Todas as principais violações no setor de serviços financeiros começaram da mesma forma.

Banco de Bangladesh. Revolut. LoanDepot. ICBC. A credencial é o ponto de entrada em todos os casos. Não é uma exploração de dia zero. É uma senha em mãos humanas que pode ser roubada, fisgada ou vendida. A DORA, a FCA SMCR e a PCI DSS agora criam responsabilidade pessoal para os indivíduos que não fecharam essa lacuna.
Solicitar uma apresentação pronta para o conselho →
0
Custo médio de uma violação de dados em serviços financeiros — 22% acima da média global · IBM 2024
0
De todas as violações globais em 2023 ocorreram em serviços financeiros — o setor mais violado do planeta
0
Prazo de divulgação obrigatória da SEC — responsabilidade pessoal para diretores que adiam riscos conhecidos
0
Data de entrada em vigor da DORA — responsabilidade pessoal para a alta administração nomeada por falhas na governança de TIC
O padrão

Três incidentes. Todos entraram por uma credencial.

Seus sistemas verificam a credencial. Mas o usuário controla a credencial. Não a organização.

Bangladesh Bank — 2016
$81M
Hackers usaram credenciais de funcionários comprometidas para acessar o SWIFT e transferir US$ 81 milhões. A tentativa de roubo foi de US$ 1 bilhão.
Hackers norte-coreanos instalaram malware nos sistemas do Bangladesh Bank usando credenciais de funcionários comprometidas que acessavam a rede de pagamentos SWIFT. Eles observaram transações reais por semanas, aprenderam os padrões e então enviaram solicitações de transferência fraudulentas. Os investigadores descobriram que cinco funcionários do banco criaram vulnerabilidades ao expor credenciais de acesso ao SWIFT. Os US$ 81 milhões transferidos representaram a parte não bloqueada por um erro de digitação fortuito no nome da conta receptora. A tentativa de roubo foi de US$ 1 bilhão.
Ponto de entrada: credenciais de funcionário para terminal SWIFT
Revolut — Setembro de 2022
50.150
Um ataque de engenharia social extraiu uma credencial de funcionário. Dados de 50.150 clientes expostos. A DPA lituana abriu uma investigação formal.
Um ataque de engenharia social deu aos atacantes acesso ao banco de dados de clientes da Revolut por meio de uma credencial de funcionário comprometida. 50.150 clientes tiveram dados pessoais expostos — nomes, endereços, endereços de e-mail e dados parciais de cartões de pagamento. A violação desencadeou uma onda imediata de phishing direcionada a todos os 20 milhões de clientes da Revolut, afetados ou não — os atacantes usaram dados reais de reservas para construir fraudes convincentes. A DPA lituana abriu uma investigação formal e a Revolut enfrentou escrutínio regulatório sobre seu prazo de resposta.
Ponto de entrada: credencial de funcionário via engenharia social
LoanDepot — Janeiro de 2024
16,9M
ALPHV/BlackCat entrou via comprometimento de credencial, criptografou sistemas por dois dias e expôs 16,9 milhões de clientes. Sistemas offline por semanas.
ALPHV/BlackCat criptografou os sistemas da LoanDepot por dois dias após o comprometimento de credencial, expondo nomes, endereços, números de contas financeiras, números de telefone e datas de nascimento de 16,9 milhões de clientes. Os sistemas ficaram offline por semanas, interrompendo aplicações de hipotecas em nível nacional. Ações coletivas foram movidas imediatamente. O requisito de divulgação em 4 dias da SEC foi testado em tempo real durante a recuperação — a capacidade da LoanDepot de cumprir o prazo enquanto gerenciava a resposta ativa ao incidente ilustrou a tensão operacional que violações de credenciais criam para instituições financeiras listadas.
Ponto de entrada: comprometimento de credencial, implantação de ransomware

Em todos os casos, as ferramentas de segurança verificaram o atacante como um usuário legítimo — porque a credencial era legítima. A falha não estava na camada do sistema. Estava na camada de credencial acima dela: uma credencial em mãos humanas que podia ser roubada, phishada ou observada.

