduzimos os testes de restauração que geram a evidência. É aqui que o monitoramento contínuo com NOC 24x7 importa: backup que falha em silêncio não é descoberto na inspeção, é descoberto no desastre. Um alerta que escala para uma pessoa quando uma rotina falha é o que separa um controle vivo de um documento morto.

Perguntas frequentes sobre backup para instituição financeira

A Resolução 4.893 obriga backup?

Sim. A norma exige que a instituição mantenha cópias de segurança dos dados e sistemas configuradas de forma a permitir a continuidade das atividades e a recuperação diante de um incidente, dentro de um plano de continuidade de negócios formal, testado e aprovado pela alta gestão. Não basta contratar uma ferramenta de backup: a obrigação é sobre conseguir se recuperar e comprovar isso.

Preciso testar a restauração?

Sim, e essa é a exigência que mais reprova na auditoria. O plano de continuidade precisa ser testado com regularidade, e o resultado — logs, relatórios, atas — é o que a fiscalização trata como evidência. Um backup nunca restaurado não conta como controle.

Posso usar backup em nuvem, inclusive no exterior?

Pode. A norma permite contratar computação em nuvem para backup, mas condiciona: o contrato precisa garantir a recuperação dos dados, o direito de auditoria e o acesso do Banco Central ao ambiente do prestador, e cláusulas de portabilidade e saída. O que a norma não aceita é abrir mão da capacidade de recuperar e comprovar — independentemente de onde os dados estejam armazenados.

Cooperativa de crédito precisa disso?

Precisa. As cooperativas de crédito estão sujeitas à política de segurança cibernética baseada na 4.893 e à auditoria de TI correspondente. O porte muda a proporção das exigências, mas o princípio — backup que permite recuperação testada e comprovável — vale para a cooperativa como vale para o banco.

Se você não tem certeza de que a sua instituição passaria numa inspeção hoje, o ponto de partida é medir. Avaliar o backup e a continuidade da minha instituição

Serviço relacionado: conheça o serviço de backup em nuvem para empresas da Global Data.

Quer ajuda especializada com a TI da sua empresa?

Fale com um especialista

Posts relacionados

Fale com a gente no WhatsApp