O que substitui a VPN em uma arquitetura Zero Trust?

A VPN tradicional é substituída por soluções de ZTNA (Zero Trust Network Access). Diferente da VPN, que concede acesso a toda a rede após a autenticação, o ZTNA cria túneis criptografados individuais apenas para a aplicação específica que o usuário tem permissão para acessar, impedindo o movimento lateral na rede.

Zero Trust atrapalha a produtividade dos desenvolvedores da fintech?

Quando mal implementado, sim. No entanto, uma arquitetura Zero Trust madura (usando biometria, SSO e validação de certificados de máquina em background) reduz a fricção. Os desenvolvedores não precisam ligar e desligar VPNs constantemente, e o acesso às ferramentas torna-se mais rápido e transparente, melhorando a experiência do usuário.

O Banco Central exige a implementação de Zero Trust?

O BACEN não cita o termo comercial 'Zero Trust' em suas normativas, mas a Resolução CMN 4.893/2021 exige controles rigorosos de acesso, rastreabilidade, autenticação forte e proteção contra vazamento de dados. Na prática, para fintechs com infraestrutura em nuvem e equipes remotas, o Zero Trust é a única arquitetura capaz de atender a essas exigências regulatórias de forma auditável.

Qual o primeiro passo para uma fintech adotar o Zero Trust?

O passo inicial mais crítico é a consolidação da identidade. A fintech deve centralizar todos os acessos em um único provedor de identidade (IdP) e impor autenticação multifator (MFA) resistente a phishing, como chaves de hardware (FIDO2) ou biometria, para 100% dos colaboradores, começando pelos administradores de sistemas.

Zero Trust em Fintechs: Por Que o Perímetro de Segurança Morreu no Trabalho Remoto

Fevereiro de 2026. Um desenvolvedor sênior da sua fintech abre o notebook em um café na Praia da Pipa, Rio Grande do Norte. Ele precisa debugar uma falha crítica no microsserviço de conciliação do PIX. Para isso, solicita acesso a um banco de dados de produção hospedado na AWS, contendo informações transacionais de milhares de clientes.

Dez anos atrás, a solução corporativa padrão seria simples: conectar uma VPN e confiar que, uma vez dentro da rede da empresa, o usuário estaria seguro. Hoje, essa mesma VPN é o vetor de ataque favorito de cibercriminosos operando de qualquer lugar do planeta. Uma credencial de VPN vazada entrega as chaves do reino inteiro para o atacante.

Nós acompanhamos de perto a evolução do mercado financeiro brasileiro na Ouro Capital. A dura realidade baté à porta dos CISOs (Chief Information Security Officers) diariamente: o perímetro de segurança tradicional morreu. Castelos e fossos medievais não funcionam quando seus funcionários, seus dados e seus clientes estão espalhados pela nuvem.

Se você opera uma instituição de pagamento, uma corretora de criptoativos ou uma fintech de crédito, preste atenção aqui. A transição para o modelo de trabalho remoto ou híbrido destruiu a ilusão da rede corporativa segura. A única resposta técnica e regulatória viável atende pelo nome de Zero Trust.

O cemitério dos firewalls e a ilusão da rede segura

A arquitetura de segurança clássica dividia o mundo em dois: o lado de fora (internet, perigoso) e o lado de dentro (rede corporativa, seguro). O firewall de borda era o guarda da porta. A VPN era o túnel secreto para entrar.

O problema desse modelo é a confiança implícita. Uma vez que um usuário ou dispositivo passa pelo firewall — seja legitimamente ou usando uma senha roubada —, ele ganha liberdade para se mover lateralmente pela rede. É exatamente assim que os grandes ataques de ransomware paralisaram corporações globais nos últimos anos.

No Brasil, o setor financeiro é o alvo número um. Segundo dados do relatório Cost of a Data Breach da IBM, o custo médio de um vazamento no setor financeiro brasileiro ultrapassou R$ 12 milhões por incidente. Os invasores não estão mais 'hackeando' sistemas quebrando criptografia de ponta; eles estão simplesmente fazendo login usando credenciais válidas obtidas via phishing ou infostealers.