Panorama de riscos

Seis riscos de credenciais específicos de serviços financeiros

O risco de credenciais em serviços financeiros é ampliado pelo valor financeiro direto do que as credenciais acessam, pelo framework regulatório de responsabilidade pessoal e pela velocidade com que uma violação se torna um evento de mercado.

01 — Financeiro
Credenciais de sistemas de pagamento — caminho direto para fundos
Em serviços financeiros, uma credencial comprometida pode mover dinheiro. O Bangladesh Bank demonstrou que um único conjunto de credenciais SWIFT vale até US$ 1 bilhão em um único incidente.
Credenciais SWIFT, acesso a gateways de pagamento, logins de plataformas de negociação e credenciais de sistemas de tesouraria fornecem caminhos diretos para transferências financeiras. A credencial não é apenas um token de acesso — é um instrumento ao portador. Nenhum outro setor tem esse risco nessa escala: uma credencial comprometida de hospital expõe registros; uma credencial comprometida de pagamento transfere fundos em tempo real.
02 — Terceiros
Acesso de fintech, fornecedores e BPO a sistemas centrais
A violação da C-Edge derrubou 300 bancos por meio de uma credencial comprometida de um único fornecedor terceiro. Todo fornecedor com acesso a sistemas financeiros é um potencial cenário de Bangladesh Bank.
Instituições financeiras dependem de ecossistemas extensos de terceiros — fornecedores de core banking, processadores de pagamento, integrações fintech, centros de contato BPO, provedores de serviços gerenciados. Cada um detém credenciais para sistemas financeiros. O Artigo 28 da DORA exige governança demonstrável de acesso ICT de terceiros. “Nosso fornecedor tem forte segurança” não é governança. Um log com timestamp de todo evento de credencial de terceiro, com capacidade de revogação instantânea, é governança.
03 — Insider
Uso indevido e fraude com credenciais de usuários privilegiados
Serviços financeiros têm a maior taxa de incidentes de ameaça interna de qualquer setor. Um funcionário que consegue ver suas credenciais de sistema de pagamento tem a capacidade técnica de cometer fraude. A única defesa atual é a detecção após o fato.
Funcionários com acesso a sistemas de pagamento, plataformas de negociação e dados financeiros de clientes detêm credenciais diretamente convertíveis em ganho financeiro. Se o funcionário nunca detém a credencial — se a MyCena a gera centralmente e a injeta de forma invisível na autenticação — o mecanismo de fraude interna é removido. Não monitorado. Removido.
04 — Regulatório
Responsabilidade pessoal da DORA — aplicada a partir de janeiro de 2025
O Artigo 5 da DORA coloca responsabilidade direta sobre a gestão nomeada por risco ICT. Indivíduos nomeados podem ser multados pessoalmente e proibidos de cargos de gestão por falhas de governança de controle de acesso.
A EBA confirmou que gerentes seniores individuais em entidades financeiras podem ser responsabilizados pessoalmente por falhas de governança — incluindo falhas de controle de acesso em fornecedores terceiros. “Nosso fornecedor gerencia isso” é explicitamente insuficiente sob a DORA. Indivíduos nomeados são responsáveis. Um conselho informado sobre esse risco que adia a ação agora documentou sua consciência sob o Artigo 5.
05 — Regulatório
PCI DSS v4.0 — novos requisitos de governança de credenciais
O Requisito 8 agora exige autenticação única para todo acesso ao ambiente de dados de titulares de cartão. Credenciais compartilhadas falham em múltiplos requisitos simultaneamente. Multas de esquemas de cartões começam em US$ 5.000/mês e escalam para US$ 100.000/mês.
O PCI DSS v4.0, efetivo em março de 2025, introduz requisitos de accountability individual do usuário para toda transação de dados de titulares de cartão e eliminação de credenciais compartilhadas. Esses requisitos não existiam no mesmo nível na v3.2.1. Instituições que não revisaram sua arquitetura de credenciais em relação ao Requisito 8 da v4.0 provavelmente já estão fora de conformidade. Multas do PCI DSS são aplicadas à instituição independentemente de a violação ter se originado de um terceiro.
06 — Velocidade
Divulgação em 4 dias da SEC e a lacuna de descoberta de credenciais
O tempo médio de permanência de violações de credenciais em serviços financeiros é de 197 dias. A SEC exige divulgação em 4 dias. A maioria das instituições não consegue cumprir o prazo para uma violação que ainda não sabe que aconteceu.
A SEC acusou pessoalmente o CISO da SolarWinds por induzir investidores em erro sobre práticas de segurança após uma violação de credencial. Ação regulatória pessoal contra executivos nomeados não é hipotética. Diretores que adiam ação sobre uma lacuna conhecida de governança de credenciais enquanto atestam práticas de segurança sólidas enfrentam a mesma exposição. A janela de quatro dias não é um desafio de prazo de divulgação — é um incentivo para garantir que violações de credenciais sejam estruturalmente prevenidas em vez de detectadas tardiamente.

