Qual a diferença entre IAM e PAM?

IAM (Identity and Access Management) gerencia os acessos do dia a dia de todos os funcionários, como login no e-mail corporativo ou no Slack. O PAM (Privileged Access Management) é um subconjunto focado exclusivamente em acessos de alto risco, como senhas de root, administradores de servidores e acesso direto a bancos de dados de produção.

Pequenas fintechs e SCDs também precisam de PAM?

Sim. O Banco Central não isenta instituições menores das regras de segurança cibernética (Resolução 4.893). Embora uma startup não precise da ferramenta mais cara do mercado no dia um, ela deve implementar os conceitos de cofre de senhas, não compartilhamento de contas admin e MFA obrigatório para qualquer acesso à infraestrutura.

O que é acesso Just-in-Time (JIT)?

É a prática de não deixar acessos privilegiados abertos 24 horas por dia. O administrador tem privilégios zerados por padrão. Quando precisa realizar uma tarefa crítica, ele solicita o acesso, que é concedido por um tempo limitado (ex: 30 minutos) e revogado automaticamente após o prazo.

Como o PAM lida com acessos de sistemas legados?

Ferramentas de PAM modernas atuam como um proxy reverso. Elas interceptam a comúnicação entre o usuário e o sistema legado. O usuário autentica no PAM, e o PAM injeta as credenciais no sistema antigo sem que o humano veja a senha, permitindo auditar até mesmo mainframes antigos.

Privileged Access Management em Fintechs: O Fim do Administrador Todo-Poderoso

Um desenvolvedor sênior da sua equipe clica em um link aparentemente inofensivo no LinkedIn. Três minutos depois, um script malicioso raspa suas credenciais em segundo plano. Ele tem acesso root ao banco de dados de produção onde rodam as transações Pix da sua fintech. Parabéns. Você acabou de virar manchete na capa do Valor Econômico pelos piores motivos possíveis.

Nós acompanhamos dezenas de incidentes de segurança no mercado financeiro brasileiro na última década. A história quase sempre se repete. Os cibercriminosos não perdem mais tempo tentando quebrar firewalls complexos ou invadir sistemas com força bruta. Eles simplesmente fazem login. Segundo o relatório de vazamento de dados da IBM de 2025, o custo médio de um incidente cibernético no Brasil bateu a casa dos R$ 7,2 milhões. E a porta de entrada favorita? Credenciais comprometidas de usuários com alto nível de acesso.

Se você opera uma instituição de pagamento, uma SCD ou um e-commerce com braço financeiro, preste atenção aqui. O elo mais fraco da sua operação não é o estagiário. É o seu CTO, o seu SRE (Site Reliability Engineer) e o seu administrador de banco de dados. Eles possuem as chaves do reino. E é exatamente por isso que o Privileged Access Management (PAM) se tornou a espinha dorsal da cibersegurança financeira.

A Ilusão do Administrador Confiável

Existe uma cultura perigosa nas startups financeiras em estágio de crescimento: a confiança cega na equipe técnica original. Os cinco primeiros engenheiros que construíram o core banking geralmente mantêm acesso irrestrito a todos os servidores, bancos de dados e chaves de API. Funciona bem quando vocês dividem uma sala de coworking. É um desastre anunciado quando a empresa atinge 500 funcionários e processa R$ 2 bilhões por mês.

Privileged Access Management (PAM) ataca exatamente esse problema. Trata-se de um conjunto de tecnologias e processos desenhados para controlar, monitorar e auditar todas as identidades humanas e não-humanas que possuem privilégios elevados em um ambiente de TI.

Pense no PAM como o gerente do cofre de uma agência bancária física. O gerente não anda com a chave do cofre no bolso o tempo todo. Quando precisa abrir, ele solicita autorização, registra o motivo, uma câmera filma a ação, e o acesso é revogado imediatamente após o uso. No mundo digital das fintechs, isso significa que ninguém — absolutamente ninguém — deve ter uma senha de "root" estática anotada em um gerenciador de senhas pessoal.

O Peso da Caneta do BACEN: Resolução 4.893 e Pix

Não estamos falando apenas de boas práticas. Estamos falando de licença de operação. O Banco Central do Brasil apertou o cerco de forma brutal nos últimos anos. A Resolução CMN 4.893 (e sua equivalente BCB 85 para o Pix) exige que as instituições implementem políticas rigorosas de segurança cibernética, incluindo controles de acesso lógicos e rastreabilidade.

