1. 引言:2025 年 9 月里程碑
巴西中央银行(BACEN)于2025年9月5日发布的第494至498号决议,代表着金融业监管的根本性战略转变。此举是对日益复杂的网络威胁的直接回应,包括近期发生的、据监管机构自身称涉及“有组织犯罪”的事件。该监管方案旨在大幅提升整个国家金融系统(SFN)和巴西支付系统(SPB)的韧性和安全态势,并现代化监管框架以应对新的风险水平。
贯穿这些新规则的核心论点是强制执行一项原则 加密主权BACEN 准确指出,数据处理和加密密钥管理的结合,尤其是在委托给信息技术服务提供商 (ITSP) 等第三方环境时,构成了关键的系统性风险。新决议旨在精准消除这种依赖,迫使机构重新获得对其最敏感加密资产的绝对控制权。这项监管干预的性质表明,它不仅仅是预防性的;它是对已经发生的特定、影响深远的安全漏洞的直接反应。通过明确提及有组织犯罪,BACEN 表明其正在超越理论上的风险管理,转而应对切实存在的主动威胁。这大大增加了不合规的风险: 这不再是忽视规则,而是忽视监管机构公开认定为关键的攻击媒介,将合规性变成运营生存的问题。
虽然整套监管方案都高度相关,但本分析将重点关注三项关键决议之间的强大相互作用:BCB 第 496 号决议(管理 Pix);BCB 第 497 号决议(监管电子转账 (TED));以及 BCB 第 498 号决议(建立 PSTI 新制度)。我们将阐述前两项决议如何为合规创造运营激励,而第三项决议则定义了实现合规的技术和治理途径。
2. 直接的运营影响:揭示第 496 号和第 497 号决议的交易限制
决议 BCB编号496 e BCB编号497 引入具有立即且强制效果的操作限制: Pix 和 TED 交易每笔交易的上限均为 15.000,00 雷亚尔。此措施并非建议,而是一项直接影响支付流程的处理规则。.
该限制特别适用于 BACEN 认为潜在风险较大的两类机构:
- 支付机构(PI) 尚未获得中央银行的全面经营授权。
- 任何机构无论是否获得授权,通过信息技术服务提供商 (PSTI) 连接到国家金融系统网络 (RSFN)。
这项措施对商业的影响十分严重。对于服务于企业客户、B2B支付平台或任何处理高价值交易的金融科技公司来说,这项限制实际上瘫痪了其核心业务模式。这并非小麻烦,而是阻碍大规模商业运营的关键障碍。虽然可以暂时豁免最多90天,但这取决于是否已采取强化安全控制措施,这表明这只是权宜之计,而非最终解决方案。
15.000,00 雷亚尔的限额是一项了不起的监管工程。与其依赖罚款和制裁,不如 事后(可作为业务成本计入预算)BACEN创建了一个反向运营加速器,这是一种嵌入支付基础设施的主动自动化执行机制。它将不合规成本从潜在的未来责任转变为即时的日常收入损失。这迫使合规性成为高级管理层的首要议程,将其从IT成本中心问题转变为主要的业务推动因素。监管机构有效地将运营能力作为执行更高安全标准的工具。.
3. 新架构的支柱:第498号决议和公共服务转移机构的专业化
在这些法规公布之前,PSTI 的运营处于监管“灰色地带”,不受央行的直接监管。该决议 BCB编号498 彻底结束了这个时代,为任何希望将其客户与 RSFN 联系起来的 PSTI 建立了正式且强制性的认证流程。
成为“认证 PSTI”的标准极高,这意味着这些提供商不再仅仅是技术供应商,而是需要接受近乎财务层面的严格审查。关键要求包括:
– 股本要求 最低金额为 15 万雷亚尔,并强制购买民事责任和操作风险保险,以应对网络事件和欺诈行为。
– 法定董事的任命 负责信息安全、风险、合规和危机管理等关键领域,并成立正式的危机管理委员会。
– 强制审计 在巴西证券市场委员会 (CVM) 注册的公司必须进行年度外部审计,证明其完全符合该决议的要求。这些报告必须提交给巴西中央银行。
然而,第 498 号决议最关键、最具变革性的技术要求是其第 18 条第 1 款:
“PSTI 不得访问巴西中央银行提供的支付安排和系统范围内用于签署消息的私钥”.