“Serviços financeiros investiram mais em verificação de identidade do que qualquer outro setor. Nenhum desses investimentos governa a própria credencial — quem a criou, quem a detém e se ela pode ser revogada em segundos quando algo dá errado.”

Onde o controle de credenciais se aplica

Os pontos de entrada de credenciais de serviços financeiros que a MyCena fecha

A MyCena governa a camada de autenticação acima dos sistemas financeiros — onde toda grande violação entrou. Nenhuma plataforma de core banking modificada. Nenhuma infraestrutura de pagamento alterada.

A MyCena governa
Acesso a sistemas de pagamento e SWIFT
Credenciais de funcionários e operadores para terminais de pagamento, interfaces SWIFT e sistemas de liquidação
✓ Vetor de credencial SWIFT do Bangladesh Bank — fechado estruturalmente
Operadores se autenticam em sistemas de pagamento através da MyCena — eles nunca veem ou detêm a credencial. O ataque ao Bangladesh Bank exigiu semanas de observação de credencial antes que transferências fraudulentas pudessem ser construídas. A MyCena não fornece nada para observar: a credencial é invisível em todos os pontos da sessão. Nada para observar, nada para copiar, nada para usar de fora da sessão autorizada.
A MyCena governa
Acesso de fintech e fornecedores terceiros
Acesso remoto de fornecedores de core banking, credenciais de API fintech, acesso de agentes BPO e MSP a sistemas de clientes
✓ Governança de acesso de terceiros do Artigo 28 da DORA — atendida estruturalmente
Todo fornecedor terceiro, integração fintech e centro de contato BPO que acessa sistemas financeiros o faz através de credenciais geradas e controladas pela instituição. O Artigo 28 da DORA exige governança demonstrável de acesso de terceiros ICT — não afirmações contratuais sobre práticas de segurança do fornecedor. O log com timestamp de todo evento de credencial de terceiro, com capacidade de revogação instantânea, é a governança que a DORA exige.
A MyCena governa
Acesso de estações de trabalho e sistemas de funcionários
Credenciais de banqueiros, analistas e administradores em sistemas de negociação, CRM, core banking e conformidade
✓ Mecanismo de credencial de engenharia social e fraude interna — removido estruturalmente
Todo funcionário se autentica através da MyCena. Nenhuma credencial é criada pelo funcionário, detida pelo funcionário ou conhecida pelo funcionário. O ataque de engenharia social da Revolut extraiu uma credencial por meio de manipulação do funcionário — uma credencial que existia em posse daquele funcionário para ser extraída. Com a MyCena, não há nada para o funcionário entregar. O mecanismo é removido, não monitorado.
A MyCena governa
Agentes de IA em fluxos de trabalho financeiros
Agentes de negociação automatizada, IA de detecção de fraude e ferramentas de monitoramento de conformidade acessando sistemas financeiros
✓ Governança de credenciais de agentes de IA — obrigações de risco de IA da DORA e FCA atendidas
Agentes de IA implantados em fluxos de trabalho financeiros detêm credenciais para os sistemas que acessam. Essas credenciais são tipicamente criadas por desenvolvedores, armazenadas em arquivos de configuração e não governadas por ninguém. Sob a MyCena, credenciais de agentes de IA são geradas centralmente, atribuídas individualmente e revogáveis instantaneamente quando a implantação muda. A proporção de 82:1 de agentes de IA para usuários humanos em ambientes empresariais está chegando aos serviços financeiros — a governança de credenciais precisa estar em vigor antes da implantação, não descoberta após uma violação.
O que a MyCena entrega