Quando os auditores do BACEN ou uma Big4 (EY, PwC, Deloitte, KPMG) batem na porta da sua fintech, a primeira coisa que pedem é a matriz de acessos e os logs de auditoria dos administradores. Se eles encontrarem credenciais compartilhadas genéricas (como um usuário "admin_prod"), anotações de senhas em planilhas ou falta de revogação de acessos de ex-funcionários, sua empresa será autuada.

Nós vimos fintechs promissoras terem seus processos de autorização de funcionamento paralisados no Banco Central por falhas grotescas na gestão de identidades. O regulador entende que quem não controla quem acessa o banco de dados não tem capacidade de proteger o dinheiro do cidadão brasileiro.

Framework Ouro Capital: Estruturando o PAM na sua Fintech

Construir um ambiente seguro exige atrito, mas o atrito precisa ser inteligente. A briga histórica entre os times de Segurança (que querem bloquear tudo) e DevOps (que querem velocidade total) precisa de um meio-termo tecnológico. Aqui está o framework de quatro pilares que observamos funcionar nas operações mais maduras do país, como Nubank, Mercado Pago e Stone.

1. Descoberta e Cofre Digital (Vaulting)

O primeiro passo é estancar a sangria. Você não pode proteger o que não conhece. Um projeto de PAM começa com uma varredura automatizada na sua infraestrutura na nuvem (AWS, GCP, Azure) para descobrir todas as contas privilegiadas, chaves SSH, tokens de API e senhas de banco de dados.

Essas credenciais são então removidas das mãos dos humanos e colocadas em um cofre digital criptografado (ferramentas como CyberArk, HashiCorp Vault ou Teleport). A partir desse momento, o administrador não sabe mais a senha do servidor de produção. Quando ele precisa acessar, o sistema de PAM injeta a credencial automaticamente ou fornece um token temporário. A senha real é rotacionada (alterada) pelo sistema a cada poucas horas, inútilizando qualquer tentativa de roubo prévio.

2. Princípio do Menor Privilégio e Zero Standing Privileges (ZSP)

O Princípio do Menor Privilégio (PoLP) dita que um usuário deve ter apenas o nível exato de acesso necessário para realizar sua função, e nada mais. Mas o mercado hoje evoluiu para o Zero Standing Privileges (ZSP) — ou Zero Privilégios Permanentes.

Na prática: seu engenheiro de dados não tem acesso ao banco de transações por padrão. O acesso dele é zero. Ele só ganha privilégios quando uma tarefa específica é atribuída a ele no Jira ou no ServiceNow. O PAM lê a aprovação do ticket, concede o acesso restrito àquela tabela específica, e corta a conexão assim que o ticket é fechado.

3. Acesso Just-in-Time (JIT)

O Just-in-Time é a joia da coroa de uma estratégia de PAM moderna. Imagine que o gateway de pagamentos da sua fintech caiu às 3 da manhã de um domingo. O SRE de plantão é acionado pelo PagerDuty.

Ele não tem acesso ao cluster Kubernetes de produção. Ele entra no portal do PAM e solicita acesso emergencial (Break-Glass) por 30 minutos. O sistema pinga o celular do CTO ou envia uma notificação no Slack para aprovação em um clique. O acesso é liberado com um cronômetro na tela. Aos 30 minutos, a sessão cai, a chave expira e o acesso volta a ser zero. Se um hacker roubar o laptop desse SRE na segunda-feira, não encontrará nada útil lá dentro.

4. Gravação e Monitoramento de Sessão (O VAR da Segurança)

Se o administrador é quem vigia o sistema, quem vigia o administrador? O PAM atua como uma câmera de segurança de alta definição. Toda vez que uma sessão privilegiada é iniciada — seja via SSH em um servidor Linux ou via RDP em uma máquina Windows —, a ferramenta grava a tela em vídeo e registra cada comando digitado (keystroke logging).

Se um banco de dados de cartões de crédito for corrompido, a equipe de resposta a incidentes não precisa adivinhar o que aconteceu. Eles puxam a gravação da sessão e assistem exatamente ao comando "DROP TABLE" sendo executado, identificando se foi um erro humano, uma conta comprometida ou uma ação maliciosa interna.