这句话是整个新安全架构的基石。该标准还要求实施强大的可追溯机制,包括对所有已处理交易进行完整的审计跟踪。
第498号决议实际上重塑了巴西整个金融科技基础设施市场。它使ITSP格局出现了明显的分化:一方面是基础的、未经认证的提供商,适用于非关键服务;另一方面是获得巴西国家电信委员会(BACEN)认证的提供商,获准在SFN和SPB的核心区域运营。这引入了一个新的 竞争维度,基于信任和安全,而不仅仅是价格和可用性。
未能获得此认证的 PSTI 将自动被排除在市场中最有价值的部分之外:高价值 Pix 和 TED 交易的处理。这迫使提供商做出战略决策:要么大力投资安全和治理以满足新标准,要么转向价值较低的市场。对于那些适应新标准的 PSTI 来说,一个全新且强大的价值主张应运而生:“合规即服务”。
4. 解除限制的必要条件:处理与加密强制分离
取消 15.000,00 雷亚尔限制的途径现已变得简单明确。机构必须满足两个累积条件:
- 使用已成功完成第 498 号决议中定义的认证流程的 PSTI。
- 并通过独立审计公司出具的“合理保证报告”证明其符合特定的技术安全控制。
必须审计和验证的技术控制具有决定性作用,并揭示了监管机构的意图:
– 该机构 不共享您的私钥 与 PSTI。
– 该机构 验证交易的完整性 前 加密签名 得到应用。
– 该机构使用 不同的加密证书 适用于不同的环境(例如生产和认证)和不同的目的(例如消息签名和渠道认证)。
如果加密密钥是通过软件管理的,并且是在 PSTI 控制或访问的服务器上,那么这些要求在架构上就不可能实现合规性。难点在于如何证明一个否定事实——密钥 不是 共享或访问——在软件环境中,访问根据定义是流动的,并且难以绝对确定地审核。 满足这一要求的唯一技术上可执行和可审计的方法是为所有加密操作创建物理的、防篡改的和防篡改的边界。 这正是 硬件安全模块 (HSM).
通过这种方式,BACEN 有效地规定了一种架构标准——将加密功能外包给可信且隔离的硬件环境——而从未使用过缩写“HSM”。这是一项复杂的、基于原则的监管规定。监管机构定义了 结果 期望:无需密钥共享,签名前完整性检查,并可审计证明。具体技术实现尚未确定,但提出的要求在逻辑上趋向于单一类型的解决方案。
任何负责签署“合理保证报告”的首席信息安全官 (CISO) 或审计师都会面临一个简单的问题:“如何绝对肯定地证明 PSTI 管理员或服务器上受感染的进程无法访问密钥材料?” 在基于软件的密钥存储库中,这种证明是不可能的。在经过认证的 HSM 中,这种证明本身就包含在硬件设计及其认证中,例如 ICP-Brasil、MCT-7 和 通用标准 EAL4+ 以及 FIPS 140-2。因此,该法规对 HSM 的使用提出了隐含的要求。
Kryptus kNET HSM
5. kNET HSM:适应新监管现实的合规平台
克里普托斯 kNET HSM 它不仅仅是一款安全产品,更是一个全面的合规平台,旨在直接满足新的 BACEN 监管框架的要求。它为金融机构和公共服务机构 (PSTI) 提供了必要的工具,使其能够安全高效地应对这一新形势。.