O Banco Central do Brasil (BACEN) sabe disso. A Resolução CMN 4.893/2021 já exigia políticas rigorosas de segurança cibernética, mas as auditorias recentes do regulador mostram tolerância zero com arquiteturas de rede baseadas em confiança cega. Se um auditor do BACEN ou da CVM descobrir que um estagiário remoto tem acesso irrestrito à mesma rede virtual onde rodam os nós validadores do Drex ou as APIs do PIX, sua fintech enfrentará sanções severas.

O que realmente significa Zero Trust para uma operação financeira

Zero Trust não é um software que você compra em uma caixa. Não é um produto de prateleira da CrowdStrike, Cloudflare ou Palo Alto Networks. Zero Trust é um framework de arquitetura. É uma mudança de paradigma baseada em um lema paranoico, porém necessário: "Nunca confie, sempre verifique".

Na nossa análise das operações de gigantes como Nubank, Mercado Pago e Stone — empresas com milhares de engenheiros trabalhando remotamente por toda a América Latina —, o Zero Trust se apoia em três pilares fundamentais que substituem o antigo perímetro:

Identidade como o novo perímetro: A rede física não importa mais. O que importa é quem está tentando acessar o quê. A autenticação forte e contínua é a primeira linha de defesa.
Confiança baseada no dispositivo: Não basta ser o usuário certo; é preciso estar no dispositivo certo e seguro. Um notebook pessoal sem antivírus não pode acessar o repositório de código fonte, mesmo que o usuário tenha a senha correta.
Acesso de privilégio mínimo (Microsegmentação): Se um funcionário do marketing for comprometido, o atacante só terá acesso às ferramentas de marketing. O acesso a sistemas financeiros é bloqueado por padrão e liberado apenas sob demanda, por tempo limitado.

O resultado prático? Você remove a VPN corporativa que dava acesso à rede inteira e substitui por um modelo de ZTNA (Zero Trust Network Access), onde túneis criptografados são criados diretamente entre o dispositivo do usuário e a aplicação específica que ele precisa acessar. O usuário nunca enxerga a rede; ele enxerga apenas o aplicativo autorizado.

Guia de implementação: Como fintechs brasileiras estão virando a chave

Migrar de uma arquitetura legada para Zero Trust não acontece da noite para o dia. É um projeto de engenharia e cultura que leva meses. Observamos que as fintechs mais bem-sucedidas dividem essa transição em quatro fases práticas.

Fase 1: Identidade blindada e MFA resistente a phishing

A primeira etapa é consolidar todas as identidades em um único provedor (IdP), como Microsoft Entra ID (antigo Azure AD) ou Okta. O acesso a qualquer ferramenta da empresa — do Slack ao painel da AWS — deve passar por esse gargalo.

A regra é clara: senhas sozinhas não valém nada. A autenticação multifator (MFA) é obrigatória. No entanto, os tradicionais códigos via SMS ou aplicativos geradores de token (como Google Authenticator) já são fácilmente burláveis por ataques de engenharia social (ataques de fadiga de MFA ou proxy reverso).

O padrão ouro exigido pelas áreas de segurança das principais fintechs hoje é o FIDO2/WebAuthn. Isso significa usar chaves físicas de hardware (como YubiKeys) ou biometria atrelada ao chip TPM do notebook (Windows Hello, Touch ID). Sem a presença física do usuário e do hardware registrado, o acesso é negado.

Fase 2: Gestão de postura de dispositivos (MDM/UEM)

Você não controla a rede Wi-Fi da pousada onde seu gerente de produto está trabalhando, mas você precisa controlar a máquina que ele está usando. A segunda fase exige a implementação de soluções de Gerenciamento de Dispositivos Móveis (MDM).

O motor de políticas Zero Trust deve avaliar a "postura" do dispositivo em tempo real antes de conceder acesso. O disco rígido está criptografado (BitLocker/FileVault)? O sistema operacional está na versão mais recente? O agente de EDR (Endpoint Detection and Response) está rodando e atualizado? O firewall da máquina está ativo?

Se a resposta for não para qualquer uma dessas perguntas, o acesso aos dados da fintech é sumariamente bloqueado, independentemente de quem seja o usuário. O dispositivo precisa provar que é confiável a cada nova requisição.

Fase 3: Microsegmentação e o fim da VPN

Aqui é onde o perímetro tradicional realmente morre. Em vez de conectar os usuários a uma VPN que os coloca dentro da rede corporativa, as fintechs adotam o Zero Trust Network Access (ZTNA).