Governança estrutural de credenciais — a evidência que DORA, FCA e PCI DSS exigem

Os reguladores não querem documentos de política. Eles querem evidência demonstrável, contínua e auditável de que o acesso é governado. A MyCena gera essa evidência automaticamente.

Credenciais de pagamento — nada para phishar ou engenhar socialmente
Operadores de sistemas de pagamento e interfaces SWIFT nunca veem ou detêm suas credenciais. Engenharia social e observação interna não podem extrair uma credencial que não existe em forma visível para humanos. O ataque ao Bangladesh Bank exigiu semanas de observação de credencial antes que a fraude fosse possível. A MyCena não fornece nada para observar em nenhum ponto da sessão.
Artigo 28 da DORA — governança de acesso de terceiros sob demanda
Todo fornecedor terceiro, parceiro fintech e agente BPO que acessa sistemas financeiros o faz através de credenciais geradas e controladas pela instituição. Revogação instantânea demonstrada. Log contínuo com timestamp de acesso disponível para reguladores sob demanda — não montado antes do exame.
Requisito 8 do PCI DSS v4.0 — atendido arquiteturalmente
Fatores de autenticação individuais para todo acesso ao ambiente de dados de titulares de cartão, accountability individual para todo evento de acesso, zero credenciais compartilhadas — todos atendidos arquiteturalmente. Avaliadores do PCI DSS v4.0 recebem o log contínuo de acesso, não uma afirmação de política montada antes da avaliação.
Responsabilidade do conselho e D&O — governança documentada, não exposição documentada
Diretores nomeados que aprovaram a implantação da MyCena possuem evidência documentada de que a lacuna de governança de credenciais foi identificada e tratada estruturalmente. Sob o Artigo 5 da DORA, Artigo 20 da NIS2 e FCA SMCR, a decisão de implantar a MyCena é a decisão que protege a responsabilidade pessoal — não a que a cria. Um conselho informado sobre esse risco que adia a ação documentou sua consciência sem documentar ação.
A questão de responsabilidade do conselho

A investigação do Bangladesh Bank encontrou cinco funcionários que haviam criado vulnerabilidades de credenciais no sistema de acesso SWIFT. Sob a DORA e o FCA SMCR de hoje, esses funcionários enfrentariam responsabilidade pessoal. Um conselho apresentado a esta página e que escolhe adiar a ação agora documentou sua consciência de uma lacuna conhecida de governança de credenciais. Sob o Artigo 20 da NIS2 e o Artigo 5 da DORA, consciência documentada sem ação é a responsabilidade regulatória.

Como funciona

Governança de credenciais sem modificar a infraestrutura financeira

Nenhuma plataforma de core banking modificada. Nenhuma infraestrutura de pagamento alterada. Nenhum sistema de negociação interrompido.