通过通用标准 EAL 4+ 认证确保主权和控制
不共享密钥的核心要求是 HSM 的基本原则。在 kNET 中,所有密钥生成、存储和使用操作均在其防篡改硬件边界内进行。通用标准 EAL 4+ 认证(以及 ICP-Brasil 和 FIPS)提供了独立且国际认可的安全性验证。该认证是 BACEN 要求的外部审计报告的关键证据,因为它证明了访问加密服务的物理防篡改和基于身份的身份验证。
PSTI 的解决方案:利用虚拟 HSM 实现多租户
kNET HSM 能够创建多达 50 个 虚拟 HSM (vHSM) 逻辑隔离系统是 PSTI 的变革性差异化优势。PSTI 可以部署单个 kNET 设备,并为每个机构客户提供专属的、加密隔离的分区。每个客户都拥有对其 vHSM 密钥和策略的独家控制权,这直接满足了第 498 号决议的隔离要求。这使得 PSTI 能够构建可扩展、盈利能力强,并且最重要的是完全合规的服务产品。
确保完整性和可审计性
签名前验证交易完整性的要求由架构原生处理。业务应用程序将已验证的交易数据发送到 kNET HSM 以执行签名操作。签名过程本身是安全硬件内的原子操作,确保签名的数据与验证的数据完全一致。此外,kNET 为每个加密和管理操作提供审计日志,这对于 PSTI 自身的合规性以及为其客户提供审计所需的证据都至关重要。
避免损害业务的性能
kNET 每秒可处理多达 10.000 个 2048 位 RSA 签名,确保这一新的安全和合规层不会成为大容量支付系统的性能瓶颈,从而使机构能够遵守新法规而不会牺牲业务敏捷性。
BACEN 决议(2025 年 9 月)与 kNET HSM 功能
| 解像度 | 中央安全要求 | 不合规风险 | 支持 kNET HSM 的解决方案 |
| BCB 编号 496/497(适用于 IP) | 机构必须通过审计证明 不共享私钥 与 PSTI 进行交互并在签名之前验证交易的完整性。 | 施加限制 每笔交易 15.000,00 万巴西雷亚尔 Pix/TED,使得高价值交易变得不可行,并使商业模式陷入瘫痪。 | 私钥驻留在 HSM 的防篡改硬件中,并仅在其中使用,并具有以下认证: ICP-巴西 MCT7 NSH3, 通用标准 EAL4+ e FIPS 140-2 3级. 签名是最后一步,确保处理数据的完整性。. |
| BCB No. 498(针对 PSTI) | P.S.T.I. 不得访问私钥 其客户,必须确保隔离并维护 审计线索 强壮的。 | 巴西电信委员会 (BACEN) 拒绝认证,导致无法为 SFN/SPB 地区的客户提供服务。存在预防性暂停与 RSFN 连接的风险。 | 的功能 虚拟 HSM 允许创建最多 50 个安全且隔离的逻辑分区,每个客户端一个。每个 vHSM 都有自己的一组密钥和策略,并具有完整且独立的审计跟踪。. |
6. 实用指南:迈向战略适应的步骤
适应新的监管格局需要立即采取战略行动。以下是面向主要利益相关者的实用路线图。
对于金融和支付机构(PI):
- 立即审查与 PSTI 的合同: 确保您当前的提供商有一个明确的计划和可行的时间表来获得第 498 号决议所要求的认证。您的合作伙伴的合规性是您合规性的先决条件。
- 关键架构分析: 明确 SPB(Pix、TED)加密密钥的管理位置和方式。如果密钥驻留在软件中或任何受 PSTI 控制或访问的环境中,则您的架构不合规。
- HSM项目规划: 启动一个项目来获取并集成 HSM。目标是将所有消息签名操作从 SPB 迁移到 HSM 的专属控制下,从而建立清晰的加密边界。
- 审计业务: 聘请在 CVM 注册的独立审计公司来验证您新的基于 HSM 的架构并生成消除交易限制所需的“合理保证报告”。
对于 IT 服务提供商 (ITSP):
- 确定您的公司是否会追求 BACEN认证这一决定需要在治理、资本、保险和技术方面进行大量投资。如果不采取行动,将导致其在单频网络服务市场中失去竞争力。
- 旧的“嵌入式安全处理”模式已经过时。新的服务模式应该是“通过安全门户连接到客户的 HSM 进行处理”,或者更高级的“使用托管 vHSM 产品进行处理”。
- 采用 kNET HSM 等解决方案来构建符合第 498 号决议的服务产品。提供专用和隔离的 vHSM 的能力将成为您的关键竞争优势和业务推动力。
- 收集必要的文件(资本证明、治理结构、保险政策、安全架构描述)并正式开始与中央银行的认证流程。
7. 结论:将监管义务转化为竞争优势
2025年9月出台的决议方案标志着巴西数字金融市场的成熟。巴西中央银行(BACEN)正在提高所有参与者的安全性和韧性标准,使巴西在网络安全和技术风险管理方面与全球最佳实践接轨。.
在新的生态系统中,遵守第496、497和498号决议是获得大规模运营和竞争的许可。能够快速适应并采用加密主权架构的机构,不仅可以避免严重的运营限制,还能成为客户更安全、更值得信赖的合作伙伴,从而建立持久的竞争优势。
实施像 kNET HSM 这样强大的解决方案不应仅仅被视为合规成本,而应被视为一项根本性的战略投资。这是对信任、运营韧性的投资,最终是为了在巴西央行刚刚打造的更安全、更严苛的金融环境中蓬勃发展。