No modelo ZTNA, as aplicações internas (seja um painel de backoffice, seja um banco de dados PostgreSQL) são escondidas da internet pública. Elas não aceitam conexões de entrada. Em vez disso, um conector instalado junto à aplicação estabelece um túnel de saída para o provedor de segurança (como Cloudflare Access ou Zscaler).

Quando o desenvolvedor em Florianópolis tenta acessar o banco de dados, ele se conecta ao provedor de segurança. O provedor verifica a identidade (Fase 1) e o dispositivo (Fase 2). Se tudo estiver correto, o provedor atua como um corretor, unindo a conexão do usuário à conexão da aplicação. O desenvolvedor ganha acesso exclusivo àquele banco de dados específico. Ele não consegue fazer 'ping' em nenhum outro servidor da rede. O movimento lateral do atacante é aniquilado.

Fase 4: Autenticação contínua e telemetria

A confiança não é um estado permanente. Se um desenvolvedor se autenticou às 9h da manhã em São Paulo e, subitamente, o mesmo dispositivo tenta baixar 50 GB de dados de clientes ao meio-dia a partir de um IP na Ucrânia, o sistema precisa agir.

A fase final do Zero Trust envolve a ingestão de logs de todas as ferramentas em um SIEM (Security Information and Event Management) aliado a inteligência artificial para detectar anomalias de comportamento. O acesso condicional avalia o risco em tempo real. Se o risco aumentar durante a sessão, o sistema pode forçar uma reautenticação biométrica imediata ou encerrar a conexão automaticamente.

O custo de ignorar a arquitetura de confiança zero

Alguns fundadores de fintechs argumentam que implementar uma arquitetura completa de Zero Trust reduz a velocidade de desenvolvimento e aumenta a fricção para os engenheiros. Os dados provam exatamente o oposto.

Uma infraestrutura ZTNA bem configurada é transparente para o usuário final. O desenvolvedor não precisa lembrar de ligar a VPN, digitar senhas complexas ou lidar com rotas de rede quebrando. A autenticação acontece de forma fluida em background, validando certificados de máquina e biometria.

Por outro lado, o custo de não adotar o Zero Trust é existencial. Um vazamento de dados regulados pelo COAF ou BACEN resulta não apenas em multas milionárias sob a LGPD, mas na possível revogação da licença de funcionamento da instituição. Além disso, o dano reputacional em um mercado baseado em confiança é irreversível. Clientes não deixam seu dinheiro em carteiras digitais que não conseguem proteger seus próprios bancos de dados contra ataques básicos de ransomware.

Nós vemos as auditorias de segurança de grandes adquirentes e bancos parceiros (BaaS - Banking as a Service) se tornando implacáveis. Se a sua fintech depende de plugar sua infraestrutura na de um bancão para emitir cartões ou processar TEDs, prepare-se: o questionário de due diligence cibernética vai exigir provas materiais de que vocês operam sob os princípios de privilégio mínimo e microsegmentação.

Implicações práticas para o seu negócio

Se você está no conselho de administração ou na diretoria executiva de uma fintech, a mensagem é direta: traté a segurança de endpoints e identidades como infraestrutura crítica do seu negócio. O trabalho remoto veio para ficar, especialmente na contratação de talentos de tecnologia. Você vai precisar de engenheiros de software espalhados por todo o Brasil, ou até no exterior, para escalar sua operação.

A arquitetura Zero Trust é o habilitador desse crescimento. Ela permite que você contraté os melhores talentos onde quer que estejam, garantindo que o código-fonte, as chaves criptográficas do PIX e os dados sensíveis dos clientes permaneçam intocáveis.

Comece pequeno. Audite quem tem acesso root à sua conta da AWS. Implemente chaves físicas FIDO2 para os administradores de sistemas. Substitua a VPN legada do seu backoffice por um gateway ZTNA simples. A jornada para o Zero Trust é contínua, mas cada passo dado reduz drasticamente a superfície de ataque da sua operação financeira.

O mercado hoje não perdoa amadores em segurança cibernética. O perímetro de segurança físico morreu. Bem-vindo à era onde a identidade do seu usuário e a saúde do dispositivo dele são os únicos firewalls que realmente importam.