Etapa 01
A instituição gera todas as credenciais de forma centralizada
Toda credencial para todo sistema financeiro — funcionário, fornecedor, agente de IA — é gerada pela instituição. Nenhum indivíduo cria seu próprio acesso. A propriedade da credencial é institucional desde o momento da criação.
Etapa 02
Injeção invisível — nada para phishar ou roubar
Funcionários clicam para conectar. A MyCena injeta a credencial na autenticação — nunca exibida, nunca digitada, nunca detida. Um ataque de engenharia social não encontra nenhuma credencial para extrair. Um insider não encontra nada para vender.
Etapa 03
Log de acesso contínuo — evidência DORA e FCA gerada automaticamente
Todo evento de credencial registrado — usuário, sistema, timestamp. A evidência do Artigo 28 da DORA é contínua. O log de auditoria do Requisito 8 do PCI DSS está sob demanda. Reguladores recebem o log, não um documento montado sob pressão de exame.
Etapa 04
Revogação instantânea — qualquer usuário, todos os sistemas, quatro segundos
Relacionamento com fornecedor termina, funcionário sai ou suspeita de violação: um único comando, todo acesso revogado em segundos, log com timestamp produzido. A janela de 4 dias da SEC começa da descoberta — revogação instantânea significa que a janela de permanência é de segundos, não de meses.
Marco regulatório

DORA, FCA SMCR, PCI DSS v4.0, NIS2, SEC

Todo framework exige evidência técnica demonstrável — não afirmações de política. A MyCena gera essa evidência continuamente.

DORA — Artigos 5, 9, 28
Artigo 5: responsabilidade pessoal da gestão por risco ICT. Artigo 9: requisitos de governança de controle de acesso. Artigo 28: gestão de risco ICT de terceiros exigindo governança demonstrável de acesso e capacidade de revogação instantânea. Aplicação a partir de janeiro de 2025. Responsabilidade pessoal para indivíduos nomeados confirmada pela EBA.
✓ Atendida
FCA SMCR — PS21/3
Gerentes Seniores nomeados são pessoalmente responsáveis por falhas de resiliência operacional. A governança de credenciais é um componente explícito das expectativas de resiliência operacional da FCA. A FCA exige que instituições financeiras demonstrem — não afirmem — que o acesso a sistemas críticos é governado, atribuível e recuperável dentro das tolerâncias de impacto.
✓ Atendida
PCI DSS v4.0 — Requisito 8
O Requisito 8 do PCI DSS v4.0 exige autenticação única para todo acesso ao ambiente de dados de titulares de cartão, accountability individual para todo evento de acesso e eliminação de credenciais compartilhadas. A MyCena atende aos três arquiteturalmente — credenciais individuais por usuário, todo acesso atribuído a um indivíduo nomeado, nenhuma credencial compartilhada estruturalmente possível.
✓ Atendida
NIS2 — Artigos 20 & 21
Operadores de serviços essenciais sob a NIS2 enfrentam responsabilidade pessoal da gestão por falhas de governança de controle de acesso (Artigo 20) e devem demonstrar segurança da cadeia de suprimentos, incluindo governança de credenciais de terceiros (Artigo 21). Logs técnicos contínuos atendem aos requisitos de evidência da NIS2 onde documentos de política não atendem.
✓ Atendida
Regra de Divulgação Cibernética da SEC
Instituições financeiras listadas em bolsa devem divulgar incidentes cibernéticos materiais em até quatro dias úteis. A SEC acusou pessoalmente o CISO da SolarWinds por induzir investidores em erro sobre práticas de segurança. Diretores que constam como tendo sido informados de uma lacuna de governança de credenciais e não agiram estão especificamente em risco sob esta regra e sob cláusulas de exclusão de D&O.
✓ Atendida
Seguro cibernético
Prêmios de seguro cibernético para serviços financeiros estão em patamares altos sustentados após a onda de violações de 2024. Subscritores avaliam explicitamente a governança de acesso de terceiros e controle de credenciais como fatores de classificação. Maturidade de governança de credenciais nível 4–5 — demonstrada pelo log contínuo de acesso e capacidade de revogação instantânea da MyCena — apoia a negociação de prêmio na renovação.
✓ Atendida
Briefing para conselho de serviços financeiros
Um briefing pronto para o conselho de 45 minutos — DORA, FCA SMCR, PCI DSS v4.0 e o panorama de responsabilidade pessoal.
Agendar um briefing pronto para o conselho →
MyCena
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.