O Desafio Cultural nas Operações Brasileiras

Implementar tecnologia é a parte fácil. Difícil é mudar a cultura. Encontramos resistência ferrenha de desenvolvedores seniores que tratam a perda de acesso "root" como uma ofensa pessoal. É papel do C-Level deixar claro que o PAM não é uma ferramenta de microgerenciamento, mas uma proteção para o próprio funcionário.

Se ocorrer um vazamento massivo de chaves Pix e você tiver acesso irrestrito, você é o primeiro suspeito. Se a empresa usa um PAM com JIT e gravação de sessão, sua inocência é provada em cinco minutos através dos logs.

Players como a Stone escalaram agressivamente suas operações de adquirência usando automação pesada na concessão de acessos. Eles integraram suas pipelines de CI/CD (Continuous Integration/Continuous Deployment) com ferramentas de gestão de segredos. Máquinas falam com máquinas usando tokens efêmeros, reduzindo drasticamente a necessidade de humanos tocarem em ambientes de produção.

Identidades Não-Humanas: O Novo Campo de Batalha

Até aqui focamos no acesso humano. O buraco é muito mais embaixo. Em uma fintech moderna baseada em microsserviços, para cada identidade humana existem cerca de 45 identidades não-humanas. São scripts, robôs de RPA, containers e funções serverless (como AWS Lambda) conversando entre si.

Se o seu aplicativo de pagamentos precisa consultar o saldo do cliente no banco de dados, o aplicativo em si usa uma credencial privilegiada. Hackers sabem disso. A invasão de 2024 na infraestrutura de várias startups globais ocorreu justamente porque chaves de API permanentes foram deixadas expostas no código-fonte no GitHub.

O PAM moderno gerencia essas identidades de máquina com o mesmo rigor. Em vez de hard-coding (chumbar a senha no código), a aplicação solicita a senha ao cofre em tempo real, mantém em memória por milissegundos e descarta. Isso muda o jogo completamente.

O Impacto Financeiro de Ignorar o Problema

Vamos falar de dinheiro. O custo de licenças de uma plataforma PAM robusta (CyberArk, BeyondTrust, Delinea) para uma fintech de médio porte no Brasil varia entre R$ 200 mil e R$ 500 mil anuais. Parece caro para o conselho de administração.

Agora compare isso com o custo de um vazamento. Além da multa da LGPD (que pode chegar a R$ 50 milhões ou 2% do faturamento), adicione a multa do Banco Central, a paralisação das operações via SPB/SPI, processos judiciais de clientes, perda de valor de mercado e a destruição da confiança da marca. Uma fintech que vaza dados financeiros difícilmente se recupera no tribunal da opinião pública.

O investimento em PAM tem ROI (Retorno sobre Investimento) imediato na redução do prêmio do seguro de risco cibernético. Seguradoras no Brasil exigem MFA (Múltiplo Fator de Autenticação) e PAM como pré-requisitos básicos para emitir uma apólice de cyber seguro hoje.

Visão de Futuro: IA e Análise Comportamental

A gestão de acessos está evoluindo rápido. As soluções de PAM que estão chegando ao mercado brasileiro em 2026 útilizam inteligência artificial para Análise de Comportamento de Usuários e Entidades (UEBA).

O sistema aprende a rotina do seu administrador. Se o João, DBA sênior, costuma acessar o servidor de banco de dados todas as terças-feiras, de São Paulo, usando um Mac, e extrai 50 linhas de log, isso é o padrão dele. Se em um domingo à noite, a credencial do João tenta acessar o mesmo servidor a partir de um IP na Rússia e tenta baixar 5 milhões de linhas de dados, a IA do PAM detecta a anomalia, derruba a conexão instantaneamente e bloqueia a conta, antes mesmo que o alerta chegue ao SOC (Security Operations Center).

A sobrevivência da sua fintech depende da velocidade com que você revoga acessos, não da velocidade com que você os concede. Adotar um framework rigoroso de Privileged Access Management garante que, quando o inevitável clique no link de phishing acontecer, o invasor encontre apenas paredes vazias e cofres trancados.